Backup-Strategie gegen Viren wie Locky?

[mgutt]

Zur Verfügung stehen mir:
- externe USB Datenträger mit und ohne Netzteil
- zwei 2-bay NAS
- eine 2-bay Extension

Wie könnte ich ein Backup erstellen, wo ich nicht ständig selbst Hand anlegen muss (also z.B. USB Datenträger entfernen), mich aber trotzdem vor Locky schützt?

Ich dachte z.B. an sowas:
Eine Zeitschaltuhr schaltet das Netzteil von USB Datenträger A am 1. des Monats an und eine zweite am 15. des Monats den USB Datenträger B. Der Backup-Zeitplan ist entsprechend eingestellt. So hätte ich 14 Tage Zeit Locky oder andere Viren zu erkennen. Mit dem Datenverlust müsste ich dann eben leben.

Der Sinn hinter der Zeitschaltuhr ist, dass selbst wenn der Admin-Account durch einen Trojaner gestohlen wird, dass die Daten nicht greifbar sind.

Andere Ideen?

 

[Puppetmaster]

Die größte Schwäche ist immer die Faulheit des Users.

Alles, was ein Automatismus macht, ist berechenbar und damit leicht verwundbar.

Ich würde jedenfalls auf den Zeitschalt-Hokuspokus verzichten und immer nur dann händisch ein (alternierendes) Backup ziehen, wenn ich mich vorher von der Unverschlüsseltheit der Daten überzeugt habe.
Danach das Backup beiseite legen und gut ist.

 

[mördock]

Wenn die USB Platte nach dem Backup ausgeworfen wird muss sie auch nicht direkt abgezogen werden, oder können Viren und Co inzwischen angeschlossene aber ausgeworfene Platten wieder aktivieren???? Wenn sie das nicht können wäre das Backup selbst im angeschlossenem Zustand sicher bis zum nächsten Neustart der DS, denn dann wäre die Platte wieder über die DS erreichbar.

 

[Puppetmaster]

Zeitschaltuhr bietet das Risiko, dass das Backup anläuft, ohne dass du das auf dem Schirm hast. Wenn du zu diesem Zeitpunkt nicht sicher sein kannst, keine Viren an Bord zu haben, zerschießt du dein Backup - vollautomatisch!
Das Risiko würde ich nicht eingehen.

Eine ausgeschaltete Platte ist für einen Virus sicher erst einmal nicht zu erreichen. Aber wollen wir hier nicht eine ganzheitlichere Betrachtung heranziehen?
Eine mit der DS elektrisch verbundene (und auch noch über das Stromnetz elektrisch verbundene) Platte, kann Opfer von z.B. Überspannung, Spannungsspitzen, Blitzschlägen,... werden. Das Risiko würde ich als min. gleichwertig wie den Befall mit Locky ansehen.

 

[mördock]

ja ja. Ich das auch nicht so, ein täglicher Gang in den Keller schadet mir nicht und überfordet auch meine Müden Muskeln nicht. Wollte mgutt`s "Faulheit" entgegen kommen und ihm eine Möglichkeit aufzeigen die ihm vielleicht gefallen könnte.

 

[mgutt]

Gegen Einbruch/Feuer/Überspannung habe ich ein externes Backupziel.

Ich habe weiterhin eine DS213+. Die geht mehrmals täglich tief schlafen und bindet damit ausgeworfene Laufwerke beim Aufwachen einfach wieder ein (ungetestet). Auch müsste ich ja manuell die Laufwerke auswerfen, was ich ja wie gesagt nicht möchte.

Seht ihr wirklich die Gefahr, dass ein Virus 14 Tage lang unentdeckt bleibt?

 

[Puppetmaster]

Gegen Einbruch/Feuer/Überspannung habe ich ein externes Backupziel.

Dann ist das ja Teil deiner Strategie. Hattest du ja vorher nicht erwähnt.
In dem Fall könnte man wohl damit leben, obwohl ich persönlich dennoch nicht viel davon halte.

Als alleinige Lösung wäre es jedenfalls imho nicht geeignet und ich würde es vermutlich nicht so machen.

