Ransomware Protection

Status
Für weitere Antworten geschlossen.

j-m-s

Benutzer
Mitglied seit
14. Jan 2015
Beiträge
62
Punkte für Reaktionen
0
Punkte
6
Ich hätte gerne einen Schutz gegen Ransomware, also diese Verschlüsselungs-Trojaner.
Könnte die DS nicht sperren, wenn in 10 Minuten mehr als 10 Dateien gelöscht werden?

(Natürlich nur als einschaltbare Sicherheitsoption, Minuten und Anzahl wählbar)
 

Puppetmaster

Benutzer
Sehr erfahren
Mitglied seit
03. Feb 2012
Beiträge
18.973
Punkte für Reaktionen
615
Punkte
484
Dann wäre meine DS aber ständig gesperrt ;-)
 

DanFu

Benutzer
Mitglied seit
13. Mrz 2016
Beiträge
144
Punkte für Reaktionen
0
Punkte
16

raymond

Benutzer
Mitglied seit
10. Sep 2009
Beiträge
4.704
Punkte für Reaktionen
21
Punkte
118
Nette Idee, aber wird nicht klappen.
Der Schutz muss auf den Clients aktiv werden (Virenscanner, die diesen erkennen und dort Verschlüsselungsoperationen verhindern).
 

j-m-s

Benutzer
Mitglied seit
14. Jan 2015
Beiträge
62
Punkte für Reaktionen
0
Punkte
6
Ransomware löscht die Dateien nicht, sie werden "nur" verändert

Du kannst sicher sein, dass man eine Datei nicht verschlüsselt, indem man sie im update-modus öffnet. Man liest sie, verschlüsselt sie, schreibt die verschlüsselte raus und löscht das original.
 

j-m-s

Benutzer
Mitglied seit
14. Jan 2015
Beiträge
62
Punkte für Reaktionen
0
Punkte
6
Der Schutz muss auf den Clients aktiv werden (Virenscanner, die diesen erkennen und dort Verschlüsselungsoperationen verhindern).

Schön wäre es. In der Realität können es die Virenscanner aber nicht, sonst würden sie es schon lange verhindern.
Deswegen ja auch meine Frage.
 

jahlives

Benutzer
Mitglied seit
19. Aug 2008
Beiträge
18.275
Punkte für Reaktionen
4
Punkte
0
das Problem bei der Verhaltenserkennung: was unterscheidet eine gewollte Verschlüsselung durch den User von einer ungewollten durch einen Trojaner? Wie kann man eine Verschlüsselung überhaupt von einer normalen Änderung einer Datei unterscheiden?
Das ist das grosse Problem bei der Heuristik, da können dann nur signaturbasierte Verfahren mehr leisten. Nur sind diese eine gewisse Zeit lang blind bis bei einer neuen Bedrohung die Signaturen aktualisiert wurden. Und auch dann braucht es nur relativ geringe Anpassungen bei der Malware und man fliegt wieder unter dem Radar der Signaturen durch.
Als Beispiel die aktuelle Locky Welle: man weiss dass zwischen initialer Infektion und Beginn der "Verschlüsselungsarbeit" einige Zeit vergangen ist. Erst auf ein Signal hin hat die Malware mit der Verschlüsselung begonnen. Da waren aber schon x-tausende Systeme infiziert und bis die AV Hersteller ihre Signaturen angepasst hatten (weil sie vorher schlicht nichts von der Malware wissen konnten) war es für viele dieser erst-infizierten Systeme bereits zu spät
 

j-m-s

Benutzer
Mitglied seit
14. Jan 2015
Beiträge
62
Punkte für Reaktionen
0
Punkte
6
Und genau deswegen haben herkömmliche Scanner keine Chance. Es gibt etwas von der Firma Malwarebytes (https://forums.malwarebytes.org/topic/177751-introducing-malwarebytes-anti-ransomware/), das ist noch beta.
Ansonsten ist es das einfachste, Massenverschlüsselung zu unterbinden. Und wenn ein Benutzer wirklich seine Dateien verschlüsseln will, muss er das System halt solange abschalten.
Es wäre trivial für die NAS, solche Massenänderungen zu unterbinden. Natürlich muss das zu- und abschaltbar sein.
 

Puppetmaster

Benutzer
Sehr erfahren
Mitglied seit
03. Feb 2012
Beiträge
18.973
Punkte für Reaktionen
615
Punkte
484
Also vom Ansatz her finde ich die Idee sehr gut, ich halte sie nur im echten Betrieb für wenig anwendbar.

