Schutz vor Ransomware

[tale]

Meiner Meinung nach ist - falls Ransom infiziert wurde - die größte Gefahr die Abwesenheit des Benutzers selbst und die DS noch läuft. Oft merken die Benutzer tagelang nicht davon und schon sind die Malwares überall verstreut - auch auf Backupplatten usw.

Da nützen die diversen Accounts in diesem Fall nur bedingt.

Hallo TeXniXo,

Läuft eine Malware direkt auf dem NAS ist man tatsächlich ziemlich hilflos - Accounts hin oder her. Das ist hier aber nicht der Anwendungsfall: Es ist in meinen Augen wahrscheinlicher, dass ein Client die Malware ausführt und es nur um Datenverschlüsselung "von außen" geht. Dagegen sollte so ein Workaround funktionieren.

In ersterem Fall hoffe ich, dass mich meine im Büro deponierte Backupplatte, sowie ein weiteres Remote-Backup schützen.

Gruß,
tale

 

[jugi]

Synolocker u.ä. kann man "relativ" einfach mit einer versionierten Sicherung auf einem NAS eines anderen Herstellers beheben. Wenn du von DS auf DS sicherst und die eine DS im Netz infiziert ist, dann ist die Gefahr, dass die zweite auch Infiziert wird, ja sehr groß. Bei einem WD/QNAP/Thecus/AsusTor/u.ä. ist zumindest das Risiko etwas geringer, mit einem auf Windows basierenden NAS sogar noch geringer (auch wenn das dann wieder andere Probleme hat )

 

[Q2002]

Hallo zusammen,

ich hole die Diskussion nochmals etwas aus der Versenkung, aber ich denke sie ist auch wichtig.

Hatte das Problem "Ransomware" bis jetzt nicht richtig auf dem Schirm, zumal es vor ein paar Monaten bereits bei meinen Eltern zugeschlagen hatte.
Meine Eltern hatte ihre Daten in der DropBox abgelegt, mich jedoch erst nach ein paar Wochen informiert ...

Wenn ich mir die Beiträge hier so durchlese bleibt eigentlich wirklich nur eine Lösung für dieses Problem übrig:
Manuelle Sicherungen auf ext. Festplatten

Alle anderen Sicherungen (täglich/wöchentlich, TimeBackup, zweite Volumen/ DS) bringen keine 100%-ig Sicherheit.

Man muss ja immer im Hinterkopf behalten, dass wir uns hier nicht im professionellen IT-Bereich von großen Konzernen bewegen. Die meisten von uns sind doch normale Angestellt in kleinen/ mittleren Unternehmen und dürfen sich nebenher um die EDV kümmern.

(4) Den Rest des Budgets in eine gute Flasche Whisky investieren. Die braucht man, wenn man bei (3) auf's falsche Pferd gesetzt hat.

Prost

 

[Frogman]

...
Wenn ich mir die Beiträge hier so durchlese bleibt eigentlich wirklich nur eine Lösung für dieses Problem übrig:
Manuelle Sicherungen auf ext. Festplatten

Alle anderen Sicherungen (täglich/wöchentlich, TimeBackup, zweite Volumen/ DS) bringen keine 100%-ig Sicherheit.
...

Wenn Du die Seiten aufmerksam gelesen hast, sollte eigentlich klar geworden sein, dass allein eine Sicherung auf externe Platten ebenfalls keine 100prozentige Sicherheit liefert und dass die beste Vorgehensweise die Kombination diverser Sicherungswege und -ziele darstellt... d.h. Redundanz und Diversität, ohnehin den Grundpfeilern eines tragfähigen Backupkonzepts.

 

[Q2002]

Wenn Du die Seiten aufmerksam gelesen hast, sollte eigentlich klar geworden sein, dass allein eine Sicherung auf externe Platten ebenfalls keine 100 prozentige Sicherheit liefert und das die beste Vorgehensweise die Kombination diverser Sicherungswege und -ziele darstellt... d.h. Redundanz und Diversität, ohnehin den Grundpfeilern eines tragfähigen Backupkonzepts.

