Schutz der Netzlaufwerke vor Ransomware

[Adi82]

Hallo zusammen,

da jetzt das Thema Ransomware auch Mac User betrifft und dabei auch durchaus Netzlaufwerke betroffen sind,
hier mal die Frage in die Runde?

Wie schützt Ihr eure Daten vor einem Verschlüsselungstrojaner, insbesondere Daten private Fotos etc.
Aktuelle Vierensoftware und Co. hilft kaum, wie ich finde. Da diese oft hinterher hängt.
Regelmäßige Backups, naja die Platte kann auch vom Rechner aus verschlüsselt werden, wenn man sie dran hängt.

Mein Idee dazu sieht bisher wie folgt aus.
1) Um zu vermeiden, dass die Backup-Platte mit verschlüsselt wird, wenn ich sie an den Rechner hänge.
Ziehe ich Backups nur direkt vom NAS auf die Backup-Platte über die Web-Oberfläche. Das Laufwerk ist auch so konfiguriert, dass es unter Netzlaufwerken nicht angezeigt wird.
Somit gibt es keinen Zugriff vom Rechner auf die Backup-Platte und so kann diese vom Rechner nicht verschlüsselt werden.

2.) Als zweites Überlege ich, bei wichtigen Laufwerken auf dem NAS (insbesondere Fotos) die Schreibrechte für jeden normalen Benutzer zu entziehen.
Somit kann vom Rechner aus, nicht schreibend auf den Ordner/ das Netzlaufwerk zugegriffen werden. Um Daten auf das Laufwerk zu bekommen, würde ich die Daten dann über einen Transfer Ordner (zb Download, Work oder User-Home oder so), auf den ein normale User schrieben kann, hochladen. Anschließend dann über die Web-Oberfläche und das OS vom NAS die Daten in den Ordner/ das Laufwerk ziehen, wo sie hingehörten (z.b. Fotos). Da ich nicht unbedingt täglich Daten vom Rechner hochlade und auch die Fotos nie direkt auf dem NAS bearbeite, wäre es ein gangbarer weg.

Notfalls muss dafür ein separater User her, der schreibrechte hat, der aber auf dem Rechner nicht eingerichtet wird, sondern nur über die Weboberfläche arbeitet.

Somit würde ich es verhindern. dass ein Trojaner vom der Rechner schreibend auf die wichtigen Daten zugreifen und verschlüsseln kann.

Sollte so eigentlich funktionieren oder hab ich einen Denkfehler?
Im Worstcase wird dann maximal der Transferordner (Work/Download/Home) verschlüsselt.
Da lege ich aber nie Dauerhaft Daten ab.

Problematisch wird es nur mit den Daten, die ich direkt auf dem Nas ablege und vom Rechner aus bearbeite.
Was ausschließlich irgendwelche Word Dokumente oder so sind. hier müsste ich diese erst auf den Rechner ziehen und dann wieder umständlich hochladen.

 

[dil88]

Das Thema wurde in diesem Thread schon ausführlich diskutiert. Vielleicht hilft Dir das weiter.

 

[Puppetmaster]

Reden wir von einem privaten Umfeld?

1) keine unbekannten Anhänge in EMails öffnen oder dubiosen Links folgen -> (80% der Sicherheit)
2) unterschiedliche manuelle Backups machen.

Ich traue mir darüberhinaus zu zu bemerken, ob mein Rechner oder meine DS bereits verschlüsselt ist, bevor ich eine externe Platte anhänge.

 

[Adi82]

Ich ziehe meine Backups auch immer manuell.
Da bei mir alles in einer festen und simplen Ordnerstuktur abgelegt ist, besteht das Backup in der Regel darin, dass ich 1-2 Ordner vom NAS in die gleiche Ordnerstruktur auf einem externen Laufwerk ziehe.

Vor E-Mail Anhängen habe ich keine Angst, da mache ich nix auf.
Aber der jüngst Fall zeigt, dass es die Intallation einer augenscheinlich sicheren und zertifizierten Software war.

Ich würde auch sagen, dass ich es mir zutraue das zu erkennen,
aber man weiß ja nicht wie der Trojaner arbeitet oder noch in Zukuft arbeiten werden.

