Sperre gegen Verschlüsselungstrojaner ?

[Dete]

Moin Experten,

durch Euren Tip habe ich inzwischen meine alte DS106j gegen eine neue DS115 ersetzt. Bin nach wie vor begeistert.
Damit sind alle Daten von mir und meiner Frau auf dem DS und werden in der Nacht auf eine externe HDD
gesichert. Das hat sich bewährt und dauert jetzt nur noch ca. 10 min.
(Bei Bedarf kann ich die externe HDD abziehen, mitnehmen.und irgendwo sofort verwenden, wegen FAT32.)
Ein Kollege berichtete, dass er einen Verschlüsselungstrojaner, der momentan wohl wieder im Umlauf ist, eingefangen hat.
Dieser hat alles, was am PC angeschlossen ist verschlüsselt.
Nun meine Frage:
a) wie sicher ist die DS115 gegen solche Attake wenn der angeschlossene PC befallen ist?
b) wie sicher ist die externe Sicherungs- HDD
c) gibt es Einstellungen die dagegen schützen ?

Ihr werdet mir Recht geben: Eine durchgängige Verschlüsselung wäre der Super-GAU
Danke im voraus und sorry wenn ich in der falschen Forumsabteilung bin.
Ich habe lange gesucht.

 

[dil88]

Eine Möglichkeit ist aus meiner Sicht eine versionierte Sicherung. Eine externe Platte ist m.E. üblicherweise als Netzlaufwerk sehr einfach einbindbar, solange sie an der DS steckt. Nicht nur aus diesem Grund sollte eine Sicherungsplatte meiner Meinung nach nicht an der DS dauerhaft angeschlossen bleiben.

 

[Dete]

Danke dil, Ist einleuchtend, aber alle Lösungen, bei denen man daran denken muss regelmäßig "den Stecker zu ziehen" sind irgendwie doof.
Vielleicht gibt es doch noch eine andere Lösung !!??

 

[Dete]

Ich noch einmal .....
Die versionierte Sicherung schützt ja auch nicht, wenn die "alten Dateien" auch mit verschlüsselt werden.

 

[heavy]

Der beste Schutz gegen einen Troijaner ist sich keinen einzufangen. Ich weiß das klingt jetzt doof aber bevor ich mir gedanken mache wie ich meine externe Sicherung dagegenschütze, sollte ich mir gedanken machen was muss ich tun um mir keinen Einzufangen. Emails nicht automatisch öffnen lassen, aktuellen Virenscanner verwenden, eventuell noch eine Persönliche Firewall auf dem PC verwenden, wenn man doch mal auf eventuell dubiosen seiten oder bereichen des Internets surft dafür dann eine Virtuelle Maschine oder einen Browser in einer Sandbox verwenden. Ansonsten bleibt dir nur die Sicherung auf eine zweite Nas per Netzwerk die nach der sicherung wieder runterfährt, aber solltest du dir gerade oder kurz vor der sicherung den Trojaner einfangen, dann nützt dir auch das nichts.

 

[dil88]

Ich noch einmal .....
Die versionierte Sicherung schützt ja auch nicht, wenn die "alten Dateien" auch mit verschlüsselt werden.

Wenn die Daten über ein Netzlaufwerk zugreifbar wären, hättest Du recht, sind sie aber bei den Systemen, die ich kenne nicht.

 

[Dete]

Hallo heavy, hallo dil,

jau, 100% Zustimmung zum wichtigsten Rezept, genau zu gucken, was man macht und worauf man klickt.
Ich habe aber hier zuhause noch meine Frau im Netz, die allerdings recht vorsichtig ist und in der Firma
ein paar Kollegen, wo es noch nie Probleme gab.

Habe aber auch selber schon mal auf einen Link geklickt, den ich nicht hätte öffnen sollen.
Die Auswirkungen waren aber dank der Antivirensoftware gleich Null.
Die Gefahren werden allerdings immer größer.

Wie sieht es mit einer versionierten Sicherung auf eine Cloud aus.
Nun meine Frage:

Wenn ein PC läuft mache ich solche Sicherungen mittels Xcopy /kreisch..... über eine batch- Datei.
Die Cloud ist dann übers Internet als Netzlaufwerk eingebunden.

Scheiße ...... geht dann wohl auch nicht !!

 

[TheGardner]

Das wird nie funktionieren, wenn Du alles immer automatisch machen willst! Du müsstest wenigstens schon einmal am Tag die Sicherungen kontrollieren. Am Ende ist es doch wieder irgendeine Lösung, die Du nicht möchtest, weil der Aufwand zu hoch wird.