 

[mgutt]

Sorry. Ist denn nun Zeitschaltuhr die einzige Option?

Ansonsten fällt mir nur die Variante ein, dass einem Rechner im Gebäude vertraut wird (Admin), der dann der einzige ist, der die Backup-Ziele sehen bzw verändern kann.

Was ich auch schon überlegt habe, ob ich den Admin-Zugriff auf eine IP beschränke, die ich normalerweise nicht nutze. z.B. bin ich zu Hause immer per LAN verbunden. Ich könnte hingehen und zusätzlich eine WLAN Verbindung mit einer festen IP einschrichten. D.h. nur wenn ich das LAN kappe, komme ich als Admin über WLAN auf das NAS.

 

[randfee]

Sorry, aber ich verstehe nicht, wo das Problem ist bezüglich verschlüsselnder Ransomware und Backups mit einem NAS? Die Backups einfach so konfigurieren, dass die Windows User kein Schreibrecht auf alle Backups haben, entweder mit einem separaten Backup Tool (Synology hat doch auch eins).

Noch besser ist sowieso pauschal kaskadierte Backups zu fahren.

1. Rechner backup auf NAS (am besten wie oben gesagt mit Tool ohne Schreibrecht der Win-User)
2. NAS --> Backup auf externe Platten oder zweites NAS oder Cloud. Darauf sollte nur das NAS Zugriff haben, keiner der Rechner. Hier kann eine Ransomware vom Rechner per Definition nicht dran. Besser beim ZweitNAS ein separates Netz in welches z.B. per VPN getunnelt wird.
3. Noch besser bzw. erst richtig sind offline Festplatten, physikalisch getrennt. Da muss die Ransomware schon Beine haben!

im Endeffekt steht alles Gesagte auch irgendwie hier geschrieben... inklusive aller schicken neuen Synology Optionen:
https://www.synology.com/en-global/solution/ransomware

 

[mgutt]

Wie macht man ein Backup ohne Schreibrechte?! Du meinst keine Schreibrechte für die Backups der restlichen Computer? Dann verhindert man aber nicht den vollständigen Verlust der Daten des einen Computers. Außerdem ist das keine Lösung, wenn der Computer von Admin befallen wurde.

 

[randfee]

Backup ohne Schreibrechte der User des Rechners welcher zu sichern ist? - na klar. Wie oben geschrieben z.B. mit den Synology Tools Data-Replicator oder Cloud-Station backup. Wenn das Host-Betriebssystem die Login-Daten (zumindest Schreibrechte) nicht hat, kann der Virus/Trojaner der die OS (z.B. Windows) Passwörter findet sich krummlegen, er wird nichts überschreiben können. Er muss schon in der Lage sein das (gespeicherte) Passwort aus dem Backup-Tool zu ziehen, deutlich unwahrscheinlicher, da der Marktanteil recht klein und somit der Aufwand für die Ransomware Hersteller vermeintlich größer wäre. Bei Cloudstation Backup aber z.B. völli gegal, denn es gibt ja Versionen/Snapshots. Genau die würde ich mit einem Backup Task der Disk-station auch regelmäßig woanders hinschieben lassen.

Der zweite Punkt ist Backups kaskadieren. Der Disk-Station Ordner kann ja noch zugänglich sein vom Client aus, aber wenn du dieses erste "Backup" (egal wie erstellt) dann hochfrequent nochmal woanders hin backupst (inkrementell mit clever gesetzten Versionen bzw. noch besser mit snapshots) dann ist auch Ruhe. Die Ransomware müsste sich dann im LAN umsehen, die Diskstation hacken und dort an die Passwörter für die zweite Ebene rankommen. Es wird immer unwahrscheinlicher, dass eine Malware das alles auf einmal kann.
Aus dem Grund bist du mit zwei NAS meiner Ansicht nach sehr sehr sicher gegen Ransomware, welche Client-Computer befällt. gegen eine neue Auflage von Synolock natürlich nicht. Dafür würde ich die zweite NAS in ein VLAN packen und via VPN auf die erste zugreifen lassen und sich von da das Backup ziehen. Die Ransomware will ich sehen, die sich durch den Tunnel der zweiten NAS ermächtigt und dann auch da alles chiffriert.