Mal angenommen, er wartet still und heimlich auf deinem Rechern und speichert erstmal alle regelmäßig angeschlossenen Laufwerke, und verschlüsselt erst diese, und dann erst den Rechner.
Schon ist der Zug abgefahren.

 

[Puppetmaster]

Nichts im Leben ist sicher.

Das von Dir skizzierte Szenario halte ich indes für sehr unwahrscheinlich. Und selbst wenn, wie groß sollte die Zeitspanne vom Befall mit dem Virus bis zum Ausbrechen denn sein?
Je länger er da ist, desto höher ist die Wahrscheinlichkeit, dass er auch gefunden wird.

Das (bzw. ein - es gibt immer mehrere) Backup meiner wichtigsten Daten mache ich vielleicht 1, max. 2 Mal im Jahr.
Andere wichtige Daten werden auf unterschiedlichen Kanälen gesichert.

Die Wahrscheinlichkeit, dass i) mich der Virus trifft, ii) er alle Kanäle erfolgreich malträtieren kann, iii) er die ganze Zeit unendeckt bleibt, halte ich für so gering, dass ich mir da wenig bis überhaupt keine Sorgen mache.
Viel wahrscheinlicher ist da schon, dass ein Backupmedium von alleine verreckt.

 

[Puppetmaster]

Aber der jüngst Fall zeigt, dass es die Intallation einer augenscheinlich sicheren und zertifizierten Software war.

Davon weiß ich noch gar nichts. Welche Software sollte das denn gewesen sein?

 

[Fusion]

@Puppet - Transmission Client in Version 2.90
http://www.heise.de/newsticker/meldung/Mac-Ransomware-6500-Mal-heruntergeladen-3130169.html

 

[Flessi]

In einem anderen Thread hier im Forum (konnte ich so schnell nicht wiederfinden) stand sinngemäß:
Das Erzeugen von Dateien mit der Endung ",locky" kann durch folgende Maßnahme verhindert werden:
Gehe zu. Systemsteuerung --> Dateidienste --> Reiter: Win/Mac/NFS --> Erweiterte Einstellungen
Dort Haken setzen bei "Veto-Dateien" und folgendes eintragen: /*.locky/

 

[Frogman]

Email-Anhänge sind meist immer nur ein erster, weil einfacher Angriffsvektor - obwohl das bekannt ist, fallen immer wieder genug darauf hinein (Neugier ist eben was Feines, wenn man eine "Mahnung" bekommt oder eine Nachricht von Chantal, die neugierig ist, dich kennenzulernen...). Ab und an gibt es auch intelligente neue Mailing-Maschen wie jüngst, als bereits verschickte Nachrichten eines Postfaches von einer Malware nochmals verschickt wurden, tituliert mit dem gleichen Betreff, ergänzt um 'jetzt aber mit Anhang" - da klicken dann auch schon Leute drauf, die sonst eher zurückhaltend sind. Allerdings sind Verbreitungswege bspw. über Drive-by-Downloads, wie sie gerade aktuell immer öfter stattfinden, viel gefährlicher, weil dabei kein Zutun erforderlich ist - und bei einer eben nicht 100%-Absicherung durch heuristische Scanner liegen die Infektionsraten dann schnell sehr hoch. Und richtig gut gemachte Ransomware lastet den Rechner auch nicht voll aus - es gab zum Ende letzten Jahres einige Vertreter in gesicherten Netzen, die haben mit einem sehr effizienten Algorithmus bei einer CPU-Last von unter 10% sehr still agiert...

 

[Puppetmaster]

@Fusion:
Danke dafür! (ist aber Mac Software, die kann bei mir keinen Schaden anrichten )

@Flessi:
heute .locky, morgen .schrotti ... das schützt nur vor dem bereits Bekannten.

 

[Adi82]

Hab ich heute zum ersten Mal gehört.
Der Trojaner heißt KeRanger und versteckt sich in der Software Transmissio Version 2.9.

Bisher war ich dabei tiefentspannt, weil es meist Windows betroffen hat und sich meist über E-Mails verbreitet hat und da gehe ich sehr gewissenhaft mit um.
Auch wenn ich Transmission nicht nutze, muss man wahrscheinlich in Zukunft mit mehr solcher Software rechnen.

