Ransomware Protection

[j-m-s]

Ich hätte gerne einen Schutz gegen Ransomware, also diese Verschlüsselungs-Trojaner.
Könnte die DS nicht sperren, wenn in 10 Minuten mehr als 10 Dateien gelöscht werden?

(Natürlich nur als einschaltbare Sicherheitsoption, Minuten und Anzahl wählbar)

 

[Puppetmaster]

Dann wäre meine DS aber ständig gesperrt ;-)

 

[j-m-s]

Dann wäre meine DS aber ständig gesperrt ;-)

Brauchst die Option ja nicht einschalten...

 

[DanFu]

wenn in 10 Minuten mehr als 10 Dateien gelöscht werden?

Ransomware löscht die Dateien nicht, sie werden "nur" verändert

 

[raymond]

Nette Idee, aber wird nicht klappen.
Der Schutz muss auf den Clients aktiv werden (Virenscanner, die diesen erkennen und dort Verschlüsselungsoperationen verhindern).

 

[j-m-s]

Ransomware löscht die Dateien nicht, sie werden "nur" verändert

Du kannst sicher sein, dass man eine Datei nicht verschlüsselt, indem man sie im update-modus öffnet. Man liest sie, verschlüsselt sie, schreibt die verschlüsselte raus und löscht das original.

 

[j-m-s]

Der Schutz muss auf den Clients aktiv werden (Virenscanner, die diesen erkennen und dort Verschlüsselungsoperationen verhindern).

Schön wäre es. In der Realität können es die Virenscanner aber nicht, sonst würden sie es schon lange verhindern.
Deswegen ja auch meine Frage.

 

[jahlives]

das Problem bei der Verhaltenserkennung: was unterscheidet eine gewollte Verschlüsselung durch den User von einer ungewollten durch einen Trojaner? Wie kann man eine Verschlüsselung überhaupt von einer normalen Änderung einer Datei unterscheiden?
Das ist das grosse Problem bei der Heuristik, da können dann nur signaturbasierte Verfahren mehr leisten. Nur sind diese eine gewisse Zeit lang blind bis bei einer neuen Bedrohung die Signaturen aktualisiert wurden. Und auch dann braucht es nur relativ geringe Anpassungen bei der Malware und man fliegt wieder unter dem Radar der Signaturen durch.
Als Beispiel die aktuelle Locky Welle: man weiss dass zwischen initialer Infektion und Beginn der "Verschlüsselungsarbeit" einige Zeit vergangen ist. Erst auf ein Signal hin hat die Malware mit der Verschlüsselung begonnen. Da waren aber schon x-tausende Systeme infiziert und bis die AV Hersteller ihre Signaturen angepasst hatten (weil sie vorher schlicht nichts von der Malware wissen konnten) war es für viele dieser erst-infizierten Systeme bereits zu spät

 

[j-m-s]

Und genau deswegen haben herkömmliche Scanner keine Chance. Es gibt etwas von der Firma Malwarebytes (https://forums.malwarebytes.org/topic/177751-introducing-malwarebytes-anti-ransomware/), das ist noch beta.
Ansonsten ist es das einfachste, Massenverschlüsselung zu unterbinden. Und wenn ein Benutzer wirklich seine Dateien verschlüsseln will, muss er das System halt solange abschalten.
Es wäre trivial für die NAS, solche Massenänderungen zu unterbinden. Natürlich muss das zu- und abschaltbar sein.

 

[Puppetmaster]

Also vom Ansatz her finde ich die Idee sehr gut, ich halte sie nur im echten Betrieb für wenig anwendbar.

Wie schon gesagt: wenn ich arbeite, lösche (ändere) ich permanent Dateien, da würde ich mich ständig selbst sperren.
Wenn du dann noch mehrere parallel arbeitende User hast, kannst du das eigentlich gleich vergessen.

Zumindest wirst du wenig Lust haben, ständig das "Feature" aus- und wieder einzuschalten.

Wenn deine Büchse alleine da steht und nur Fotos, Musik und Filme beherberg (statisch), dann mag das noch gehen, aber nicht auf einem produktiven System.

Hast du auch noch Dinge wie die Mailstation aktiv, kannst du es gleich vergessen, da wird ja permanent gelöscht und geschrieben.

 

[jahlives]

@j-m-s
dann definiere mal wie sich eine Verschlüsselung, was ja auch nichts anderes als eine Veränderung der Datei, von einer normalen Schreiboperation unterscheiden soll. Ich bin mit dir einig, dass es technisch möglich wäre indem man schlicht alle Änderungen unterbindet. Aber ich gehe auch mit Puppetmaster einig, dass das nicht praktikabel ist. Der 0815 User wird von dieser Einschränkung so genervt sein, dass er den Schutz permanent abschaltet. Ähnlich wie bei den UAC Nachfragen von Windows. Denn um die Schattenkopien bei Windows zu löschen ist eine solche Nachfrage seitens des Systems fast zwangsläufig. Ich würde frech behaupten 90% der Locky Opfer haben bei der Nachfrage schlicht Ja gedrückt.
Die nächste Frage wäre dann wie wird dieser Schutz auf der DS implementiert. Pro User, global, für welche Dienste? Macht man es pro User dann muss auch jeder User Zugriff auf den DSM haben um die Option für sich zu deaktivieren. Macht man es global, muss jeder User den Admin anrufen. Baut man diesen Schutz nur für bestimmte Dienste (z.B. SMB) ein, wie ist man denn geschützt wenn der Zugriff nicht via einen dieser Dienste kommt? Für alle Dienste könnte der Schutz nur so ausschauen, dass das Filesystem RO eingehängt wird. Was aber wieder brutalst unpraktikabel wäre

 

[j-m-s]

Wie schon gesagt: wenn ich arbeite, lösche (ändere) ich permanent Dateien, da würde ich mich ständig selbst sperren.
Wenn du dann noch mehrere parallel arbeitende User hast, kannst du das eigentlich gleich vergessen.
Zumindest wirst du wenig Lust haben, ständig das "Feature" aus- und wieder einzuschalten.

Also ich lösche selten 10 Dateien in 10 Minuten.
Die Sperre ist natürlich pro User separat.
Und es geht ja nur um Zugriffe, die über ethernet reinkommen, also SMB. NAS-interne Zugriffe sind ja ungefährlich.
Aber du kannst das Feature ja ausgeschaltet lassen, es zwingt dich ja niemand.

 

[Puppetmaster]

Also ich lösche selten 10 Dateien in 10 Minuten.

Ernsthaft? Das simple Verschieben eines Photo- oder Musikalbums hat bei mir schon mehr als 10 Dateien.

 

[j-m-s]

Ernsthaft? Das simple Verschieben eines Photo- oder Musikalbums hat bei mir schon mehr als 10 Dateien.

Ernsthaft. Ich habe dieses Jahr noch keinen grösseren Ordner verschoben.
Wie gesagt, wer das Feature nicht will, braucht es ja nicht einschalten. Es gibt viele Sachen, die nicht genutzt werden.

 

[Puppetmaster]

Naja, ich kann ja auch nix nutzen, was es nicht gibt, right?