Verschlüsselungstrojaner

[LutzHase]

Ja es waren unwichtige Ordner die nicht verschlüsselt wurden. Es ist also jemand drauf gewesen und hat abgeschätzt was wichtig ist.
Ich danke auch für die anderen Erfahrungen. Das hilft. Wenn jeder sein Problem für sich behält wird es ja nie besser gemacht...

 

[Speicherriese]

Gebe Dir recht, es ist wirklich komplex und was heute noch als "sicher" gilt, kann morgen schon eine offene Tür sein. Aber: Kann man es nicht auch übertreiben?

Beispiel: Ich bin mit meinem Wohnmobil öfters mal im europäischen Ausland auf Achse. Fotos zum Beispiel werden direkt auf das NAS geladen. Begründet damit, dass es ja sein könnte, dass ein böser Bube uns beklaut, ich ich den Fotoapparat verliere, oder er mir beim paddeln ins Wasser fällt etc. So ist meine DS halt von aussen offen, aber mit den gängigen "Schlössern" geschützt. Kaufquittungen, Belege von Campingplätzen/Stellplätzen etc. werden direkt via Handy gescannt und nach Hause geschickt - direkt in mein DMS (ecoDMS). Das ist für mich adäquater Nutzen eines NAS. Ich weiss, viele hier im Forum sehen das anders, riegeln das NAS gegen aussen ab. Aber ich hole mein Auto doch auch aus der Garage - im Wissen dass es geklaut werden kann. (Wobei mein alter Golf birgt da eher ein kleines Risiko.

Ich denke, sobald man einen Router einschaltet, egal welche Schutzmassnahmen dahinter aufgebaut sind, wenn der böse Bube rein will, wird er reinkommen. Die Frage ist halt, wie hoch der Aufwand ist. In meinen jungen Jahren arbeitete ich in einem Unternehmen das für Einbruchschutz die nötige Hardware (Schlösser, Alarmanlagen, Schliessanlagen, Verriegelungen etc.) für Banken, Versicherungen, Industriekomplexe angeboten hat. Ich habe 'Sachen' gesehen, die glaubt man nicht. Man kann es erschweren, nicht verhindern.

Für mich versuche ich ein Gratwanderung zwischen adäquatem Schutz und dem Nutzen heutiger Möglichkeiten - jetzt mal auf IT bezogen.

Klar, das birgt ein gewisses Risiko. Aber das Leben ist nie ohne Risiko. Um beim Auto zu bleiben. Ich glaube es passieren mehr Autounfälle, als dass die Daten von Privatpersonen geklaut werden. So gesehen dürfte keiner mehr ins Auto steigen.

Die so mal ein paar Gedanken an einem frühen Sonntagmorgen nach dem ersten Spaziergang mit dem Hund.

Einen schönen Sonntag allen, die hier mit lesen.

Wohnmobilisten untereinander wünschen sich gegenseitig immer mindestens eine Handbreite Abstand zwischen dem vorderen und nachfahrenden Fahrzeug. Euch mit Euren NAS ... und auch mir ... wünsche ich immer einen tick besseren Schutz, damit der Böse Bube der draußen vor dem Router steht aufgibt.

Ja, da gebe ich dir vollkommen Recht. Es muss zwischen Sicherheit und Nutzen eine Abwägung stattfinden, sonst ist das handeln mit einer NAS nicht mehr von Nutzen. Dann könnte man es gleich nur offline betreiben, nur einen Rechner daran anschließen und diesen Rechner so zunageln, das er nicht mehr bedienbar ist. Das macht keinen Sinn. Das wird bei uns im Konzern so veranstaltet. Hier wird alles so dermaßen abgesichert, das man den ganzen Tag nur noch Fluchen kann, aber ich kanns verstehen, da die IT gezwungen ist alles erdenkliche was an Sicherheit machbar ist zu unternehmen, sonst stehen sie im Feuer wenn was passiert und sie hier geschlampt haben.
Aber eines ist sicher, die meisten sind eben keine IT Profis und daher kann man sich die Haare raufen wie fahrlässig manche mit ihrer Sicherheit und ihren Daten umgehen. Die schlagen dann entweder regelmäßig mit massiven Problen im Bekannten/Verwandschaftskreis auf oder eben in Foren mit Tränen in den Augen. Ich denke heutige komplexe Technologien überfordern die meisten Menschen kollosal, was die Werbung allerdings anders suggeriert.