Wie schon gesagt: wenn ich arbeite, lösche (ändere) ich permanent Dateien, da würde ich mich ständig selbst sperren.
Wenn du dann noch mehrere parallel arbeitende User hast, kannst du das eigentlich gleich vergessen.

Zumindest wirst du wenig Lust haben, ständig das "Feature" aus- und wieder einzuschalten.

Wenn deine Büchse alleine da steht und nur Fotos, Musik und Filme beherberg (statisch), dann mag das noch gehen, aber nicht auf einem produktiven System.

Hast du auch noch Dinge wie die Mailstation aktiv, kannst du es gleich vergessen, da wird ja permanent gelöscht und geschrieben.
 

jahlives

Benutzer
Mitglied seit
19. Aug 2008
Beiträge
18.275
Punkte für Reaktionen
4
Punkte
0
@j-m-s
dann definiere mal wie sich eine Verschlüsselung, was ja auch nichts anderes als eine Veränderung der Datei, von einer normalen Schreiboperation unterscheiden soll. Ich bin mit dir einig, dass es technisch möglich wäre indem man schlicht alle Änderungen unterbindet. Aber ich gehe auch mit Puppetmaster einig, dass das nicht praktikabel ist. Der 0815 User wird von dieser Einschränkung so genervt sein, dass er den Schutz permanent abschaltet. Ähnlich wie bei den UAC Nachfragen von Windows. Denn um die Schattenkopien bei Windows zu löschen ist eine solche Nachfrage seitens des Systems fast zwangsläufig. Ich würde frech behaupten 90% der Locky Opfer haben bei der Nachfrage schlicht Ja gedrückt.
Die nächste Frage wäre dann wie wird dieser Schutz auf der DS implementiert. Pro User, global, für welche Dienste? Macht man es pro User dann muss auch jeder User Zugriff auf den DSM haben um die Option für sich zu deaktivieren. Macht man es global, muss jeder User den Admin anrufen. Baut man diesen Schutz nur für bestimmte Dienste (z.B. SMB) ein, wie ist man denn geschützt wenn der Zugriff nicht via einen dieser Dienste kommt? Für alle Dienste könnte der Schutz nur so ausschauen, dass das Filesystem RO eingehängt wird. Was aber wieder brutalst unpraktikabel wäre
 

j-m-s

Benutzer
Mitglied seit
14. Jan 2015
Beiträge
62
Punkte für Reaktionen
0
Punkte
6
Wie schon gesagt: wenn ich arbeite, lösche (ändere) ich permanent Dateien, da würde ich mich ständig selbst sperren.
Wenn du dann noch mehrere parallel arbeitende User hast, kannst du das eigentlich gleich vergessen.
Zumindest wirst du wenig Lust haben, ständig das "Feature" aus- und wieder einzuschalten.

Also ich lösche selten 10 Dateien in 10 Minuten.
Die Sperre ist natürlich pro User separat.
Und es geht ja nur um Zugriffe, die über ethernet reinkommen, also SMB. NAS-interne Zugriffe sind ja ungefährlich.
Aber du kannst das Feature ja ausgeschaltet lassen, es zwingt dich ja niemand.
 

Puppetmaster

Benutzer
Sehr erfahren
Mitglied seit
03. Feb 2012
Beiträge
18.973
Punkte für Reaktionen
615
Punkte
484

j-m-s

Benutzer
Mitglied seit
14. Jan 2015
Beiträge
62
Punkte für Reaktionen
0
Punkte
6
Ernsthaft? Das simple Verschieben eines Photo- oder Musikalbums hat bei mir schon mehr als 10 Dateien.

Ernsthaft. Ich habe dieses Jahr noch keinen grösseren Ordner verschoben.
Wie gesagt, wer das Feature nicht will, braucht es ja nicht einschalten. Es gibt viele Sachen, die nicht genutzt werden.
 

Puppetmaster

Benutzer
Sehr erfahren
Mitglied seit
03. Feb 2012
Beiträge
18.973
Punkte für Reaktionen
615
Punkte
484
Naja, ich kann ja auch nix nutzen, was es nicht gibt, right? ;)
 
Status
Für weitere Antworten geschlossen.
 

Kaffeautomat

Wenn du das Forum hilfreich findest oder uns unterstützen möchtest, dann gib uns doch einfach einen Kaffee aus.

Als Dankeschön schalten wir deinen Account werbefrei.

:coffee:

Hier gehts zum Kaffeeautomat