Schutz vor Ransomware

[t_korth]

Was vielleicht in meinem Post fehlt ...

Nur auf Volume1 schreiben die Client-PCs/Server Backups, so dass es auch nur Netzfreigaben für Volume1 gibt.
Volume2 ist ausschließlich für Time Sync da und wird nicht nach außen freigegeben. Somit ist es für Ransomware "unsichtbar". Hofft man.

 

[xamoel]

Das Offline Backup könntet ihr über zeitgeschaltete Steckdosen für USB Platten lösen.

 

[PsychoHH]

Ja oder aber 2 kleinere DS mit genügend Speicher.
Die jeweils bei der andere DS stehen und automatisch hoch/runterfahren und das Backup ausführen.
Wenn dann nur von Mo-Sa gesichert werden sollte, könnte man folgendes machen.

Mo DSBackup1
Di DSBackup1
Mi DSBackup1


DO DSBackup2
FR DSBackup2
SA DSBackup2

 

[speerwerfer]

Nabend,

ich hab mir heute auch mal Gedanken zu dem Thema gemacht. Bei mir gehts um meine privaten Daten. Ich sicher hin und wieder auf eine externe Festplatte. Wenn es mich also erwischen sollte, dann falle ich maximal bis zu diesem letzten Backup zurück - nicht schön, aber zu verkraften.

Ansonsten nutze ich zum Sichern meines Rechners die Software Backup Service Home. Hiermit kann ich ein Backup erstellen, bei dem ich zu einem beliebigen Zeitpunkt in der Historie zurückspringen kann. Veränderungen werden also historisiert gespeichert (und zwar als komplette Files). Ich sichere per FTP auf eine DS215. Dazu hab ich mir einen Backupuser auf der DS215 eingerichtet, der nur auf das Backupverzeichnis zugreifen darf und das auch nur per FTP. Alle anderen DIenste hab ich dem User untersagt. Umgekehrt haben alle anderen User keinen Zugriff auf das Backupverzeichnis und dürfen auch kein FTP machen. Der Backupuser wird ausschließlich in der Backupsoftware für den FTP Transfer benutzt.

Sehe ich es richtig, das mir nun eine Ransomware zwar meine Netzfreigaben auf dem DS215 schreddern kann, aber (solange es kein FTP kann und die Zugangsdaten nicht hat) nicht an meine Backups kommt? Ich weiß, das es nicht perfekt ist, aber ich will hier nicht mit Kanonen auf Spatzen schießen und hab ja immernoch ein Backup auf einer externen HD.

Martin

 

[micho2]

Guten Abend zusammen,

wie könnte eine Heuristik aussehen, die in einem Service, der auf der Sync läuft, mit einer gewissen Wahrscheinlichkeit erkennt, das masshaft Dateien verschlüsselt werden.

CPU Last wäre sicher ein Parameter aber alleine sicher nicht genug. Wie kann man erkennen, dass Schreibzugriffe auf Dateien in bestimmten Verzeichnissen erfolgen - das passiert normalerweise wahrscheinlich eher selten.

Micho

 

[jugi]

Eine Kombination aus mehreren Sachen könnte funktionieren, aber immer auch abhängig von den sonst auf der DS laufenden Prozessen:
1. konstante Festplattenzugriffe (lesend & schreibend)
2. mehr als X Dateien in den letzten X Stunden geändert.
3. Ein lange laufender Prozess, der 1 & 2 macht.
4. Schreib(Lösch-)zugriffe auf bestimmte Dateien, die eigentlich nur gelesen werden sollten
usw…

 

[micho2]

Eine Kombination aus mehreren Sachen könnte funktionieren, aber immer auch abhängig von den sonst auf der DS laufenden Prozessen:
4. Schreib(Lösch-)zugriffe auf bestimmte Dateien, die eigentlich nur gelesen werden sollten
usw…

Wie kann man 4 am besten ermitteln?

 

[martin_aus_duesseldorf]

Script für Aufabenplaner für sicheres runterfahren der USB Platte

Hallo zusammen,

damit die USB Platte vor dem physischen Abschalten per Zeitschaltuhr vom System abgemeldet wird, wollte ich sie per Aufgabenplaner unnmounten.
Aus dem Forum hier habe ich mir folgendes zusammengeimt:

/bin/umount /volumeUSB1/usbshare
echo 1 > /sys/block/usbshare1/device/delete

Das klappt auch - die USB Platte ist über die File Station nicht erreichbar, doch sie ist weiterhin als externes Gerät angemeldet.

