NAS wirksam vor Ransomware schützen?

ruby · 19. Aug 2024

Gelesen schon, aber wohl nicht komplett verstanden...

Anzeige · 18. Aug 2024

Hallo ruby,

Bücher und Hardware zum Thema gibt es bei Amazon: NAS wirksam vor Ransomware schützen?

ruby · 19. Aug 2024

Ich arbeite gerade die 17 NAS-Tips ab. Das Meiste ist schon umgesetzt, aber die Erläuterungen dazu sind einem interessierten Laien schon ein große Hilfe.

stevenfreiburg · 20. Aug 2024

Flessi schrieb:
Systemsteuerung -> Dateidienste Reiter "SMB" -> Erweiterte Einstellungen -> Sonstiges -> Veto-Dateien
Hier Dateiendungen, die von Ransomware benutzt werden, eintragen und die der NAS verweigern soll. Z.B.: /*.bin/*.enc/*.ENC/...
Dann versuch' mal auf dem NAS eine solche Datei mit dieser Endung zu erzeugen, umzuwandeln oder vom PC zum NAS zu schieben - geht nicht (mehr)!

Der Ansatz hört sich zwar gut an, ist so in der Praxis aber unbrauchbar (leider!).

Mein NAS, bzw. ALLE Daten darauf, wurden letztes Jahr komplett verschlüsselt, s. hier.
Die neuen Dateinamen waren z.B.
20210427_122138.jpg.zpTlaAKeQ

Blacklisting kann also nicht der Weg zu besserem Schutz vor Ransomware sein.

Vielleicht aber ist "Whitelisting" praktikabel ?
Also nur erlaubte Dateiendungen zulassen.
(geht sowas überhaupt?!).
Immerhin sind das ja meist keine individuellen Angriffe, sondern "dumme" Scripte.
Und solange nur wenige User Dateiendungen blockieren, gibt die Methode sicher einen gewissen Schutz.
Solange bis die Schurken es anpassen...

Flessi · 20. Aug 2024

stevenfreiburg schrieb:
Und solange nur wenige User Dateiendungen blockieren, gibt die Methode sicher einen gewissen Schutz.

... und deshalb habe ich lange gezögert, dies (öffentlich) zu schreiben.

metalworker · 20. Aug 2024

man darf sowas halt nur als kleinen Baustein sehen sein System zu schützen.

Flessi · 20. Aug 2024

stevenfreiburg schrieb:
Und solange nur wenige User Dateiendungen blockieren, gibt die Methode sicher einen gewissen Schutz.

... und deshalb habe ich lange gezögert, dies (öffentlich) zu schreiben.

stevenfreiburg schrieb:
Also nur erlaubte Dateiendungen zulassen.

Man kann doch sicher einer verschlüsselten Datei auch eine gebräuchliche Endung zuordnen.
Also hilft nur (evtl.) ALLE Möglichkeiten zur Abwehr zu nutzen.

Flessi · 20. Aug 2024

@metallworker
... und so war es gemeint.

stevenfreiburg · 20. Aug 2024

Flessi schrieb:
Man kann doch sicher einer verschlüsselten Datei auch eine gebräuchliche Endung zuordnen.

Meine Aussage mit dem Beispiel aus meiner eigener leidvollen Erfahrung scheint nicht angekommen zu sein oder missverstehe ich was du meinst?

Die Dateiendungen von durch Ransomware verschlüsselten Dateien sind ZUFÄLLIGE Zeichenfolgen.
Sowas kriegst du mit KEINER Liste abgefrühstückt/abgefangen.
Deshalb hatte ich geschrieben, dass dieses "Blacklisting" ein Holzweg ist und keinerlei Sicherheit bringt.
Wenn überhaupt, dann kann nur "Whitelisting" funktionieren, also Zulassen von erlaubten Dateiendungen; alle anderen Dateiendungen wäre dann verboten.
Und dann löscht der Virus dir trotzdem alle Dateien weg

Dazu die Vielzahl möglicher Dateiendungen für die notwendige Whitelist, so eine Methode ist für mich nix, das bleibt für mich nur eine "nette Idee".

Ich setze (weiterhin) auf :
1. externe USB HDD
2. 1-jährige pCloud Historie//timemachine
3. zeitgesteuerte Pull Backups (ähnlich wie Synchrotron, s. #23)

Und damit komme ich mir nun vor wie einer aus der "Gürtel- plus Hosenträger" Fraktion über die ich früher immer gerne abgelästert habe

metalworker · 20. Aug 2024

Backups sind einfach das A und O .
Kann man nicht anders sagen

ctrlaltdelete · 20. Aug 2024

Und nochmal.
3-2-1 Backup und immutable Snaphots und du bist safe.
Sichere Passwörter und 2FA vorausgesetzt!

Flessi · 20. Aug 2024

stevenfreiburg schrieb:
Meine Aussage mit dem Beispiel aus meiner eigener leidvollen Erfahrung scheint nicht angekommen zu sein oder missverstehe ich was du meinst?

stevenfreiburg schrieb:
Also nur erlaubte Dateiendungen zulassen.

So war der Vorschlag für die Veto-Datei.

stevenfreiburg schrieb:
Wenn überhaupt, dann kann nur "Whitelisting" funktionieren, also Zulassen von erlaubten Dateiendungen; alle anderen Dateiendungen wäre dann verboten.

Das würde aber nichts bringen, wenn möglicherweise bei einer verschlüsselten Datei eine gebräuchliche Endung benutzt werden kann(?).

stevenfreiburg · 21. Aug 2024

Nach meinem Verständnis ist "Vetodatei" = Blacklisting, es werden bestimmte Dateiendungen ausgeschlossen.

Meinen konkreter Fall
20210427_122138.jpg.zpTlaAKeQ
wäre damit nicht verhindert worden.

Mit Whitelist allerdings schon.
Denn mittels Whitelist wäre alles verboten, was nicht explizit erlaubt ist, viel umfangreicher also. Hat aber auch Grenzen, wie du selbst ja grade richtigerweise drauf hinweist.

Trotzdem, wenn nur 80 Prozent (?) der Schädlinge unwirksam würden, das hört sich ja schon mal gut an.
Aber wie gesagt, hört sich nur gut an, mehr nicht.

Mir als Anfänger würde die konkrete Umsetzung mit einer Whitelist Kopfschmerzen bereiten.

Zusätzlich verhindert dieser Ansatz zwar (eventuell) Schaden durch Ransomware. Aber das System ist kompromittiert, die Ransomware ist auf dem System und sie verbleibt auch dort.
So etwas kann niemand gut finden.

Synchrotron · 21. Aug 2024

stevenfreiburg schrieb:
Zusätzlich verhindert dieser Ansatz zwar (eventuell) Schaden durch Ransomware. Aber das System ist kompromittiert, die Ransomware ist auf dem System und sie verbleibt auch dort.
So etwas kann niemand gut finden.

Genau so ist es. Ähnlich wirksam wie Nivea gegen Syphilis …

Suche

NAS wirksam vor Ransomware schützen?

ruby

Benutzer

Anzeige

ruby

Benutzer

stevenfreiburg

Benutzer

Flessi

Benutzer

metalworker

Benutzer

Flessi

Benutzer

Flessi

Benutzer

stevenfreiburg

Benutzer

metalworker

Benutzer

ctrlaltdelete

Benutzer

Flessi

Benutzer

stevenfreiburg

Benutzer

Synchrotron

Benutzer

Kaffeautomat