Habe ich und mir gedacht, dass dies schon für jeden "normal" sein sollte

 

[Frogman]

Kleiner Hinweis: vermeide bitte Vollzitate, besonders dann, wenn Du direkt auf Posts antwortest - das verbessert die allgemeine Lesbarkeit

 

[Tenker]

Liebes Forum,

mich hat es erwischt...
Mehrere Dateien sind verschlüsselt und haben am Ende die Zusatzbezeichnung
******.id-046CF328.[help911@cock.li].java
bekommen.

Alle Festplatten sind als einzelne Hybrid RAID (SHR) Volumen im NAS.

Ich habe das NAS DS1815+ abgeschlatet und vorläfig eine neue Festplatte mit BS und Essential eingersichtet.

Wie soll ich jetzt vorgehen umd meine restlichen Daten zu retten?
Darf ich jetzt die FP2, dannach FP3, ...., FP8 einbauen und den Virescanner starten?
Darf ich die FP1 einbauen, Essential Antivirus installieren und sie scannen und nur die defekte Dateien löschen?

Herzlichen lieben Dank für Eure Hilfe.
Eurer Tenker

 

[Puppetmaster]

Alle Festplatten sind als einzelne Hybrid RAID (SHR) Volumen im NAS.

Was heißt das? Sind das alles einzelne Volumes?
Innerhalb der DS würde ich jetzt gar nichts mehr versuchen zu machen, allenfalls noch an einem (Live-)Linux, das auf einem sicheren Rechner laufen kann. Dort könntest du die Platten mounten und retten, was zu retten ist. Noch sinnvoller wäre hier dann wohl, zuvor noch Images der Platten zu machen, bzw. diese zu Klonen. So kann zumindest nichts weiter an Daten vernichtet werden.

Ggf. gibt es aber auch noch User, die das Szenario schon einmal durchspielen mussten und entsprechende Erfahrungen hier einfließen lassen können.

 

[Tenker]

Was heißt das? Sind das alles einzelne Volumes?
...

Ja es sind zusammen 8 einzene Volumen.

Soll ich:
1. Linux PC einrichten
2. gute Antivirensoftware (welche) installieren.
3. meine NAS Festplatten einzeln anschließen, mounten und scannen?
4. defekte Dateien löschen, andere weiter verwenden
5...?

Vielen Dank
Tenker

 

[peterhoffmann]

Erst mal mein Beileid.

1. Linux PC einrichten
2. gute Antivirensoftware (welche) installieren.
3. meine NAS Festplatten einzeln anschließen, mounten und scannen?

Punkt 1 bis 3 finde ich schon mal einen guten Anfang. Beim Mounten eventuell noch ohne Schreibrechte um erst mal den Schaden im Groben festzustellen.

Alles andere hängt dann vom Schaden, deinen Möglichkeiten und deinen Backups ab, sowie wie wichtig die Daten sind.

Ich muss aber auch sagen, dass dieser Fall hier im Thread eher nichts zu suchen hat, da es hier generell um den Schutz vor solchen Szenarien geht. Mach doch einen eigenen Thread zu deinem Problem auf.

 

[mschroedl]

Ich hatte vorletztes Jahr genau so einen Fall bei einem Kunden mit einer DS1315+ Dank der angeschalteten Versionierung konnten wir alle verschlüsselten Dateien einfach löschen und die vorherige Version wiederherstellen. Ganz ohne Probleme und Aufwand (abgesehen vom PC der ausgetauscht wurde )

 

[mgutt]

@mschroedl
Von welcher Versionierung sprichst du? Wenn du in Windows eine Backup-Software einsetzt, die Versionierung macht, dann hilft die Null gegen Ransomware, da ja volle Schreibrechte auf dem Ziel bestehen und damit auch die Versionen verschlüsselt werden können.

Innerhalb von Synology kenne ich jetzt eigentlich nur die Cloudstation, die das kann, da dort die Versionen ja nur vom Admin-Account aus über das DSM eingesehen werden können.

Ich habe es dagegen ganz simpel gemacht:
- neuer gemeinsamer Ordner mit aktiviertem Papierkorb und Zugriffsbeschränkung des Papierkorbs für Admins
- neuer Syno-Account mit Lese/Schreibrechten nur für diesen neuen Ordner
- Backup-Software mit diesem Login nutzen
- Fertig

Verschlüsselt nun eine Ransomware eine Datei, dann wird die Original-Datei anschließend von der Ransomware gelöscht. Damit verschiebt sie das NAS in den Papierkorb. Das selbe passiert, wenn die Ransomware radikal alles aus dem NAS Ordner löscht.

