Toggle sidebar

Schutz vor Ransomware

  • Ab sofort steht euch hier im Forum die neue Add-on Verwaltung zur Verfügung – eine zentrale Plattform für alles rund um Erweiterungen und Add-ons für den DSM.

    Damit haben wir einen Ort, an dem Lösungen von Nutzern mit der Community geteilt werden können. Über die Team Funktion können Projekte auch gemeinsam gepflegt werden.

    Was die Add-on Verwaltung kann und wie es funktioniert findet Ihr hier

    Hier geht es zu den Add-ons

Status
Für weitere Antworten geschlossen.
Was vielleicht in meinem Post fehlt ...

Nur auf Volume1 schreiben die Client-PCs/Server Backups, so dass es auch nur Netzfreigaben für Volume1 gibt.
Volume2 ist ausschließlich für Time Sync da und wird nicht nach außen freigegeben. Somit ist es für Ransomware "unsichtbar". Hofft man.
 
Das Offline Backup könntet ihr über zeitgeschaltete Steckdosen für USB Platten lösen.
 
Ja oder aber 2 kleinere DS mit genügend Speicher.
Die jeweils bei der andere DS stehen und automatisch hoch/runterfahren und das Backup ausführen.
Wenn dann nur von Mo-Sa gesichert werden sollte, könnte man folgendes machen.

Mo DSBackup1
Di DSBackup1
Mi DSBackup1


DO DSBackup2
FR DSBackup2
SA DSBackup2
 
Nabend,

ich hab mir heute auch mal Gedanken zu dem Thema gemacht. Bei mir gehts um meine privaten Daten. Ich sicher hin und wieder auf eine externe Festplatte. Wenn es mich also erwischen sollte, dann falle ich maximal bis zu diesem letzten Backup zurück - nicht schön, aber zu verkraften.

Ansonsten nutze ich zum Sichern meines Rechners die Software Backup Service Home. Hiermit kann ich ein Backup erstellen, bei dem ich zu einem beliebigen Zeitpunkt in der Historie zurückspringen kann. Veränderungen werden also historisiert gespeichert (und zwar als komplette Files). Ich sichere per FTP auf eine DS215. Dazu hab ich mir einen Backupuser auf der DS215 eingerichtet, der nur auf das Backupverzeichnis zugreifen darf und das auch nur per FTP. Alle anderen DIenste hab ich dem User untersagt. Umgekehrt haben alle anderen User keinen Zugriff auf das Backupverzeichnis und dürfen auch kein FTP machen. Der Backupuser wird ausschließlich in der Backupsoftware für den FTP Transfer benutzt.

Sehe ich es richtig, das mir nun eine Ransomware zwar meine Netzfreigaben auf dem DS215 schreddern kann, aber (solange es kein FTP kann und die Zugangsdaten nicht hat) nicht an meine Backups kommt? Ich weiß, das es nicht perfekt ist, aber ich will hier nicht mit Kanonen auf Spatzen schießen und hab ja immernoch ein Backup auf einer externen HD.

Martin
 
Guten Abend zusammen,

wie könnte eine Heuristik aussehen, die in einem Service, der auf der Sync läuft, mit einer gewissen Wahrscheinlichkeit erkennt, das masshaft Dateien verschlüsselt werden.

CPU Last wäre sicher ein Parameter aber alleine sicher nicht genug. Wie kann man erkennen, dass Schreibzugriffe auf Dateien in bestimmten Verzeichnissen erfolgen - das passiert normalerweise wahrscheinlich eher selten.

Micho
 
Eine Kombination aus mehreren Sachen könnte funktionieren, aber immer auch abhängig von den sonst auf der DS laufenden Prozessen:
1. konstante Festplattenzugriffe (lesend & schreibend)
2. mehr als X Dateien in den letzten X Stunden geändert.
3. Ein lange laufender Prozess, der 1 & 2 macht.
4. Schreib(Lösch-)zugriffe auf bestimmte Dateien, die eigentlich nur gelesen werden sollten
usw…
 
jugi schrieb:
Eine Kombination aus mehreren Sachen könnte funktionieren, aber immer auch abhängig von den sonst auf der DS laufenden Prozessen:
4. Schreib(Lösch-)zugriffe auf bestimmte Dateien, die eigentlich nur gelesen werden sollten
usw…
Zum Vergrößern anklicken....
Wie kann man 4 am besten ermitteln?
 
Script für Aufabenplaner für sicheres runterfahren der USB Platte

Hallo zusammen,

damit die USB Platte vor dem physischen Abschalten per Zeitschaltuhr vom System abgemeldet wird, wollte ich sie per Aufgabenplaner unnmounten.
Aus dem Forum hier habe ich mir folgendes zusammengeimt:

/bin/umount /volumeUSB1/usbshare
echo 1 > /sys/block/usbshare1/device/delete

Das klappt auch - die USB Platte ist über die File Station nicht erreichbar, doch sie ist weiterhin als externes Gerät angemeldet.

