Daher ist es für die Administratoren dringend notwendig, die Berechtigungen auf Gruppenrichtlinien unternehmensweit zu überprüfen. Ab Werk sind dort nur Domänen-Admins und Enterprise-Admins mit Schreibrechten ausgestattet. Aktuelle Sicherheitsprüfungen ergeben aber vereinzelt, dass auch andere Gruppen dort Schreibrechte haben – oder – noch schlimmer, Benutzer Adminrechte in der Domäne haben.
Aktuelle Verschlüsselungs Trojaner können Gruppenrichtlinien erstellen oder schreiben in die „Default Domain Policy – DDP). Dadurch können sie sich bei jedem Login eines Mitarbeiters im Netzwerk verbreiten und infizieren nach und nach alle PCs. Dabei werden wie von Locky schon bekannt, von dort aus alle Daten verschlüsselt, auf die der Benutzer Zugriff hat.
Davon ist dann auch der Administrator betroffen (auch dieser meldet sich ja an der Domäne an und zieht die Default Domain Richtlinie). Sobald dieser betroffen ist, sind alle Dateien verschlüsselt und nicht nur diejenigen, wo normale Benutzer Schreibrechte haben.
Tipp: Prüfen Sie in der Gruppenrichtlinien-Verwaltung in den Eigenschaften jedes GPO-Objekts, wer dort mehr als Lesezugriff hat. (Post ID:337)