Das funktioniert allerdings nicht mehr, wenn die Ransomware die Original Datei überschreibt (in dem Fall landet sie nicht im Papierkorb). So viel ich weiß macht das aber keine. Ich habe zwar in der Backup-Software auch die Versionierung aktiviert, aber da die Ransomware dann genauso Schreibrechte besitzt, kann sie natürlich auch die Versionen überschreiben (statt sie zu löschen).

Daher habe ich noch ein zusätzliches Backup mit einem separaten Account/Ordner laufen, das 1x im Monat läuft und wo ich das Passwort manuell eingeben muss. Hier reduziert sich das Risiko darauf, dass man sich die Ransomware bereits eingefangen hat, aber diese noch nicht aktiv wurde und über Phishing-Funktionen verfügt, die meine Handlungen beobachten und auswerten. Diese Komplexität beim Angriff schließe ich aus, da das manuelle Handlungen des Angreifers erfordert.

Als Backup-Software nutze ich übrigens SyncBack Pro mit dem ich erstmals sehr zufrieden bin (habe schon alles mögliche ausprobiert).

 

[Yippie]

Verschlüsselt nun eine Ransomware eine Datei, dann wird die Original-Datei anschließend von der Ransomware gelöscht. Damit verschiebt sie das NAS in den Papierkorb. Das selbe passiert, wenn die Ransomware radikal alles aus dem NAS Ordner löscht.

Das funktioniert allerdings nicht mehr, wenn die Ransomware die Original Datei überschreibt (in dem Fall landet sie nicht im Papierkorb). So viel ich weiß macht das aber keine. Ich habe zwar in der Backup-Software auch die Versionierung aktiviert, aber da die Ransomware dann genauso Schreibrechte besitzt, kann sie natürlich auch die Versionen überschreiben (statt sie zu löschen).

Vom letzten Fall würde ich aber am wahrscheinlichsten ausgehen, denn erstens ist Verschlüsseln in eine neue Datei sicherlich langsamer, vor allem bei größeren Dateien und köntne somit auffallen und zweitens könnte man die in den Papierkorb verschobene Datei ja genauso einfach wieder herstellen, wie mit deiner beschrieben Methode - egal ob in Windows oder auf einer DS.

Ich weiß ja nicht ob die "Versionierung" mittels Btrfs-Snapshots eine Lösung bietet. Ich denke auch da kommt nach dem Überschreiben und meinetwegen auch Löschen von Dateien keine Ransomware mehr ran da dies ja eine Sache des OS auf der DS ist.

Grüße,
Michael

 

[frankyst72]

Ich habe zwar in der Backup-Software auch die Versionierung aktiviert, aber da die Ransomware dann genauso Schreibrechte besitzt, kann sie natürlich auch die Versionen überschreiben (statt sie zu löschen).

Das würde aber doch nur bei SMB-Shares, etc. funktionieren. Wenn ich heute per Hyperbackup auf ein zweites NAS backupe Port 6281 brauche ich keinerlei freigegebene Netzwerkshares. Das ist doch ganz etwas anderes (zumindest meine Vorstellung). Die Ransomeware müsste speziell auf Synology HyperBackup zugeschnitten sein um hier Schaden anzurichten und dazu ist die Verbreitug zu gering.

 

[mgutt]

Vom letzten Fall würde ich aber am wahrscheinlichsten ausgehen, denn erstens ist Verschlüsseln in eine neue Datei sicherlich langsamer, vor allem bei größeren Dateien und köntne somit auffallen

Dir scheint etwas technisches Hintergrundwissen zu fehlen wie Dateien abgespeichert werden. Vielleicht hast du schon davon gehört, dass Daten auf der Festplatte verteilt gespeichert werden und es eine Index-Tabelle gibt die auf diese Daten verweist. Genau aus dem Grund ist es gar nicht mal so einfach eine Datei einzulesen und an der selben Stelle verschlüsselt zu überschreiben. Dazu müsstest du die Datei als Stream einlesen und direkt verarbeiten ohne sie vollständig in den RAM zu lesen. Das erfordert wiederum, dass die eingesetzte Verschlüsselung nicht aus einem Container besteht, sondern in einzelne Teil-Container geteilt wird. Wie genau die Ransomware hier vorgeht weiß ich nicht, aber bei Protokollen (FTP, SMB, etc.) sollte es nicht gehen, da dort ein Befehl nach dem anderen abgearbeitet wird. D.h. er lädt die Datei runter, verschlüsselt sie lokal und lädt sie dann wieder hoch.Man kann also nicht dem Protokoll direktsagen "verschlüssele die Datei abc.txt".