Wie muss ich das Skript ändern, damit die Platte auch wirklich abgemeldet ist und beispielsweise rechts oben nicht mehr unter "externe Geräte" gelistet wird?

Danke für Tipps!
Beste Grüße

Martin
 
Hallo zusammen

Ich häng mich mal mit rein in die Diskussion.

t_korth schrieb:
Was vielleicht in meinem Post fehlt ...

Nur auf Volume1 schreiben die Client-PCs/Server Backups, so dass es auch nur Netzfreigaben für Volume1 gibt.
Volume2 ist ausschließlich für Time Sync da und wird nicht nach außen freigegeben. Somit ist es für Ransomware "unsichtbar". Hofft man.
Zum Vergrößern anklicken....

Wie löst du das im Detail?

Habe aktuell die Situation so, dass ich alle Tage autom. auf meine DS ein File-Backup mit Acronis mache. Nehme nun dann wohl Cloud Station Backup. Dann mittels Synology Hyper Backup auf die externe Platte. Mache ich aktuell noch manuell. Mittels autorun und dann wieder räumlich getrennt aufbewahren.

Gibt es eine Möglichkeit, z.B. auf der DS einen spezifischen Backup-User anzulegen, dass nur dieser dann Synology Hyper Backup ausführen darf? Hat da jemand schon Erfahrungen gemacht?
Oder wie kann ich mich mit der aktuellen "Strategie" gegen Ransomware schützen?

Gruss
 
Hallo,

jetzt möchte ich euch mal meinen Lösungsansatz vorstellen und eure Meinung bezüglich der Effektivität und Sicherheit hören.

Eine selbstgeschriebene Batch-Datei befindet sich im Autostart des Computers, durch diese wird die Verbindung zu 2 Netzlaufwerken hergestellt. Nämlich 'Backup' und 'Gemeinsam'. Anschließend wird ein Befehl ausgeführt, durch welchen die Daten auf das NAS-System auf 'Backup' (inkrementell) gespeichert wird. Sobald das fertig ist, trennt sich der Computer automatisch mit dem Netzlaufwerk.
So kann meines Erachtens nach nur 'Gemeinsam' und der Computer selbst verschlüsselt werden, das Backup und der Rest der NAS jedoch nicht (siehe unten für warum). Oder habe ich da etwas nicht bedacht?
Diese Methode setzt natürlich einen etwas leistungsstärkeren Computer voraus. Aber das funktioniet bei mir ..

Die Diskstation ist zwar noch im LAN sichtbar, aber um sich damit zu verbinden, muss man sich zuvor erneut authentifizieren .. Mit einem richtig starken Passwort. -> deswegen ist der Rest doch sicher, nicht? Nur das Netzlaufwerk 'Gemeinsam' ist durch die Batch-Datei bereits freigeschalten.

Da in der Batch-Datei die Passwörter ersichtlich wären, wird diese einfach in eine .exe Datei konvertiert, dann müsste doch alles soweit passen, nicht?

Liebe Grüße

Christof
 
Hallo Christof

Danke für deine Überlegungen und den beschriebenen Lösungsansatz. Ja je nachdem sind dann im Netzwerk noch die Ordner Fotos, Videos, Musik, etc. zu sehen. Die werden "autom." sichbar, wenn der Medienserver aktiv ist. So dass der TV, etc. auf die Inhalte zugreifen kann.

Was hast du denn unter "Gemeinsam" für Daten?

Einzig während dem Backup-Vorgang selber ist somit ein Zugriff auf die Daten vom Rechner selber aus wohl wirklick ausgeschlossen.

Sicherst du die Daten von der NAS selber auch noch weg (externe HD, weiteres NAS, Cloud, etc.)?

Gruss
 
Hi Fellyboy,

Medienserver ist bei mir deaktiviert.

Unter 'Gemeinsam' sind verschiedenste Sachen, auf die alle Nutzer Zugriff haben. (Zwar dennoch passwortgeschützt, aber jeder Benutzer hat die nötige Berechtigung.) Aber theoretisch könnte ich, je nach Größe des Systems und des Ordners, auch diesen beispielsweise 1x/Woche in ein anders Verzeichnis sichern, welches nicht ohne weitere Authentifikation zugänglich ist.

Genau dieses erneute Sichern auf ein anderes Medium möchte ich mir dadurch ersparen. Natürlich hätte eine zusätzliche Cloud-Sicherung aber auch noch einige Vorteile ...

Liebe Grüße

Christof
 
Hallo zusammen, hi Christof11

Übrigens: Synology hat sich dazu auch schon Gedanken gemacht :p Hier die Empfehlungen und Lösungsvorschläge: Schutz gegen Verschlüsselung durch Ransomware.