 

[Dingsdada]

wie wäre denn jetzt eine gute Backup-Strategie ums sich vor Verschlüsselung zu schützen?
Am Sichersten ist sicherlich das manuelle Backup - d.h. Platte nur ab und zu ranhängen und dann wieder in den Schrank.
Einfache Alternativen? Ist Hyperbackup mit seinen Datenbanken genau so betroffen?

 

[weyon]

Cloud backup wäre zwar möglich, kann aber per Admin Zugang gelöscht werden. Automatisch auf wechselnde USB Platten ist die sicherste Variante (z.B. via Hyperbackup). 1x in der Woche die Festplatten tauschen, dann ist man auf Nummer sicher.

 

[Synchrotron]

Die beste Strategie (hier im Forum schon mehrfach vorgestellt) ist eine zweite DS, die über ActiveBackup for Business das Backup zieht. Das heißt, dass die Backup-DS sich selbst auf der Haupt-DS einwählt, das Backup von dort zieht und dann die Verbindung wieder trennt. Wichtig ist dabei, dass auf der Haupt-DS keinerlei Zugangsdaten für die Backup-DS liegen dürfen.

Das läßt sich mit HyperBU nicht realisieren. HyperBU kann nur ein Backup "pushen", was es notwendig macht, die Zugangsdaten auf der Quell-DS zu hinterlegen. Jedes Backup ist besser als keines, aber diese Variante ist potenziell gefährdet.

Hinweis: ActiveBU setzt auf der Backup-DS das Dateisystem BTRFS voraus. Damit sind die für Backups beliebten "j"-Geräte außen vor, weil sie kein BTRFS beherrschen. Ältere "+" oder auch manche "play" sind gut geeignet, wie natürlich neue Geräte der höherwertigen Baureihen.

 

[servilianus]

Alternative zu ActiveBU wäre Ultimate Backup, läuft super auf meiner 216j als Backupserver. Aber: Sichert nur die Ordner nicht die Pakete. Man sollte z.B. die MariaDB-Datenbanken immer mal wieder manuell in eine Ordner sichern (=sprich: in phpmyadmin gehen und einen Dump erzeugen). Oder dies mittels eines Scrips automatisiert erfolgen lassen.

 

[Puppetmaster]

Ultimate Backup beherrscht also Pull?
Maria DB lässt sich auch mittels HyperBackup sichern - wie so einige andere Anwendungen auch.

 

[servilianus]

UB beherrscht Pull. Hyperbackup eben nicht.

 

[ebusynsyn]

Ich lese hier und auch anderswo, dass die heutigen Verschlüsselungstrojaner teilweise zuerst die verbundenen Laufwerke (NAS etc.) befallen/verschlüsseln, sodass der User es vorerst gar nicht mitbekommt und erst danach sich bemerkbar macht bzw. die PCs der täglichen Arbeit befällt.

Hinsichtlich einer adäquaten Backup-Strategie wurde hinlänglich in einem anderen Beitrag diskutiert. Darum geht es mir nicht. Es ist mehr so ein Gedankenspiel das mich diese Zeilen formulieren lässt.

Gibt es denn keine Möglichkeit, angehängte Laufwerke so zu überwachen, dass bei "ungewöhnlichen Aktivitäten" Alarm geschlagen wird (E-Mail) und sich zum Beispiel das NAS in eine Art "sicheren Modus" bringt?

Einige meiner lokalen Ordner (MacBookPro) werden mit Hazel und/oder auch Bordmitteln 'überwacht'. Wenn bestimmte Dokumente dort abgelegt werden, werden diese Dokumente bearbeitet (umbenannt/verschoben/kopiert) und solches.

Sorry für meine allenfalls laienhafte Vorstellungen.

 

[peterhoffmann]

Eine Überwachung ist mit einem Script (Stichwort md5sum) möglich.

Einfach einen oder mehrere Honeypots mit typischen Dateien (txt, docx, xlsx, pdf, jpg, usw.) erstellen und mit dem Programm md5sum überwachen (mehrmaliger Aufruf pro Tag). Bei Änderungen kann man sich dann mit einer E-Mail benachrichtigen lassen, Ordner aushängen oder das NAS runterfahren.

Zum Anlesen => https://wiki.ubuntuusers.de/md5sum/

 

[Jagnix]

Die beste Strategie (hier im Forum schon mehrfach vorgestellt) ist eine zweite DS, die über ActiveBackup for Business das Backup zieht.

Hast du einen Link für mich? Bin gerade zu doof die Beiträge zu finden.