Im Grunde ist es doch aber so: Wenn Deine DS nicht von außen her erreichbar ist, ist das Risiko minimal, sich irgendwas einzufangen! Es wird aber immer Leute geben, die jetzt auf meinen Satz wieder mit einem 'Ja, aber...' einhaken! Am Ende steht immer ein "Nichts ist sicher". Ständige Kontrolle minimiert ebenso das Risiko. Und natürlich auch die Tatsache, das DSM immer aktuell zu halten!

 

[Tommes]

Hi!

Eine 100%ige Sicherheit gibt es sowieso nicht. Es gibt auch nicht die ultimative Lösung, wie man seine Daten vor Verlust, Diebstahl oder Attacken schützt. Aber ich halte die 3-2-1 Backup Methode für für sehr Sinnvoll, wobei man mindestens 3 Kopien auf mindestens 2 unterschiedlichen Technologieen speichern sollte, wobei mindestens 1 Kopie außerhalb der eigenen 4 Wände aufbewahrt werden sollte.

Konkret sieht das bei mir so aus, das ich einmal die Orginaldaten auf der einen DS regelmäßig verschlüsselt auf eine weitere DS sichere. Außerdem lege ich in unregelmäßigen Abständen ein weiteres verschlüsseltes Backup auf einen (oder mehrere USB-Festplatten) an (je nach Sensibilität der Daten auch in mehreren Versionen) Zu guter letzt gibt es noch ein weiteres, unverschlüsseltes Backup auf einen weiteren USB-Datenträger, der extern an einem sicheren Ort aufbewahrt wird.

Weiterhin ist das eigene Verhalten maßgebend für die eigene Sicherheit bzw. der Sicherheit seiner "digitalen" Daten. Wer sich unwissend und/oder unbedarft im Internet bewegt, darf sich über ein böses Erwachen oftmals nicht wundern. Aber auch versteckte und heimtückische Gefahren kann man mit Wissen begegnen. Denn wer seinen Feind nicht kennt, kann ihn auch nicht bekämpfen, daher schafft man sich durch Wissen auch Sicherheit.

Tommes

 

[dil88]

Eine Methode noch, die ich nutze und in die Richtung geht, auf die TheGardner anspielt: Ich lasse hin und wieder zwei eigene rsync-Shellskript laufen. Der erste läßt rsync Trockenläufe machen (Option -n) und protokolliert alles mit. Ich schaue mir die Logfiles dann so lange durch, bis ich für alle Änderungen eine plausible Erklärung habe. Dann erst starte ich das zweite Skript, was die Daten auf die Backupplatte schreibt. Bisher brauchte ich noch nie einen zweiten Trockenlauf, aber ich bin sicher, dass ich eine Verschlüsselungsattacke mit dieser Methode bemerken würde, bevor ich die sauberen Backupdaten überschreibe. Es ist Aufwand, aber nicht so viel, wie es sich vielleicht anhört.

 

[Tommes]

Es ist Aufwand...

... aber es gibt nichts gutes, außer man tut es

Aber das mit dem rsync-Trockenlauf klingt gut. Muß ich bei mir mal bei Gelegenheit durchspielen (leide aktuell aber unter chronischen Zeitmangel)

Tommes

 

[Ameisentaetowierer]

Eine Möglichkeit, die Sicherungsplatte nur temporär einzubinden wäre eine Zeitschaltuhr und die Verwendung von autorun.
Wenn man die Platte am Ende der Sicherung "auswirft", kommt man auch nicht ganz so einfach wieder daran, obwohl die Platte u.U. noch Strom hat.
Damit kann ein möglicher Angreifer nur während einer laufenden Sicherung auf die Platte zugreifen.

 

[PsychoHH]

Eine gute Lösung? Könnte ich eventuell haben.

Nachts wenn das NAS nicht benutzt wird z.B. Im Router die Kindersicherung für das NAS aktivieren sodass keine Daten gesendet/empfangen werden. Dann erst eine 3,5zoll Festplatte Strom geben. Entweder per automatisierte Funksteckdose oder Zeitschaltuhr. Wenn das versionierte Backup fertig ist automatisch trennen, Strom abstellen und erst dann die Kindersicherung rausnehmen.

 

[Dete]

Jut Jungs ..............
ich glaube ich hab's kopiert. Hätte ja sein können dass es eine sichere Automatik gibt, aber Eure Argumente leuchten ein.
Werde den Sicherungsvorgang an jedem Wochenende von Hand starten, nachdem ich mich überzeugt habe, dass alles OK ist.
Anschließend wird die HDD abgezogen und an einem sicheren Ort aufbewahrt. Damit kann man leben.
Danke und alles Gute !!!