Absolute Sicherheit gibt es nur mit cold (offline) backups, am besten welchen die read only sind,
aber so umgesetzt wie oben beschrieben kann glaube ich realistischerweise schon nichts mehr passieren.

 

[mgutt]

Er muss schon in der Lage sein das (gespeicherte) Passwort aus dem Backup-Tool zu ziehen, deutlich unwahrscheinlicher, da der Marktanteil recht klein und somit der Aufwand für die Ransomware Hersteller vermeintlich größer wäre.

Darauf würde ich mich ganz und gar nicht verlassen:

FTP Programme:
http://blog.unmaskparasites.com/2009/09/23/10-ftp-clients-malware-steals-credentials-from/

And here’s the list:

CoffeeCup Direct FTP
TransSoft FTP Control 4
Core FTP
GlobalScape CuteFTP
Far Manager (with FTP plugin)
FileZilla
FlashFXP
SmartFTP
FTP Navigator
Total Commander

Password-Manager:
http://arstechnica.com/security/2014/11/citadel-attackers-aim-to-steal-victims-master-passwords/

the malware to begin keylogging whenever Password Safe or KeePass started running

Mail-Programme und Browser:
https://www.mysonicwall.com/sonicalert/searchresults.aspx?ev=article&id=575

Mail Password Decryptor is a free tool to recover passwords from email clients. As listed by the author it supports password recovery from:
Gmail
Yahoo Mail
Hotmail
Windows Live Mail
Microsoft Outlook
Thunderbird
IncrediMail
GTalk

Browser Password Decryptor is a free tool to recover website login passwords from Web Browsers. As listed by the author it supports password recovery from:
Firefox
Internet Explorer
Google Chrome
Apple Safari
Opera
Sea Monkey
Comodo Dragon
Flock

Fernwartung:
https://duo.com/blog/new-pos-malware-steals-passwords-for-remote-access-breaching-retailers

But this isn’t the first malware attack targeting LogMeIn and other remote access application credentials - the retail malware dubbed “Backoff” by US-CERT (United States Computer Emergency Readiness Team) also targets applications like Microsoft’s Remote Desktop, Apple Remote Desktop, Chrome Remote Desktop, Splashtop, Pulseway and LogMeIn.

Router:
http://www.komando.com/happening-no...attacks-routers-steals-facebook-passwords/all

Fortunately, keeping the Moose worm out of your router is simple. Moose looks for routers from Actiontec, Hik Vision, Netgear, Synology, TP-Link, ZyXEL, Zhone and others that ship with the same default password on every router.

Instant-Messenger, Bitcoin Geldbörsen, PC Spiele:
http://www.tomsguide.com/us/nighthunter-infostealing-campaign,news-19150.html

In addition to logging user keystrokes, the NightHunter malware also gathers and relays information about the Web browsers, instant-messaging and email clients, password managers, Bitcoin wallets or video games present on an infected computer.

usw.

Und zu glauben, dass der Marktführer von Netzwerkspeichern kein Ziel einer Malware war, ist oder sein wird, ist leichtsinnig. Klar, Synolocker hat eine Lücke ausgenutzt, aber warum nicht Malware auf CloudStation ausrichten. Denn Malware die passenden Registry-Einträge oder Dateien auslesen zu lassen, die von einem CloudStation Client generiert werden, sind nur 1-2 Zeilen mehr Code in bereits existierender Malware.

Die Ransomware müsste sich dann im LAN umsehen, die Diskstation hacken und dort an die Passwörter für die zweite Ebene rankommen. Es wird immer unwahrscheinlicher, dass eine Malware das alles auf einmal kann.
Aus dem Grund bist du mit zwei NAS meiner Ansicht nach sehr sehr sicher gegen Ransomware, welche Client-Computer befällt. gegen eine neue Auflage von Synolock natürlich nicht. Dafür würde ich die zweite NAS in ein VLAN packen und via VPN auf die erste zugreifen lassen und sich von da das Backup ziehen. Die Ransomware will ich sehen, die sich durch den Tunnel der zweiten NAS ermächtigt und dann auch da alles chiffriert.