 

[Thonav]

Wenn man 2 DS (nachfolgend Quell-DS und Backup-DS) zur Verfügung hat, kann man wie folgt vorgehen:
Active Backup auf der Backup-DS starten und mit einem Benutzer, der nicht auf der Backup-DS vorhanden ist, die Backups von der Quell-DS ziehen.

 

[NSFH]

Der einfachste Schutz ist unter Win10 der eigene Rechner. Hier kann man in den MS Security Einstellungen auch den Schutz vor Ransomware aktivieren. Hier greift der Angriff als erstes.
Ansonsten hilft nichts mehr, wenn der Trojaner bereits angefangen hat das System zu manipulieren. Niemand kann dir sagen welche Anteile in deinem System nicht so kompromittiert sind, dass sie noch zu retten wären. Es hilft also nur komplettes Plattmachen ohne Ausnahme.
Vorschläge wie der Vorige sind wertlos, in dem Fall ist schon alles zu spät.
Heisst: Nur die Backups können in einer komplett neu aufgesetzten Systemumgebung zurückgespielt werden ohne das Risiko einzugehen sich wieder den Trojaner von vermeintlich nicht befallenen Daten erneut einzufangen.

Vom Ablauf sehe ich da nur 2 verschiedene Optionen
- Datensicherung nach dem 3-2-1 Prinzip mit 3 verschiedenen Backup-HDs. Innerhalb von drei Tagen sollte man merken, ob man sich was eingefangen hat oder nicht. Wer dann allerdings sogar noch die Dritte HD anschliesst hat verloren.
- Datensicherung, wie ich sie hier beschrieben habe. Das ist ganz klar mein Favorit, da funktional sauber und zuverlässig im Ablauf.
Da Hyperbackup kein Pull kann liegt die einzige Schwachstelle darin, dass ein Eindringling, wenn er sich als Admin in DSM einloggen würde, auf die Datensicherungsjobs zugreifen könnte. Dies ist allerdings bei Homeservern eine Variante, die sehr unwahrscheinlich ist da für den Eindringling hier offensichtlich kein Geld zu verdienen ist bzw keine firmenrelevanten Daten abgezogen werden können.
Das Normverhalten ist eher das Verschlüsseln aller Laufwerke, die via USB, SATA und UNC eingebunden sind. Da gehören dann auch die Backup-HDs dazu, die nur temporär im System hängen. Einmal anstecken für wenige Minuten reicht für den Supergau.

 

[Thonav]

Ich glaube ich habe mich in letzten Threat nicht klar ausgedrückt - Ist korrigiert.

Szenario: PC -> NAS 1 (Quell-NSA) -> NAS 2 (Backup-NAS)

 

[Synchrotron]

@NSFH Guter Hinweis - nur kann man sich wohl nicht darauf verlassen, dass man Windows tatsächlich abgesichert bekommt.

Beispiele:

- In Windows 10 Pro wurden Makros in Office ausgeführt, obwohl man es verboten hatte. Funktionieren tat die Sperre für Enterprise-Nutzer. Ist wohl inzwischen gefixt, darf aber nicht passieren.
- Anhänge im grottenalten sylk-Format können Makros (Skripte) enthalten, und wurden ausgeführt, auch wenn die Funktion an sich deaktiviert war. Das ist jüngeren Datums, dürfte also noch nicht überall gefixt sein.
- Schadcode wird über HTML-Links in Mails geladen. Weil die Codeschnipsel für sich ungefährlich sind, und erst auf dem abrufenden Rechner zusammen gebaut werden, unterlaufen sie übliche Sicherheitssoftware.

Keine Ahnung, was da in Windows und Office sonst noch so schlummert. Angesichts der Historie und dem Bestreben, rückwärtskompatibel zu sein (was auch immer heißt, viel IT-Ballast in Form von steinalten Subroutinen mitzunehmen), glaube ich persönlich, dass kein aktuelle MS-Programm mit vertretbarem Aufwand abzusichern ist.

Die Erstinfektion lädt dann Schadcode nach. Um diesen ausführen zu können, wird die Powershell von Windows benutzt. Der Schadcode selbst muss nicht ausführbar sein, es reicht eine Textdatei, die von der Powershell ausgeführt wird.

Daher bin ich bei dir: So gut absichern wie es geht. Acronis wirbt u.a. damit, dass seine Backupprogramme auch eine Ransom-Detektion mitbringen. Ob die was taugt, konnte ich (zum Glück) noch nicht erproben ...