Wie muss ich das Skript ändern, damit die Platte auch wirklich abgemeldet ist und beispielsweise rechts oben nicht mehr unter "externe Geräte" gelistet wird?

Danke für Tipps!
Beste Grüße

Martin

 

[Fellyboy]

Hallo zusammen

Ich häng mich mal mit rein in die Diskussion.

Was vielleicht in meinem Post fehlt ...

Nur auf Volume1 schreiben die Client-PCs/Server Backups, so dass es auch nur Netzfreigaben für Volume1 gibt.
Volume2 ist ausschließlich für Time Sync da und wird nicht nach außen freigegeben. Somit ist es für Ransomware "unsichtbar". Hofft man.

Wie löst du das im Detail?

Habe aktuell die Situation so, dass ich alle Tage autom. auf meine DS ein File-Backup mit Acronis mache. Nehme nun dann wohl Cloud Station Backup. Dann mittels Synology Hyper Backup auf die externe Platte. Mache ich aktuell noch manuell. Mittels autorun und dann wieder räumlich getrennt aufbewahren.

Gibt es eine Möglichkeit, z.B. auf der DS einen spezifischen Backup-User anzulegen, dass nur dieser dann Synology Hyper Backup ausführen darf? Hat da jemand schon Erfahrungen gemacht?
Oder wie kann ich mich mit der aktuellen "Strategie" gegen Ransomware schützen?

Gruss

 

[Christof11]

Hallo,

jetzt möchte ich euch mal meinen Lösungsansatz vorstellen und eure Meinung bezüglich der Effektivität und Sicherheit hören.

Eine selbstgeschriebene Batch-Datei befindet sich im Autostart des Computers, durch diese wird die Verbindung zu 2 Netzlaufwerken hergestellt. Nämlich 'Backup' und 'Gemeinsam'. Anschließend wird ein Befehl ausgeführt, durch welchen die Daten auf das NAS-System auf 'Backup' (inkrementell) gespeichert wird. Sobald das fertig ist, trennt sich der Computer automatisch mit dem Netzlaufwerk.
So kann meines Erachtens nach nur 'Gemeinsam' und der Computer selbst verschlüsselt werden, das Backup und der Rest der NAS jedoch nicht (siehe unten für warum). Oder habe ich da etwas nicht bedacht?
Diese Methode setzt natürlich einen etwas leistungsstärkeren Computer voraus. Aber das funktioniet bei mir ..

Die Diskstation ist zwar noch im LAN sichtbar, aber um sich damit zu verbinden, muss man sich zuvor erneut authentifizieren .. Mit einem richtig starken Passwort. -> deswegen ist der Rest doch sicher, nicht? Nur das Netzlaufwerk 'Gemeinsam' ist durch die Batch-Datei bereits freigeschalten.

Da in der Batch-Datei die Passwörter ersichtlich wären, wird diese einfach in eine .exe Datei konvertiert, dann müsste doch alles soweit passen, nicht?

Liebe Grüße

Christof

 

[Fellyboy]

Hallo Christof

Danke für deine Überlegungen und den beschriebenen Lösungsansatz. Ja je nachdem sind dann im Netzwerk noch die Ordner Fotos, Videos, Musik, etc. zu sehen. Die werden "autom." sichbar, wenn der Medienserver aktiv ist. So dass der TV, etc. auf die Inhalte zugreifen kann.

Was hast du denn unter "Gemeinsam" für Daten?

Einzig während dem Backup-Vorgang selber ist somit ein Zugriff auf die Daten vom Rechner selber aus wohl wirklick ausgeschlossen.

Sicherst du die Daten von der NAS selber auch noch weg (externe HD, weiteres NAS, Cloud, etc.)?

Gruss

 

[Christof11]

Hi Fellyboy,

Medienserver ist bei mir deaktiviert.

Unter 'Gemeinsam' sind verschiedenste Sachen, auf die alle Nutzer Zugriff haben. (Zwar dennoch passwortgeschützt, aber jeder Benutzer hat die nötige Berechtigung.) Aber theoretisch könnte ich, je nach Größe des Systems und des Ordners, auch diesen beispielsweise 1x/Woche in ein anders Verzeichnis sichern, welches nicht ohne weitere Authentifikation zugänglich ist.

Genau dieses erneute Sichern auf ein anderes Medium möchte ich mir dadurch ersparen. Natürlich hätte eine zusätzliche Cloud-Sicherung aber auch noch einige Vorteile ...

Liebe Grüße

Christof

 

[Fellyboy]

Hallo zusammen, hi Christof11

Übrigens: Synology hat sich dazu auch schon Gedanken gemacht Hier die Empfehlungen und Lösungsvorschläge: Schutz gegen Verschlüsselung durch Ransomware.

