Hallo,
@JackOh
bitte keine Vollzitate und erst recht nicht wenn Du direkt antwortest.
Danke.
Gruß Götz
@JackOh
bitte keine Vollzitate und erst recht nicht wenn Du direkt antwortest.
Danke.
Gruß Götz
Dateien per Verschlüsselungs-Trojaner CryptoLocker/Cyrypt0L0cker verschlüsselt
- Ersteller JackOh
- Erstellt am
- Status
tschortsch
Benutzer
- Mitglied seit
- 16. Dez 2008
- Beiträge
- 1.645
- Punkte für Reaktionen
- 34
- Punkte
- 74
Stimmt soweit aber der Cryptolocker hat scheinbar nicht deine Dateien angegriffen sondern die Backupdatenbank. Und in dieser Datenbank sind nicht nur die zuletzt verschlüsselten Dateinen sonder auch die zuvor unverschlüsselten Dateien.
Schon möglich aber siehe oben.
Kann schon sein aber das Problem kann auf der Windows Clienten Seite liegen:
Wenn sich irgendwann mal ein Admin (zb beim Einrichten und ausprobieren) mit seinen Admin Zugangdaten von einem Windows User Account einloggt speichert meistens Windwos diese Zugangsdaten zu dem unpriviligierten User.
Nach der Einrichtung wird darauf vergessen.
Wenn dann ein Windows User glaubt er meldet sich an der DS mit seine (unpriviligierten) Zugangsdaten an nimmt Windows in wirklichkeit aber die Admin Zugangsdaten und hat dann vollen Zugriff. Ein Trojan hat ebenfalls die gleichen (schreib)Recht.
Kontrolierne kannst du das in der Windows Benutzerkontensteuerung bei den Usern (gespeicherte Anmeldedaten oder so)
- Mitglied seit
- 30. Jun 2015
- Beiträge
- 3.332
- Punkte für Reaktionen
- 623
- Punkte
- 174
Wenn ich mir den ScreenShot aus #1 ansehe, dann ist das kein typisches DB-basierendes Backup, sondern als Filecopy.
Ergo keine Versionierung und letztes Backup ist vermutlich mit den "verschlüsselten" Files gemacht worden?
Da sind die Daten wohl futsch
BTW:
Hier im Verein, wo wir mit Dropbox eine gemeinsame Ablage haben, hatte ich dieser Tage ebenfalls diesen Crypto-Mist am Hals.
Jedoch hat es irgendein Dropbox-Mechanismus verhindert, die originalen Dateien zu löschen.
Also musste ich nur die parallel verschlüsselten Files "entsorgen" und die Geschichte war für mich erledigt.
Die Dateien auf dem verursachenden PC waren wie gewohnt "kaputt" und mußten aus einem Backup hergestellt werden.
Ergo keine Versionierung und letztes Backup ist vermutlich mit den "verschlüsselten" Files gemacht worden?
Da sind die Daten wohl futsch
BTW:
Hier im Verein, wo wir mit Dropbox eine gemeinsame Ablage haben, hatte ich dieser Tage ebenfalls diesen Crypto-Mist am Hals.
Jedoch hat es irgendein Dropbox-Mechanismus verhindert, die originalen Dateien zu löschen.
Also musste ich nur die parallel verschlüsselten Files "entsorgen" und die Geschichte war für mich erledigt.
Die Dateien auf dem verursachenden PC waren wie gewohnt "kaputt" und mußten aus einem Backup hergestellt werden.
Ich sehe das eher so: Zu jedem HyperBackup gibt es ja auch ein paar Systemdateien, welche in dem Zielverzeichnis angelegt werden. Die sind sicherlich wichtig und essentiell um den Restore durchzuführen oder aber über den Hyper Backup Explorer auf die Daten zu zugreifen. Da diese nun aber wahrscheinlich auch verschlüsselt sind, da sie ja im Zielverzeichnis liegen ist das komplette Backup korrupt und für die Tonne.
- Mitglied seit
- 03. Feb 2012
- Beiträge
- 18.991
- Punkte für Reaktionen
- 629
- Punkte
- 484
Ich kann mich ja täuschen, aber wirbt Synology mit Hyper Backup nicht genau gegen diese Krypto Locker?