In der Richtung hatte ich ja bereits gedacht. D.h. den Login vom zweiten NAS kennt quasi nur das erste NAS in Form der VPN Zugangsdaten und um an die zu kommen müsste der Angreifer als Admin im System des ersten NAS herumdoktern. Immer noch möglich, aber da gehe ich konform, dass das langsam unwahrscheinlich sein dürfte.

EDIT: Ne Moment. Du meinst das so, dass das zweite NAS das Backup abholt. D.h. niemand kennt das Passwort vom zweiten NAS außer man muss mal wegen Wartung selbst drauf. Das finde ich eine coole Idee. Aber in Sachen VLAN bin ich Noob und besitze dafür auch keine Hardware. Ich weiß nicht mal ob es einen 10 Zoll Switch dafür gibt, der das kann. Könnte ich evtl. ähnliches mit einer Router-Kaskade und NAT erreichen? Also dass ich hingehe und das 2. NAS mit einem 2. Router in eine eigene IP-Range bringe und dann das 1. NAS über dessen öffentliche Adresse (DDNS) anspreche? Da eine Fritz!Box NAT Loopback kann, wird der Traffic ja gar nicht erst ins Internet gehen und da der 2. Router nichts durch seine Firewall lässt, kann das 2. NAS auch nicht erreicht werden.

 

[randfee]

Ich habe dir keine 100-prozentige Lösung vorgeschlagen. Alles was ich gesagt habe ist das man Stück für Stück die Sache verbessern kann. Selbst kalte, also offline Backups, Sind ja nicht per se sicher, die Malware könnte genauso gut so gestrickt sein, dass sie auf das anschließen der anderen Festplatten wartet. Hier hilft dann nur noch Schreibschutz, zum Beispiel DVDs brennen. Aber auch dann könnte man sagen, dass jemand den Brenner hakt und dann jede eingelegte DVD sofort schreibt.

Wie du zum Schluss selbst erkannt hast ist mein bester Vorschlag eine Kombination aus multiplen Nas, welche auf einander zugreifen, am besten eben nicht im selben Netzwerk. Das plus Festplatten oder DVD ist meiner Ansicht nach die beste Lösung, die man sich als Privatmann leisten kann.
Als nächstes bekomme ich noch ein neues Gerät welches BTRFS unterstützt, mehr kann ich für mich in meinen Augen nicht tun.

Eine Sache die mir aber noch Kopfzerbrechen bereitet ist die Degradation von Daten auf Festplatten. Siehe hier zu meinen anderen Thread. Hierauf hätte ich gerne eine Antwort, vielleicht hast du ja da einen Tipp

 

[independence2206]

Wie kann ich denn mehrere 100.000 Dateien überprüfen, ob denn nicht 5000 von Locky betroffen (oder einer anderen Ransomware) verschlüsselt sind? Gibt es dafür eine Software?

 

[mgutt]

Je nach Ransomware wird eine andere Dateiendung eingesetzt, die sogar zufällig sein kann:
https://www.reddit.com/r/sysadmin/comments/46361k/list_of_ransomware_extensions_and_known_ransom/

File extensions appended to files: .ecc, .ezz, .exx, .zzz, .xyz, .aaa, .abc, .ccc, .vvv, .xxx, .ttt, .micro, .encrypted, .locked, .crypto, _crypt, .crinf, .r5a, .XRNT, .XTBL, .crypt, .R16M01D05, .pzdc, .good, .LOL!, .OMG!, .RDM, .RRK, .encryptedRSA, .crjoker, .EnCiPhErEd, .LeChiffre, .keybtc@inbox_com, .0x0, .bleep, .1999, .vault, .HA3, .toxcrypt, .magic, .SUPERCRYPT, .CTBL, .CTB2, .locky or 6-7 length extension consisting of random characters.

http://www.heise.de/security/meldun...Jigsaw-droht-Dateien-zu-loeschen-3172217.html

Mit Jigsaw verschlüsselte Dateien weisen die Namenserweiterungen .BTC, .FUN und .KKK auf.