Die letzte Bastion ist ein gut abgeschottetes Backup - traurig aber wahr.

P.S. Prinzipiell sind MacOS und Linux ebenso angreifbar. Nur werden diese Betriebssysteme real kaum angegriffen. Liegt vielleicht auch daran, dass dort öfter LibreOffice bzw. die Mac-Programme verwendet werden statt MS Office. Damit fehlt an der Infektionsleiter oft die erste Stufe. Und MS Powershell gibt es auch nicht (dafür andere Scriptprogramme).

 

[Michael336]

Und... das Dumme ist, das man das ja auch auf der NAS gar nicht zeitnah merken muss, wenn man nicht häufiger mal auf seine Daten zugreift.

Von daher finde ich die Idee mit der Checksumme bestens...

Ich habe allerdings ein Komplettbackup auf einem Rechner. Diese Platte ist nicht angekabelt und wird nur im Falle eines Datenverlusts wieder angesteckt.

Das hat mir damals sozusagen den A gerettet. Allerdings ist diese dann beim Zurückspielen bei 99% kaputtgegangen. War zwar einiges weg, der Verlust ließ sich verschmerzen.

Ich denke, dass eine zusätzliche Platte, die man weglegt, ihr Geld sicher wert ist.
Alle 3J mal ne Neue zu kaufen und dann nochmals zu sichern, ist sicherlich eine gute Strategie.

Ein Fall noch zur Strategie...Da mir dieser gerade einfällt, alter Betrieb.

Betriebliche Umgebung (Produktion) mit einem Server mit 5 Platten, welches Raid weiß ich leider nicht mehr...
Gesichert wurde täglich mit Wechselfrstplatten im Band-Design.
Es waren 4 Sätze vorhanden und es befand sich nur immer der aktuelle Satz im Server.
Jeden Abend wurden die „Bänder“ gewechselt.
Nun passierte Folgendes:
Der Server war per Link Aggregation ins Netzwerk eingebunden und war Datei- und Applikationsserver.

Der ganze Kram wurde innerhalb von zwei Wochen im Zugriff von den Clienten immer langsamer.
Produktionsaufgaben zu erstellen, streckte sich von 10s teilweise auf 1 Minute.

Das Ganze wurde regelmäßig an den betreuenden IT-Dienstleister gemeldet.
Der konnte leider nichts feststellen, obwohl zahlreiche Alarme vorab konfiguriert worden waren.

Am Tag des Gaus ging gar nichts mehr.

Es stellte sich raus, dass 3 Platten fehlerhaft waren.

Zudem waren alle, bis auf eine der Sicherungen fehlerhaft, so dass wir Datenverlust einer ganzen Woche zu beklagen hatten, da eine Woche lang kein Backup auf die „Bänder“ mehr stattgefunden hatte, bzw. Auf einen Teil Kauderwelsch geschrieben wurde.

Wenigstens ein Satz, der Älteste, ließ sich nach dem Tausch zurückspielen.

Offenbar war es so, dass sich das Meldesystem ebenfalls mit den Platten verabschiedet hatte.

Was lernen wir draus?

Lieber täglich eine Meldung, Sicherung erfolgreich, die dann auch angesehen wird, als nur eine Meldung im Schadensfall, die ggfs nicht mehr abgesetzt werden kann.

Bei einer fehlenden, positiven Rückmeldung hätte man sicherlich mal eher nachgesehen.

Insofern, Backups auch mal ab und an überprüfen.

 

[Jagnix]

Danke für den Schubs @Thonav. Und dann das Quell-NAS als Datei Server einbinden ... manchmal hat man echt einen Knoten in den Hirnwindungen.

 

[Lextor]

Hallo,

Frage, ist es möglich ein Backup der DS zu ,machen auf einer Festplatte, die per USB an einer Fritzbox hängt? Wenn ja, wie? Ich habe die Einstellmöglichkeiten bei Hyper Backup zwar gesehen, bin aber nicht sicher was auszuwählen wäre...?

 

[synfor]

Schließe die USB-Platte besser direkt an die DS an. Ist schneller.

 

[Lextor]

Ja, das habe ich auch...zusätzlich möchte ich aber noch an der Fritzbox eine Haben. Warum?
Nun, die Fritzbox steht auf meinem Schreibtisch und ich kann diese schnell abklemmen und wieder ran klemmen.
Die Festplatte an der DS ist im Keller und das ist etwas umständlich...