Demensprechend werde ich jetzt mein Backupkonzept "Ich ziehe 1-2 mal im Jahr die Fotos und Dokumente auf ne externe Platte, die ich auch mal für andere Zwecke nutze" überdenken.
Werde wohl 2 Platten nutzen, eine für ein automatisches Backup mit Synchronisation aller Daten und eine 2 explizit nur für Fotos, bei der ich die Fotos manuell 1-2 mal im Jahr sichere (Daten, die sich wirklich nicht mehr wiederbeschaffen/erstellen lassen). Bei der wird ich besonders drauf achten, dass die nie am Rechner hängt und sonst auch nur 1-2 mal im Jahr angefasst wird.

Wichtig ist dabei der Schutz von Daten, die man nicht wiederbeschaffen kann. Rechner kann ich zur Not neu aufsetzten und hab dabei gleich mal gelegenheit aufzuräumen
Die zweite Platte lager ich bei der gelegenheit dann gleich an nem anderen Ort und so sind die Daten auch im Brandfall sicher

 

[mbuzina]

Ich schütze mich vor Verschlüsselungstrojanern in dem ich die 6.0 DSM mit btrfs nutze und in regelmäßigen (kurzen) Abständen Snapshots speichere. Da soll mir locky und konsorten ruhig kommen, ich rolle das einfach zurück. Ggf. läuft die Kiste auch eher auf Grund wg. zu wenig Plattenplatz beim Verschlüsseln durch locky, als das alles weg ist.

 

[dozzo]

Ich sag nur eins.... schaltet Adobe Flash und co im Browser ab!!!

Arbeite als Programmierer und IT-Futzi in ner Berliner Behöree mit 500 Leuten im Haus
und wir haben grad alles abschalten müssen, weil es einen drive-by-download via flash
gab. Auch so ein Teil was die Serverplatten bzw. die Dateien verschlüsselt...

"Flash - JavaScript - Java" entweder alles abschalten oder so einstellen, daß man jedes mal gefragt
wird ob man dies nun auf site xy zulassen möchte. Ist nervig am Anfang, weil es ein Haufen Clickerei ist.

Ich sichere lokal auch auf externe eSata Platten, dann in Zukunft auf der alten DS111 und die allerwichtigsten
Sachen zusätzlich auf einem Strato Hi-Drive 250GB. (Gibts übrigens grad im Angebot für 2,50 im Monat!)

Ich hatte mal en Synolocker, der hat munter das Volume verschlüßelt, allerdings war die eSata Platte nicht
betroffen, bzw. weil ich immer Vollsicherungen gemacht habe, Kostet zwar ein Haufen Platz wenn man
bspw. 7x den selben Datenbestand hat, schützt aber ungemein gegenüber inkrementeller oder differnzieller
Sicherung. Davon kann ich aus der beruflichen Praxis nur abraten! Wenn man nun die Version der Datei xy
von vor 4 Tagen braucht ist man angeschissen...

Hab hier im Forum auch ein Pamphlet zu dem schrottigen Syno-Virnscanner geschrieben...

so long...

 

[Puppetmaster]

"Flash - JavaScript - Java" entweder alles abschalten oder so einstellen, daß man jedes mal gefragt
wird ob man dies nun auf site xy zulassen möchte. Ist nervig am Anfang, weil es ein Haufen Clickerei ist.

Und hilf am Ende auch nichts, weil man von der ganzen Klickerei genervt eh nur noch weiterdrückt ...

Da musst du als IT-Mensch schon hingehen, so diese Dinge rigoros sperren. Wenn du es dem Beutzer überlässt, bleibt immer das Risiko (dummer, fauler) Mensch.

Bei uns in der Firma sind aktuell alle Webmailer nicht mehr für den Benutzer zu erreichen - wegen der Viren. Ob das nun hilft ... nun ja.

 

[Adi82]

In meinem Fall geht es hauptsächlich um privates Foto und Bildmateriall, da spielt in meinen Augen Versionierung nicht so eine große Rolle.
Für mich ist es nur wichtig en aktuellen Stand des NAS irgendwo OFFLINE redudant abgelegt zu haben.