und zweitens könnte man die in den Papierkorb verschobene Datei ja genauso einfach wieder herstellen, wie mit deiner beschrieben Methode - egal ob in Windows oder auf einer DS.

Nein eben nicht, weil der Papierkorb auf der DS so eingestellt wurde, dass nur der Admin darauf zugreifen kann:


Innerhalb von Windows bist du ja der Admin und daher wird die Ransomware diesen einfach leeren bzw ein direktes Löschen befehlen. Beim NAS ist das nicht möglich, da hier Löschen immer mit dem Verschieben in den Papierkorb verbunden ist.

Trotzdem ist mir gerade ein Problem aufgefallen. Wenn die Ransomware den Dateinamen beibehält, was ja manche machen, dann wird die Datei nicht gelöscht, sondern überschrieben. Und in dem Fall landet sie nicht im Papierkorb.

@58frankyst72
Mit "einfach" meinte ich mit Bordmitteln, möglichst ohne Kommandozeile und nur einem NAS. Dabei gehe ich davon aus, dass die Ransomware den Admin-Login des NAS nicht kennt. Dass eine Ransomware die Hyper-Backup Schnittstelle nicht kennt, liegt vor allem an dem Closed Source. Wir können nur hoffen, dass da keiner auf die Idee kommt was als Klasse in Java etc zu entwickeln. Denn gerade wenn es irgendwo Open Source geht, ist es auch schnell in solchen Angriffs-Tools drin.

@Zurück zur eigentlichen Idee
Dann deaktiviere ich den Papierkorb wieder und lasse stattdessen täglich mit Hyper Backup alle meine Ordner mit den Datensicherungen in einen weiteren Ordner sichern, wo nur der Admin-Account drauf zugreifen kann. Also lokales Backup auf dem NAS. Neben der Versionierung meiner Windows Backup-Software, kann ich da ja zusätzlich noch die Versionierung nutzen, falls die Ransomware erst nach ein paar Tagen auffällt.

 

[Oklavis]

Hallo,

da ich eben das hier las
https://www.welt.de/wirtschaft/arti...-ein-neuer-Trojaner-deutsche-Aemter-lahm.html

dachte ich, ich schau als relativ neuer Synology-Nutzer mal, ob es vielleicht eine Vermeidungsstrategie gibt. Krame daher diesen Faden mal hervor. Aber offenbar gibt es DIE Strategie gar nicht, zumindest fand ich hier jetzt auf die Schnelle keine Lösung.

Ich sehe erstmal 2 grundsätzliche Gefahren:

1. Ein PC-Backup-Programm sichert einen bereits teilweise verschlüsselten Datenbestand vom PC auf den NAS, womit man keine brauchbare Datensicherung mehr hat, außer vielleicht in älteren Versionen, falls man es denn rechtzeitig bemerkt.
3. Der NAS wird als eingebundenes Netzlaufwerk, weil er ständig läuft, direkt mitverschlüsselt. Dann helfen auch ältere Backupversionen auf dem NAS nichts mehr. Auch das nur temporäre Einschalten des NAS hilft da nicht viel.

Wenn man nun den NAS nicht als Fileserver, sondern ausschließlich für Backups nutzt, könnte man den NAS dann vielleicht dadurch (vor Fall 1) schützen, dass das Backup-Programm auf dem NAS unter einem anderen Nutzer sichert und ein Zugriff auf den NAS nur mit diesem Nutzer möglich ist, unter dem aber keine reguläre Samba-Einbindung aktiv ist? Für Fall 2 bringt das natürlich auch nichts.

Danke erstmal.

 

[Synchrotron]

Der aktuell einzig wirklich wirksame Schutz in den üblichen Dimensionen eines Heimnetzwerk (ein Router, ein NAS, ein paar Rechner und mobile Geräte) sind körperlich entkoppelte Backups.