Ich werde nun einen separaten Backup-Ordner auf der DS anlegen. Dazu einen "passenden" Backup-User und nur den auf diesen Ordner berechtigen. Ich hoffe, dass ich mit Cloud Station Backup für die Datensicherungsaufgaben genau diesen User mitgeben kann. Cloud Station Backup muss ich zuerst noch einrichten...

Weiter werde ich auch ein cmd-Script erstellen, um die Netzlaufwerke manuell zu verbinden; inkl. Passwortabfrage. Die sind dann für die Dauer des Backup-Vorgangs verbunden und werden anschl. wieder getrennt. Weiter werde ich diesen Ordner dann mittels Hyper Backup regelmässig auf die externe Platte sichern.

Durch die Versionierung mit Cloud Station Backup sowie dem Schutz des Verzeichnis klappt das hoffentlich.

Gruss
 
Und was bitte ist, wenn die DB verschlüsselt wird? Dann bringt einen das Multiversions Backup auch nichts.
 
Zugriff auf die DB besteht so während dem Backup-Vorgang selber. Habe ich in meinem Post von gestern erwähnt: während dem Backup selber besteht eine Verbindung und wenn dann der Locky oder sonst wer mit dem Verschlüsseln beginnt dann bringt auch das nichts. Aktuell besteht wohl keine 100% sichere Lösung - und morgen wohl auch noch nicht. Aber so ist zumindest schon sehr viel getan und abgedeckt. Oder gibt es (noch) bessere Varianten?
 
Fellyboy schrieb:
Zugriff auf die DB besteht so während dem Backup-Vorgang selber.
Zum Vergrößern anklicken....
Die höchste Sicherheit dürfte mit einem Pull-Backup erreicht werden. Damit wird das Backup auf dem Backup-Server gestartet und man muss keinem User des Arbeits-Servers Zugriffsrechte auf den Backupserver geben. Mit rsync kann so etwas realisiert werden und Voraussetzung ist natürlich ein zweites NAS.
 
Hi, ich wollte mich auch mal hier in den Thread einklinken!

Bis jetzt habe ich Ordner meiner NAS als Netzlaufwerk bei Win 10 eingehängt und quasi eine "normale" Datensicherung darauf durchgeführt und die NAS dann 1x/Woche auf eine externe Platte sichern lassen, die nicht ständig angeschlossen ist.
Wenn ich das richtig verstanden habe, können Lockey etc. problemlos die eingehängten Netzwerke mit verschlüsseln?
Jetzt habe ich auch überlegt, einen separaten Backup User anzulegen und über ftp zu sichern, aber da habe ich noch kein komfortables Programm für, habt ihr da Empfehlungen?

Ist denn der Weg über Cloud Station Backup auch geeignet? Es müssten ja dann auch die verschlüsselten Datein neu hochgeladen werden, aber wenn man einfach die vorletzte Version wiederherstellt, sollte alles in Ordnung sein , oder?
Und sind denn Netzwerkfreigaben mit lesendem Zugriff, oder nicht gespeicherten Anmeldetedaten unbedenklich?
 
HI
ic habe jetzt nicht den ganzen thread gelesen aber das was die CT gechrieben hat müsste sich auch auf einem NAS implementieren lassen.
http://www.heise.de/security/artikel/Erpressungs-Trojaner-wie-Locky-aussperren-3120956.html
Damit liesen sich zumindest Locky und co erkennen bevor alle Dateien verschlüsselt sind. Für Nachfolger , welche den Namen der Datei nicht ändern, ist dies natürlich kein Schutz.

Man müsste natürlich die Liste der Dateinamen , welche auf eine ransomware hinweisen, regelmässig pflegen.
 
dil88 schrieb:
Rsync erlaubt mit einer Option, Quelle und Ziel wie bei einem normalen Backup zu vergleichen, ohne das Ziel zu aktualisieren. Das nennt sich dry-run. Loggt man das mit, kann man sehr gut prüfen, ob man die Änderungen nachvollziehen kann oder ob massenhafte Änderungen vorkommen, die man nicht zuordnen kann. In dem Fall kann man über Stichproben sehr schnell ermitteln, ob eine Malware diese Änderungen verursacht hat.
Zum Vergrößern anklicken....

Und wie kann man solch einen Run starten? Geht das unter DSM 6.0 überhaupt noch? Würde zu meiner 2 Platten Offline Methode sehr gut passen.

Chris
 
Das geht auch unter DSM 6.0. Die rsync-Option heißt -n oder --dry-run.
 
Status
Für weitere Antworten geschlossen.
NAS-Central - Ihr Partner für NAS Lösungen
NAS-Central - The Home of NAS
 

Kaffeautomat

Wenn du das Forum hilfreich findest oder uns unterstützen möchtest, dann gib uns doch einfach einen Kaffee aus.

Als Dankeschön schalten wir deinen Account werbefrei.

:coffee:

Hier gehts zum Kaffeeautomat 

Hosted by netcup
IT Lösungen mit NAS Servern
IT Firma Trier
Fotograf Trier
   
Oben Unten