NAS wirksam vor Ransomware schützen?

ruby

Benutzer
Mitglied seit
21. Dez 2020
Beiträge
79
Punkte für Reaktionen
15
Punkte
8
Gelesen schon, aber wohl nicht komplett verstanden...
 

ruby

Benutzer
Mitglied seit
21. Dez 2020
Beiträge
79
Punkte für Reaktionen
15
Punkte
8
Ich arbeite gerade die 17 NAS-Tips ab. Das Meiste ist schon umgesetzt, aber die Erläuterungen dazu sind einem interessierten Laien schon ein große Hilfe.
 
  • Like
Reaktionen: ctrlaltdelete

stevenfreiburg

Benutzer
Mitglied seit
05. Apr 2022
Beiträge
245
Punkte für Reaktionen
126
Punkte
93
Systemsteuerung -> Dateidienste Reiter "SMB" -> Erweiterte Einstellungen -> Sonstiges -> Veto-Dateien
Hier Dateiendungen, die von Ransomware benutzt werden, eintragen und die der NAS verweigern soll. Z.B.: /*.bin/*.enc/*.ENC/...
Dann versuch' mal auf dem NAS eine solche Datei mit dieser Endung zu erzeugen, umzuwandeln oder vom PC zum NAS zu schieben - geht nicht (mehr)!
Der Ansatz hört sich zwar gut an, ist so in der Praxis aber unbrauchbar (leider!).

Mein NAS, bzw. ALLE Daten darauf, wurden letztes Jahr komplett verschlüsselt, s. hier.
Die neuen Dateinamen waren z.B.
20210427_122138.jpg.zpTlaAKeQ

Blacklisting kann also nicht der Weg zu besserem Schutz vor Ransomware sein.

Vielleicht aber ist "Whitelisting" praktikabel ?
Also nur erlaubte Dateiendungen zulassen.
(geht sowas überhaupt?!).
Immerhin sind das ja meist keine individuellen Angriffe, sondern "dumme" Scripte.
Und solange nur wenige User Dateiendungen blockieren, gibt die Methode sicher einen gewissen Schutz.
Solange bis die Schurken es anpassen...
 
Zuletzt bearbeitet:

Flessi

Benutzer
Mitglied seit
14. Sep 2012
Beiträge
469
Punkte für Reaktionen
63
Punkte
34

metalworker

Benutzer
Sehr erfahren
Mitglied seit
25. Apr 2023
Beiträge
3.533
Punkte für Reaktionen
1.361
Punkte
194
man darf sowas halt nur als kleinen Baustein sehen sein System zu schützen.
 

Flessi

Benutzer
Mitglied seit
14. Sep 2012
Beiträge
469
Punkte für Reaktionen
63
Punkte
34

Flessi

Benutzer
Mitglied seit
14. Sep 2012
Beiträge
469
Punkte für Reaktionen
63
Punkte
34
@metallworker
... und so war es gemeint.
 

stevenfreiburg

Benutzer
Mitglied seit
05. Apr 2022
Beiträge
245
Punkte für Reaktionen
126
Punkte
93
Man kann doch sicher einer verschlüsselten Datei auch eine gebräuchliche Endung zuordnen.

Meine Aussage mit dem Beispiel aus meiner eigener leidvollen Erfahrung scheint nicht angekommen zu sein oder missverstehe ich was du meinst?

Die Dateiendungen von durch Ransomware verschlüsselten Dateien sind ZUFÄLLIGE Zeichenfolgen.
Sowas kriegst du mit KEINER Liste abgefrühstückt/abgefangen.
Deshalb hatte ich geschrieben, dass dieses "Blacklisting" ein Holzweg ist und keinerlei Sicherheit bringt.
Wenn überhaupt, dann kann nur "Whitelisting" funktionieren, also Zulassen von erlaubten Dateiendungen; alle anderen Dateiendungen wäre dann verboten.
Und dann löscht der Virus dir trotzdem alle Dateien weg ;)
Dazu die Vielzahl möglicher Dateiendungen für die notwendige Whitelist, so eine Methode ist für mich nix, das bleibt für mich nur eine "nette Idee".