Schützen Sie sich vor verschlüsselungsbasierter Ransomware
Schützen Sie sich vor verschlüsselungsbasierter Ransomware
- Mitglied seit
- 30. Jun 2015
- Beiträge
- 3.332
- Punkte für Reaktionen
- 623
- Punkte
- 174
Das täte schon stimmen, Puppetmaster, aber der TE hat nur eine "lokale Datenkopie" eingerichtet, soweit ich das aus dem Screenshot sehe.
=> keine Versionierung
=> keine Container-Files
Die Daten sind nun mal futsch
=> keine Versionierung
=> keine Container-Files
Die Daten sind nun mal futsch
- Mitglied seit
- 03. Sep 2012
- Beiträge
- 30.678
- Punkte für Reaktionen
- 2.078
- Punkte
- 829
Ist das in diesem Fall nicht wurscht? Wenn die externe Platte sich vom Rechner aus einbinden ließ, wurden die Dateien darauf verschlüsselt. Das macht die DB-Files eines HyperBackups ebenso unbrauchbar wie die direkt im Filesystem abgelegten Dateien der "Lokalen Datenkopie".
Wenn man einzelne Versionen übers Netzwerk hätte sollte das theoretisch kein Problem sein, da man ja dann einfach eine ältere Version nutzen könnte.
Aber lokal wird dann halt einfach alles verschlüsselt und das war es.
Selbst ein pi + Platte sollte da versioniert schon ein guter Schutz sein.
Ich sicher abwechselnd auch per Netzwerk auf zwei verschiedene Geräte. Am besten dann immer entsprechend einen Puffer einplanen, damit nicht alles zur selben Zeit betroffen ist. Aber selbst versioniert bzw. Recycle per rsync (Netzwerk) sollte eine gute Maßnahme dagegen sein.
Aber lokal wird dann halt einfach alles verschlüsselt und das war es.
Selbst ein pi + Platte sollte da versioniert schon ein guter Schutz sein.
Ich sicher abwechselnd auch per Netzwerk auf zwei verschiedene Geräte. Am besten dann immer entsprechend einen Puffer einplanen, damit nicht alles zur selben Zeit betroffen ist. Aber selbst versioniert bzw. Recycle per rsync (Netzwerk) sollte eine gute Maßnahme dagegen sein.
- Mitglied seit
- 30. Jun 2015
- Beiträge
- 3.332
- Punkte für Reaktionen
- 623
- Punkte
- 174
Hallo dil
Hmmmm, ich fürchte, ich muss mich präziser ausdrücken, was nicht wirklich meine stärke ist
Ich bin bisher davon ausgegangen, dass die Datensicherung täglich rennt.
Desweiteren unterstelle ich, die externe Disk ist ständig angeschlossen.
Ein User hat zusätzlich Admin-Rechte.
Sein PC konnte das Backuplaufwerk "sehen" und der Trojaner somit sich austoben.
Ja, Containerfiles würden vermutlich auch zerstört werden.
Von daher halte ich das bei mir so, dass das Backup-Share im Netz nicht sichtbar ist. Hyperbackup kann nur unter DSM dort arbeiten und auf das Share zugreifen. Es werden ausschliesslich Containerfiles des HB genutzt.
Von daher stammt meine Sichtweise auf dieses Thema hier.
Hmmmm, ich fürchte, ich muss mich präziser ausdrücken, was nicht wirklich meine stärke ist
Ich bin bisher davon ausgegangen, dass die Datensicherung täglich rennt.
Desweiteren unterstelle ich, die externe Disk ist ständig angeschlossen.
Ein User hat zusätzlich Admin-Rechte.
Sein PC konnte das Backuplaufwerk "sehen" und der Trojaner somit sich austoben.
Ja, Containerfiles würden vermutlich auch zerstört werden.
Von daher halte ich das bei mir so, dass das Backup-Share im Netz nicht sichtbar ist. Hyperbackup kann nur unter DSM dort arbeiten und auf das Share zugreifen. Es werden ausschliesslich Containerfiles des HB genutzt.