Ich werde nun einen separaten Backup-Ordner auf der DS anlegen. Dazu einen "passenden" Backup-User und nur den auf diesen Ordner berechtigen. Ich hoffe, dass ich mit Cloud Station Backup für die Datensicherungsaufgaben genau diesen User mitgeben kann. Cloud Station Backup muss ich zuerst noch einrichten...

Weiter werde ich auch ein cmd-Script erstellen, um die Netzlaufwerke manuell zu verbinden; inkl. Passwortabfrage. Die sind dann für die Dauer des Backup-Vorgangs verbunden und werden anschl. wieder getrennt. Weiter werde ich diesen Ordner dann mittels Hyper Backup regelmässig auf die externe Platte sichern.

Durch die Versionierung mit Cloud Station Backup sowie dem Schutz des Verzeichnis klappt das hoffentlich.

Gruss

 

[PsychoHH]

Und was bitte ist, wenn die DB verschlüsselt wird? Dann bringt einen das Multiversions Backup auch nichts.

 

[Fellyboy]

Zugriff auf die DB besteht so während dem Backup-Vorgang selber. Habe ich in meinem Post von gestern erwähnt: während dem Backup selber besteht eine Verbindung und wenn dann der Locky oder sonst wer mit dem Verschlüsseln beginnt dann bringt auch das nichts. Aktuell besteht wohl keine 100% sichere Lösung - und morgen wohl auch noch nicht. Aber so ist zumindest schon sehr viel getan und abgedeckt. Oder gibt es (noch) bessere Varianten?

 

[xabano]

Zugriff auf die DB besteht so während dem Backup-Vorgang selber.

Die höchste Sicherheit dürfte mit einem Pull-Backup erreicht werden. Damit wird das Backup auf dem Backup-Server gestartet und man muss keinem User des Arbeits-Servers Zugriffsrechte auf den Backupserver geben. Mit rsync kann so etwas realisiert werden und Voraussetzung ist natürlich ein zweites NAS.

 

[Equ4liz3R]

Hi, ich wollte mich auch mal hier in den Thread einklinken!

Bis jetzt habe ich Ordner meiner NAS als Netzlaufwerk bei Win 10 eingehängt und quasi eine "normale" Datensicherung darauf durchgeführt und die NAS dann 1x/Woche auf eine externe Platte sichern lassen, die nicht ständig angeschlossen ist.
Wenn ich das richtig verstanden habe, können Lockey etc. problemlos die eingehängten Netzwerke mit verschlüsseln?
Jetzt habe ich auch überlegt, einen separaten Backup User anzulegen und über ftp zu sichern, aber da habe ich noch kein komfortables Programm für, habt ihr da Empfehlungen?

Ist denn der Weg über Cloud Station Backup auch geeignet? Es müssten ja dann auch die verschlüsselten Datein neu hochgeladen werden, aber wenn man einfach die vorletzte Version wiederherstellt, sollte alles in Ordnung sein , oder?
Und sind denn Netzwerkfreigaben mit lesendem Zugriff, oder nicht gespeicherten Anmeldetedaten unbedenklich?

 

[tesme33]

HI
ic habe jetzt nicht den ganzen thread gelesen aber das was die CT gechrieben hat müsste sich auch auf einem NAS implementieren lassen.
http://www.heise.de/security/artikel/Erpressungs-Trojaner-wie-Locky-aussperren-3120956.html
Damit liesen sich zumindest Locky und co erkennen bevor alle Dateien verschlüsselt sind. Für Nachfolger , welche den Namen der Datei nicht ändern, ist dies natürlich kein Schutz.

Man müsste natürlich die Liste der Dateinamen , welche auf eine ransomware hinweisen, regelmässig pflegen.

 

[ceee]

Rsync erlaubt mit einer Option, Quelle und Ziel wie bei einem normalen Backup zu vergleichen, ohne das Ziel zu aktualisieren. Das nennt sich dry-run. Loggt man das mit, kann man sehr gut prüfen, ob man die Änderungen nachvollziehen kann oder ob massenhafte Änderungen vorkommen, die man nicht zuordnen kann. In dem Fall kann man über Stichproben sehr schnell ermitteln, ob eine Malware diese Änderungen verursacht hat.

Und wie kann man solch einen Run starten? Geht das unter DSM 6.0 überhaupt noch? Würde zu meiner 2 Platten Offline Methode sehr gut passen.

Chris

 

[dil88]

Das geht auch unter DSM 6.0. Die rsync-Option heißt -n oder --dry-run.