Ich setze (weiterhin) auf :
1. externe USB HDD
2. 1-jährige pCloud Historie//timemachine
3. zeitgesteuerte Pull Backups (ähnlich wie Synchrotron, s. #23)

Und damit komme ich mir nun vor wie einer aus der "Gürtel- plus Hosenträger" Fraktion über die ich früher immer gerne abgelästert habe :ROFLMAO:
 

metalworker

Benutzer
Sehr erfahren
Mitglied seit
25. Apr 2023
Beiträge
3.533
Punkte für Reaktionen
1.361
Punkte
194
Backups sind einfach das A und O .
Kann man nicht anders sagen
 

ctrlaltdelete

Benutzer
Contributor
Sehr erfahren
Maintainer
Mitglied seit
30. Dez 2012
Beiträge
14.044
Punkte für Reaktionen
6.053
Punkte
569
Und nochmal.
3-2-1 Backup und immutable Snaphots und du bist safe.
Sichere Passwörter und 2FA vorausgesetzt!
 

Flessi

Benutzer
Mitglied seit
14. Sep 2012
Beiträge
469
Punkte für Reaktionen
63
Punkte
34
Meine Aussage mit dem Beispiel aus meiner eigener leidvollen Erfahrung scheint nicht angekommen zu sein oder missverstehe ich was du meinst?

Also nur erlaubte Dateiendungen zulassen.
So war der Vorschlag für die Veto-Datei.
Wenn überhaupt, dann kann nur "Whitelisting" funktionieren, also Zulassen von erlaubten Dateiendungen; alle anderen Dateiendungen wäre dann verboten.
Das würde aber nichts bringen, wenn möglicherweise bei einer verschlüsselten Datei eine gebräuchliche Endung benutzt werden kann(?).
 

stevenfreiburg

Benutzer
Mitglied seit
05. Apr 2022
Beiträge
245
Punkte für Reaktionen
126
Punkte
93
Nach meinem Verständnis ist "Vetodatei" = Blacklisting, es werden bestimmte Dateiendungen ausgeschlossen.

Meinen konkreter Fall
20210427_122138.jpg.zpTlaAKeQ
wäre damit nicht verhindert worden.

Mit Whitelist allerdings schon.
Denn mittels Whitelist wäre alles verboten, was nicht explizit erlaubt ist, viel umfangreicher also. Hat aber auch Grenzen, wie du selbst ja grade richtigerweise drauf hinweist.

Trotzdem, wenn nur 80 Prozent (?) der Schädlinge unwirksam würden, das hört sich ja schon mal gut an.
Aber wie gesagt, hört sich nur gut an, mehr nicht.



Mir als Anfänger würde die konkrete Umsetzung mit einer Whitelist Kopfschmerzen bereiten.

Zusätzlich verhindert dieser Ansatz zwar (eventuell) Schaden durch Ransomware. Aber das System ist kompromittiert, die Ransomware ist auf dem System und sie verbleibt auch dort.
So etwas kann niemand gut finden.
 
Zuletzt bearbeitet:

Synchrotron

Benutzer
Sehr erfahren
Mitglied seit
13. Jul 2019
Beiträge
5.132
Punkte für Reaktionen
2.091
Punkte
259
Zusätzlich verhindert dieser Ansatz zwar (eventuell) Schaden durch Ransomware. Aber das System ist kompromittiert, die Ransomware ist auf dem System und sie verbleibt auch dort.
So etwas kann niemand gut finden.
Genau so ist es. Ähnlich wirksam wie Nivea gegen Syphilis …
 
  • Haha
Reaktionen: stevenfreiburg


 

Kaffeautomat

Wenn du das Forum hilfreich findest oder uns unterstützen möchtest, dann gib uns doch einfach einen Kaffee aus.

Als Dankeschön schalten wir deinen Account werbefrei.

:coffee:

Hier gehts zum Kaffeeautomat