Von daher stammt meine Sichtweise auf dieses Thema hier.
Ja das meine ich ja. Selbst wenn eine versionierung genutzt wird, hätte das wahrscheinlich nichts gebracht, da alles verschlüsselt wird.
Ist aber auch so ein Grund warum ich mit UB fromssh und andere Sicherungen. So kann es nicht passieren, dass alles verschlüsselt wird egal ob admin Rechte oder nicht.
Ist aber auch so ein Grund warum ich mit UB fromssh und andere Sicherungen. So kann es nicht passieren, dass alles verschlüsselt wird egal ob admin Rechte oder nicht.
TeXniXo
Benutzer
- Mitglied seit
- 07. Mai 2012
- Beiträge
- 4.948
- Punkte für Reaktionen
- 100
- Punkte
- 134
Das musst und solltest du uns bitte näher erläutern? Das kann ich nicht so ganz nachvollziehen, da dies auch Systemdateien angreift, nicht?
Ich bin jetzt mal auf der Suche nach der vernünftigen Lösung vor solchen Trojanern. Nur ein User X ohne Adminrechte hätte Zugriff auf z.B. externe HDD - aber da kann HyperBackup die Daten ja ohnehin dort sichern. Ergo: es nützt ja gar nichts?
Du solltest für deine Backupjobs mit Hyper Backup dann einen eigenen User ohne Adminrechte anlegen. Dieser sollte dann nur auf den gemeinsamen Ordner Zugriff haben wo die zu backupenden Daten liegen. Dann hat der User noch Berechtigung für das Backup Ziel als möglicherweise das externe USB Laufwerk. Das soll es dann aber gewesen sein. Diesen User solltest du nie zb auf dem Windows Rechner nutzen um über die Netzwerkfreigabe auf deine DS zuzugreifen. Dann ist das schon "sicher" vor dem Trojaner..
TeXniXo
Benutzer
- Mitglied seit
- 07. Mai 2012
- Beiträge
- 4.948
- Punkte für Reaktionen
- 100
- Punkte
- 134
Ok, hatte da einen kleinen Denkfehler.
Also mit diesem Benutzer-Account extra via DSM einloggen und Backup-Jobs einrichten. Dann soll's gehen!
Werde ich dann auch via Push benachrichtigt, wenn die Jobs erledigt sind, wenn ich extra einen Eintrag in DS Finder mit diesem Benutzer-Account anlege (neben anderen mit meinem "regulären" Account)?
Also mit diesem Benutzer-Account extra via DSM einloggen und Backup-Jobs einrichten. Dann soll's gehen!
Werde ich dann auch via Push benachrichtigt, wenn die Jobs erledigt sind, wenn ich extra einen Eintrag in DS Finder mit diesem Benutzer-Account anlege (neben anderen mit meinem "regulären" Account)?
Perry2000
Benutzer
- Mitglied seit
- 05. Nov 2012
- Beiträge
- 829
- Punkte für Reaktionen
- 16
- Punkte
- 44
Bist Du da sicher?
Das nützt aber nix, wenn der Windoof User Admin Rechte auf der DS besitzt. Ein Admin hat doch überall Rechte. Oder stehe ich auf dem Schlauch?
Warum sollte der Windows Account denn (in einer normalen Umgebung ohne Active Directory, LDAP, etc) automatisch Adminrechte auf der DS haben? Du legst ja "normal" in der DS einen Account an. Wenn du dann über Windows zu deinem Netzlaufwerk "\\dsxxx\beispiel_gemeinsamer_ordner" navigieren willst musst du ja den Account und das Passwort des Users eingeben, welchen du in der DS angelegt hast.. Also in meiner Umgebung zuhause ist es daher so, dass ich den Windows Account und den DS-Account von einander getrennt habe..
Du brauchst ja nur einen rsync nutzen und die Daten von einer DS ziehen und dann lokal Versionieren.
Wenn man es ganz streng ist lässt man nur die gewünschten Befehle zu.
Gibt einige Lösungen, jeder muss nur die beste für sich finden.
