Problembeschreibung
Makroviren sind hauptsächlich in Microsoft Office Dokumenten eingebettet. Sie stammen oft aus Dokumenten, die als E-Mail-Anhang versendet oder durch das Klicken von schadhaften URLs in Phishing Mails heruntergeladen werden.
Erhält ein Benutzer ein infiziertes Dokument per E-Mail und versucht dieses zu öffnen, so kann dieser Virus andere Betriebssysteme befallen, Einstellungsparameter verändern und Daten verschlüsseln oder sogar löschen. Dies kann innerhalb eines Unternehmens schwerwiegende Folgen haben.
Mit der iQ.Suite können eine Vielzahl an Szenarien umgesetzt werden, um per E-Mail versendete Makros in Microsoft Office Dokumenten zu erkennen und diese entschärft dem User zuzustellen. Wird das erhaltene Dokument als vertrauenswürdig eingestuft, kann dieses im Nachgang im Original zugestellt werden.
Lösung
Mit dem Modul iQ.Suite Watchdog können per E-Mail versendete Dateianhänge auf Makros und VBA Skripte in Microsoft Office Dokumenten analysiert und das Originaldokument in Quarantäne gestellt werden. Die Dateianhänge sollten jedoch vorab durch einen oder mehrere Virenscanner überprüft werden.
Mit Hilfe eines Quarantänekonfigurationsdokuments sowie der Auswahl des allg. Bearbeitungsmodus „Mail nicht bearbeiten“ im Reiter Operations des Watchdog Mailjobs wird das Originaldokument in die definierte Quarantäne kopiert.
Um das Makro-Dokument dem Benutzer zuzustellen, wird dieses mit Hilfe von iQ.Suite Convert in eine PDF-Datei umgewandelt. Im dafür notwendigen iQ.Suite Convert Mailjob werden die gleichen Fingerprints ausgewählt wie zuvor im Dateieinschränkungsdokument.
Damit der originale Dateianhang aus der E-Mail entfernt wird, wird die folgende Option entsprechend ausgewählt. Für die Konvertierung besteht die Möglichkeit ein PDF/A zu erzeugen.
Weitere Information
Alternativ können Makros in Office Dokumenten mit Hilfe von iQ.Suite Convert entfernt und die bereinigte Datei dem Empfänger im Originalformat zugestellt werden.
Mithilfe des iQ.Suite Regelwerks sind weitere Szenarien möglich, um dem Benutzer den Original-Dateianhang zuzustellen bzw. um diesen anzufordern.
Dabei wird das Microsoft Office Dokument in einer Quarantäne „geparkt“, welche entweder nach einem bestimmten Zeitraum die E-Mail an den Empfänger automatisch freigibt oder mithilfe einer Quarantäne-Sammelbenachrichtigung eine Anforderung der E-Mail durch den Benutzer ermöglicht.
In beiden Fällen sollte jedoch beim Senden aus der Quarantäne die Überprüfung durch einen Anti-Virenscanner garantiert sein.
Die GBS_AntiRansomware_Fingerprints.gxl.zip enthält Fingerprints, die nicht in der Standard-Konfiguration enthalten sind. Über den Konfigurationsimport können diese erweiterten Fingerprints zur Standard-Konfiguration hinzugefügt werden.