Man kann auf einem Netzlaufwerk nicht arbeiten, wenn man es nicht am Netz hat. Und wenn man es am Netz hat, ist es erreich- und damit angreifbar. Alles weitere, wie man das erschweren kann, wo es dann wieder die Lücken gibt etc. lenkt nur davon ab, dass ein erreichbarer Server auch ein angreifbarer Server ist. Es geht nicht nur um heute bekannte Angriffsvektoren, sondern auch heute noch unbekannte. Stecker raus ist und bleibt sicher, alles andere ist sicher, bis auf Widerruf.

In dem Zusammenhang erleichtert ein NAS die Aufgabe. Einmal indem man möglichst viele Daten dort zentral ablegt, und nicht auf den Clients. Zum anderen kann man dort, wo die Clients Daten halten, diese mit dem NAS synchronisieren , oder dorthin Backups schreiben.

Und dann von diesem zentralen Datenspeicher die Backups ziehen, und danach das verwendete Laufwerk mindestens auswerfen, besser tatsächlich ausstecken.

Alles andere macht dem engagierten Heim-Admin (zu dem ich mich auch zähle) nur unnötig Aufwand, Kosten und schafft am Ende keine Sicherheit. Unser Vorteil im Heimnetzwerk ggü. einem gewerblichen ist, dass der Aufwuchs von relevanten Daten eher schubweise kommt (z.B. Fotos nach dem Urlaub), und dass ein wenig Downtime nicht so kritisch bzw. teuer ist. Da muss der Admin-Job dann nicht Arbeitstage oder ganze Abende ausfüllen. Keep it simple ist ein guter Ansatz, damit alles überschaubar bleibt.

 

[mgutt]

@Oklavis
Mit "nur für Backups" meinst du nur temporär einschalten. Das hilft natürlich nicht, weil die Ransomware genau in dem Moment aktiv sein könnte, wenn das NAS angeht oder schlicht diesen Zeitpunkt abwartet.

Deswegen ist ein externer Datenträger (M-Disc Blu-Ray, Tape oder USB Festplatten) die sicherste Lösung, wobei wiederbeschreibbare Datenträger natürlich nur im Austausch angeschlossen werden dürfen.

Will man nun aus Kostengründen oder Bequemlichkeit ausschließlich mit dem einen NAS arbeiten (wovon viele natürlich abraten werden), dann kann man es auf zwei Wegen lösen:
a) Das NAS holt das Backup ab zB in dem man auf dem Client einen FTP oder SMB Server installiert, der ausschließlich Leserechte gewährt.
b) Der Client lädt das Backup aufs NAS und das NAS verschiebt / synchronisiert dieses intern mit einem Verzeichnis wo der Client keinen Zugriff drauf hat.

Beide Fälle sind sicher gegen Ransomware, da keiner von dem anderen gleichzeitig Schreibrechte besitzt. Das gilt aber nur solange, wenn während dem Angriff auf dem anderen Gerät keine Sicherheitslücke existiert oder der Fehler vom User begangen wurde den Login auf dem jeweils anderen Gerät zu publizieren. zB in dem man sich über den Client auf dem NAS als Admin anmeldet. Dieses menschliche Versagen ist sehr häufig Grund dafür, dass die Ransomware doch Erfolg hat. Auch setzt das voraus, dass alle Daten ständig auf beiden Geräten vollständig verfügbar sind, damit falls ein Datensatz verloren geht, der andere noch verfügbar ist.

Vom Prinzip muss sich der Client also einfach folgendes fragen:
1.) Kann ich mein erstelltes Backup wieder löschen?
2.) Kann ich mich auf dem NAS als Admin anmelden?

Wenn beides verneint werden kann, dann wäre "nur" noch die Sicherheitslücke ein unkalkulierbares Risiko. Dieses Risiko lässt sich aber eigentlich leicht mit einem NAS an einem anderen Standort lösen. Diese externe NAS ist klassisch mit einem Router verbunden und von außen nicht erreichbar. Quickconnect ist natürlich ebenfalls deaktiviert und die 2-Faktor-Authentifizierung aktiv. Dieses NAS holt nun über die DDNS-Adresse des lokalen NAS und einen bestimmten offenen Port die Daten ab. In dieser Konstellation wäre es dann egal ob das externe NAS über eine Sicherheitslücke verfügt, da es ja wie gesagt nicht von außen erreichbar ist. Übrigens wäre diese Sicherheit bei einer VPN-Verbindung nicht gegeben, da das externe NAS dann ja lokal voll erreichbar wäre.