- Mitglied seit
- 27. Mai 2015
- Beiträge
- 188
- Punkte für Reaktionen
- 3
- Punkte
- 24
Also um weiteren Spekulationen vorzubeugen. Leider habe ich den Rechner sofort ausgeschaltet und ohne damit weiter zu werkeln direkt platt gemacht und Windows neu installiert. Daher kann ich nicht 100% sagen, ob der User von Win aus Zugriff auf das USB Laufwerk hatte. Es kann aber sehr wahrscheinlich sein, da der User ziemlich viel durfte. Ich gehe jetzt einfach davon aus, dass die USB Platte von diesem Client aus wohl erreichbar war. Wenn nicht als verbundenes Netzlaufwerk, dann dennoch erreichbar unter Netzwerk im Explorer. Also hier sollte man zukünftig unbedingt die Normal-User keinen Zugriff auf die USB Platte von Win aus erlauben. Das sollte explizit unterbunden werden.
Die Sicherung, die auf der DS eingerichtet wurde war noch aus Zeiten vor dem Hyper Backup. Wie man in dem Screenshot sieht, findet R-Studio Dateien, die anscheinend HB gehören. Und ja, diese wurden verschlüsselt. Der Angriff fand am 02.02.2017 ca. gegen 12:00 Uhr statt, was man aus dem Screenshot unter der Spalte "Verändert" auch erkennen kann.
Egal ob Filecopy oder Datenbanksicherung mit Versionierung. Alles auf der DS und der USB HDD wurde verschlüsselt. Was ich nicht verstehe ist, warum R-Studio keine Dateien vom 01.02.2017 um 20:00 Uhr findet. Weder die Dateien als solche oder die HB-Datenbank. Der Trojaner hat doch die Dateien entweder nach dem Verschlüsseln gelöscht oder die Dateien verschlüsselt und umbenannt bzw. der Erweiterung noch Hyroglyphen hinzugefügt. Aber R-Studio müsste doch an diese Dateien in der vorherigen Version oder im gelöschten Zustand finden. Ich habe die Platte sofort getrennt, damit auch keine weiteren Schreibvorgänge darauf möglich sind, um den Verlust minimal zu halten. Sonst hat das bei vergangenen Datenrettungsversuchen immer funktioniert? Kennt jemand die Software? Wo kann man denn genau nur nach gelöschten Dateien suchen? Den Support kann man nicht so gut erreichen. Es gibt nur eine Tel. Nr. in USA, was ich bisher fand.
Die Sicherung, die auf der DS eingerichtet wurde war noch aus Zeiten vor dem Hyper Backup. Wie man in dem Screenshot sieht, findet R-Studio Dateien, die anscheinend HB gehören. Und ja, diese wurden verschlüsselt. Der Angriff fand am 02.02.2017 ca. gegen 12:00 Uhr statt, was man aus dem Screenshot unter der Spalte "Verändert" auch erkennen kann.
Egal ob Filecopy oder Datenbanksicherung mit Versionierung. Alles auf der DS und der USB HDD wurde verschlüsselt. Was ich nicht verstehe ist, warum R-Studio keine Dateien vom 01.02.2017 um 20:00 Uhr findet. Weder die Dateien als solche oder die HB-Datenbank. Der Trojaner hat doch die Dateien entweder nach dem Verschlüsseln gelöscht oder die Dateien verschlüsselt und umbenannt bzw. der Erweiterung noch Hyroglyphen hinzugefügt. Aber R-Studio müsste doch an diese Dateien in der vorherigen Version oder im gelöschten Zustand finden. Ich habe die Platte sofort getrennt, damit auch keine weiteren Schreibvorgänge darauf möglich sind, um den Verlust minimal zu halten. Sonst hat das bei vergangenen Datenrettungsversuchen immer funktioniert? Kennt jemand die Software? Wo kann man denn genau nur nach gelöschten Dateien suchen? Den Support kann man nicht so gut erreichen. Es gibt nur eine Tel. Nr. in USA, was ich bisher fand.
- Status
Kaffeautomat
Wenn du das Forum hilfreich findest oder uns unterstützen möchtest, dann gib uns doch einfach einen Kaffee aus.
Als Dankeschön schalten wir deinen Account werbefrei.
