Liebe Kunden,
zurzeit werden Systeme vom CTB-Locker Virus angegriffen. Dabei sind weniger die PC’s der Arbeitsplätze im Visier, sondern die Webserver. Wie andere Cryptolocker, verschlüsselt dieser Virus Dateien auf der Festplatte und fordert eine Einzahlung, um dem Schlüssel zu erhalten. Wie genau der Virus auf einen Webserver gelangt, ist momentan nicht bekannt. Festgestellt wurde, dass Tor benutzt wird, um sich mit dem Control Host zu verbinden.
Der Virus wird mit dem FortiGuard Antivirus entdeckt. Daher sollte der AV ebenfalls auf den Regeln für den Webserver eingeschaltet sein.
Derivate des CTB-Lockers werden auch durch das IPS der FortiGate entdeckt und gefiltert. Das IPS-Profil muss dafür folgende Signaturen eingeschaltet haben:
W32/Injector.BYDM!tr
W32/Filecoder
W32/Injector
W32/Locky
Zusätzlich kann auch noch explicit TOR Verkehr gesperrt werden.
Dazu folgende Anleitung: zur Anleitung