Dieser eigentlich einfache Aufbau ist sogar lokal zwischen Client und NAS realisierbar zB über eine Router-Kaskade oder mit VLANs. In dem Fall setzt man das um wie in a) beschrieben und durch offene Ports Richtung Clients. Das führt aber logischerweise dazu, dass die Clients das NAS nicht erreichen können, womit logischerweise einiger Funktionsumfang verloren geht. Es eignet sich dann also nur als reines Backup-NAS. Das kann man machen, hilft nur eben nicht gegen Brand, Einbruch, Blitzschlag, etc. Daher bevorzuge ich die Variante mit dem externen NAS. Diese Konstellation ist allerdings wieder an eine Bedingung geknüpft, nämlich an eine ausreichend hohe Upload-Bitrate. Ist die nicht vorhanden, landen wir am Ende wieder bei externen Datenträgern, die wir im Austausch zwischen lokalem und externem Standort von Hand hin- und hertransportieren.

 

[Synchrotron]

2 USB-Festplatten, eine am NAS (ausgeworfen), eine an einem anderen Standort (Freunde, Verwandte, Schließfach). Regelmäßig austauschen.

Es scheitert meist am letzten Punkt. Mit etwas Disziplin (oder Routine) aber machbar.

Mutti/Vati oder der beste Freund/Freundin freut sich (hoffentlich), wenn man alle 2 Wochen auf einen Kaffee vorbei kommt. Gerne auf Gegenseitigkeit umsetzbar. Es muss kein NAS sein, zu sichernde Daten hat heute doch jeder.

 

[mgutt]

Bei mir scheitert das schlicht am Aufwand und den Kosten. Bei 55TB müsste meine Mutter ständig Platten wechseln und solange mir keiner das Problem in meinem Aufbau zeigt, sehe ich keinen Bedarf es zu verkomplizieren/verteuern.

Meiner Ansicht nach wird nach den Ransomware Angriffen übertrieben Panik geschoben. Ich habe jedenfalls noch von keinem Fall gelesen, wo die Ransomware durch einen Router durchgeschlagen ist und dabei gleichzeitig zwei Standorte angegriffen hat.

Nehmen wir zB Synolocker. Der hat NAS angegriffen, die über eine Sicherheitslücke verfügten und über Port 5000/5001 erreichbar waren (=QuickConnect). In meinen Fall ist ein zufällig gewählter Port offen über den ausschließlich FTPS möglich ist. Zusätzlich läuft bei mir ein Script, dass die DDNS des externen NAS/Routers auf dessen IP prüft. Diese IP ist dann die einzige, die über iptables auf dem Port eingehend erlaubt ist. Und selbst wenn nun der absolut unwahrscheinliche Fall eintritt, dass das alles durch eine Sicherheitslücke umgangen wird, bleibt mir noch das 1:1 Backup auf dem externen NAS, das wie gesagt gar nicht öffentlich erreichbar ist. Um das zu knacken müsste jemand lokal bei meiner Mutter ins Netz gehen und zwar hinter den kaskadierten Router an dem mein NAS angeschlossen ist und von da dann versuchen eine Sicherheitslücke auf meinem lokalen NAS auszunutzen. Dieses Angriffszenario ist bei einer Privatperson ausgeschlossen, da das den Aufwand gar nicht rechtfertigt.

Ich habe übrigens sogar noch ein Disaster-Disaster-Backup bei Google Drive. Ein Freund von mir hat ebenfalls einen Account, mit dem ich diese Daten teile. Er kopiert diese Daten regelmäßig innerhalb seines Accounts in einen anderen Ordner (wie ich auch bei ihm). Dh selbst wenn nun dieser absolut unwahrscheinliche Fall eintritt, dass alle Standorte angegriffen werden und über den Login in meine Cloud alle Daten vernichtet werden, gibt es immer noch ein Backup meiner Daten in einem Account für den ich keinen Login besitze. Aber auch ohne dieses Disaster-Disaster-Backup halte ich mein Konzept für sicher.