Und es werden solche oder ähnliche Dateien erstellt:

Known ransom note files: HELPDECRYPT.TXT, HELP_YOUR_FILES.TXT, HELP_TO_DECRYPT_YOUR_FILES.txt, RECOVERY_KEY.txt HELP_RESTORE_FILES.txt, HELP_RECOVER_FILES.txt, HELP_TO_SAVE_FILES.txt, DecryptAllFiles.txt DECRYPT_INSTRUCTIONS.TXT, INSTRUCCIONES_DESCIFRADO.TXT, How_To_Recover_Files.txt YOUR_FILES.HTML, YOUR_FILES.url, encryptor_raas_readme_liesmich.txt, Help_Decrypt.txt DECRYPT_INSTRUCTION.TXT, HOW_TO_DECRYPT_FILES.TXT, ReadDecryptFilesHere.txt, Coin.Locker.txt _secret_code.txt, About_Files.txt, Read.txt, ReadMe.txt, DECRYPT_ReadMe.TXT, DecryptAllFiles.txt FILESAREGONE.TXT, IAMREADYTOPAY.TXT, HELLOTHERE.TXT, READTHISNOW!!!.TXT, SECRETIDHERE.KEY IHAVEYOURSECRET.KEY, SECRET.KEY, HELPDECYPRT_YOUR_FILES.HTML, help_decrypt_your_files.html HELP_TO_SAVE_FILES.txt, RECOVERY_FILES.txt, RECOVERY_FILE.TXT, RECOVERY_FILE[random].txt HowtoRESTORE_FILES.txt, HowtoRestore_FILES.txt, howto_recover_file.txt, restorefiles.txt, howrecover+[random].txt, _how_recover.txt, recoveryfile[random].txt, recoverfile[random].txt recoveryfile[random].txt, Howto_Restore_FILES.TXT, help_recover_instructions+[random].txt, _Locky_recover_instructions.txt
Note: The [random] represents random characters which some ransom notes names may include.

Durch die Zufälligkeit kannst Du also keine 100%-tige Trefferquote gewährleisten. Wenn deine Daten entsprechend strukturiert sind lohnt vielleicht andersherum zu suchen. Soll heißen alle Dateien ausgeben lassen die nicht jpg sind, wenn es sich um einen Bilder-Ordner handelt usw.

 

[eddie irvine]

Mal eine blöde Frage:
Wenn ich auf der DS per Hyper Backup wöchentlich ein versioniertes und verschlüsseltes Backup erstelle, sind die ursprünglichen (und unverschlüsselten) Daten nach einem Trojanerangriff doch immer noch vorhanden, oder nicht?
Und wenn ich diese Backups dann noch per Could Sync in die Cloud sichere, dann sehe ich die Situation eigentlich relativ entspannt.

 

[dil88]

Ja, als Versionen sind die Daten vorhanden. Wenn der Speicherplatz nicht reicht, wird sich Hyper-Backup hoffentlich mit Fehlermeldung beenden und nicht die alten Versionen löschen. Wenn Cloud Sync auch die alten Versionen sichert, dann ist das ebenfalls hilfreich.

 

[eddie irvine]

Wenn Cloud Sync auch die alten Versionen sichert, dann ist das ebenfalls hilfreich.

Per Cloud Sync synchronisiere ich einfach die Hyper Backups.

Jetzt müsste nur noch die Wiederherstellung unter Windows funktionieren, damit ich der Sache vollends traue

 

[dil88]

Was genau sicherst Du denn dann mit Cloud Sync? Die Datenbankfiles, die Hyper-Backup auf dem Volume speichert?

 

[eddie irvine]

Was genau sicherst Du denn dann mit Cloud Sync? Die Datenbankfiles, die Hyper-Backup auf dem Volume speichert?

Genau.
Da diese schon verschlüsselt sind, muss Cloud Sync das dann nicht mehr übernehmen.