Da genügt eine Kopie auf ein externes Laufwerk in regelmäßigen Abständen. die Kopie muss nur so erfolgen, dass das Laufwerkdabei nicht verschlüsselt wird.
Wobei man sich mitnem Benutzer ohne Schreibrechte auf dem NAS Laufwerk auch vor der Verschlüsselung schützen müsste denke ich.

 

[Puppetmaster]

In meinem Fall geht es hauptsächlich um privates Foto und Bildmateriall, da spielt in meinen Augen Versionierung nicht so eine große Rolle.

Eine Sicherung auf ein optisches Medium (DVD, BluRay, ..) ist für einen Virus auch nicht mehr erreichbar.

 

[Iarn]

Um auf den Eingangspost einzugehen, Entzug von Schreibrechten für Standardusers dürfte ein sehr gutes Mittel sein.

 

[dozzo]

Und hilf am Ende auch nichts, weil man von der ganzen Klickerei genervt eh nur noch weiterdrückt ...

Da musst du als IT-Mensch schon hingehen, so diese Dinge rigoros sperren. Wenn du es dem Beutzer überlässt, bleibt immer das Risiko (dummer, fauler) Mensch.

Bei uns in der Firma sind aktuell alle Webmailer nicht mehr für den Benutzer zu erreichen - wegen der Viren. Ob das nun hilft ... nun ja.

Ich meinte dass jetzt auch nur in Bezug auf den Thread-Opener, anonst hast Du natürlich Recht, daß man das den Usern in einer Firma komplett wegschalten muss. Was nun inzwischen erfolgt ist, zumindest was flash betrifft.
Bei Java muss nun bei uns auch daran gearbeitet werde, daß nur bestimmte Dienstleister (also websites) dieses benutzen dürfen und nicht einfach generell für alle. Wir haben halt bestimmste Abo's welche das zur DB Abfrage voraussetzen... Javascript ist auch so ein Thema...

Und alles mit Black- oder Whitelists zu versehen ist ja auch so ne Sache...wer soll das ständig pflegen?
(Obwohl, schafft nen neuen Arbeitsplatz...hahah)
Könnte aber früher oder später zwangsläufig darauf hinauslaufen. Zudem wir nur eine Diensstelle von 18 in Berlin sind, da hängen ungefähr 4000 User drann.
Und das ITDZ Berlin als Dienstleister ist eigentlich auch ne mittlere Katastrophe.

Aber wie man auch hier sieht, nun rotiert das ganze Haus und die IT-Abteilung, es wird erst was getan wenn es anfängt weh zu tun... scheint wohl aber in der Natur des Menschen zu liegen. Es musst erst was passieren....

Nebenbei sei bemerkt, daß ich früher alles gemacht habe, von der Programmierung bis hin zum Netzwerk-Admin, aber das ist ja über die Jahre alles so gewachsen (bin jetzt 25 Jahre dort in der IT tätig), daß man sich nun auf eine Sache, in meinem Fall die Programmierung, festgelegt hat.
Ein Net-Admin mit 500 Usern kann nicht noch Anwendungsprogrammierung machen... der kotzt so schon ;-)
Von der heutigen Netzwerk-Administration in solche großen Netzen hab ich keinen Plan mehr.... damals,
hab ich Netzte mit 20-30 Usern unter Novell Netware gehostet...gibts das überhaupt noch?

Aloha

 

[Frogman]

Um auf den Eingangspost einzugehen, Entzug von Schreibrechten für Standardusers dürfte ein sehr gutes Mittel sein.

Die zu beschaffenden Rechte sind in der Regel keine wirkliche Hürde.

 

[Iarn]

Die zu beschaffenden Rechte sind in der Regel keine wirkliche Hürde.

Ich kann Deinem Kommentar so gar nicht zustimmen.

Es geht hier meines Erachtens darum, dass ein OSX/Windows Rechner kompromittiert wird und dadurch eingehängte Netzlaufwerke verschlüsselt werden. Mir ist überhaupt nicht eingängig, wieso eine Rechteeskalation auf einem anderen Rechner (Synology) unter einem höchstwahrscheinlich anderen OS (Linux) keine wirkliche Hürde darstellen sollte.