Schutz vor Ransomware

Status
Für weitere Antworten geschlossen.

t_korth

Benutzer
Mitglied seit
26. Feb 2016
Beiträge
20
Punkte für Reaktionen
0
Punkte
7
Was vielleicht in meinem Post fehlt ...

Nur auf Volume1 schreiben die Client-PCs/Server Backups, so dass es auch nur Netzfreigaben für Volume1 gibt.
Volume2 ist ausschließlich für Time Sync da und wird nicht nach außen freigegeben. Somit ist es für Ransomware "unsichtbar". Hofft man.
 

xamoel

Benutzer
Mitglied seit
24. Nov 2011
Beiträge
1.006
Punkte für Reaktionen
2
Punkte
58
Das Offline Backup könntet ihr über zeitgeschaltete Steckdosen für USB Platten lösen.
 

PsychoHH

Benutzer
Mitglied seit
03. Jul 2013
Beiträge
2.967
Punkte für Reaktionen
4
Punkte
78
Ja oder aber 2 kleinere DS mit genügend Speicher.
Die jeweils bei der andere DS stehen und automatisch hoch/runterfahren und das Backup ausführen.
Wenn dann nur von Mo-Sa gesichert werden sollte, könnte man folgendes machen.

Mo DSBackup1
Di DSBackup1
Mi DSBackup1


DO DSBackup2
FR DSBackup2
SA DSBackup2
 

speerwerfer

Benutzer
Mitglied seit
10. Mrz 2016
Beiträge
5
Punkte für Reaktionen
0
Punkte
0
Nabend,

ich hab mir heute auch mal Gedanken zu dem Thema gemacht. Bei mir gehts um meine privaten Daten. Ich sicher hin und wieder auf eine externe Festplatte. Wenn es mich also erwischen sollte, dann falle ich maximal bis zu diesem letzten Backup zurück - nicht schön, aber zu verkraften.

Ansonsten nutze ich zum Sichern meines Rechners die Software Backup Service Home. Hiermit kann ich ein Backup erstellen, bei dem ich zu einem beliebigen Zeitpunkt in der Historie zurückspringen kann. Veränderungen werden also historisiert gespeichert (und zwar als komplette Files). Ich sichere per FTP auf eine DS215. Dazu hab ich mir einen Backupuser auf der DS215 eingerichtet, der nur auf das Backupverzeichnis zugreifen darf und das auch nur per FTP. Alle anderen DIenste hab ich dem User untersagt. Umgekehrt haben alle anderen User keinen Zugriff auf das Backupverzeichnis und dürfen auch kein FTP machen. Der Backupuser wird ausschließlich in der Backupsoftware für den FTP Transfer benutzt.

Sehe ich es richtig, das mir nun eine Ransomware zwar meine Netzfreigaben auf dem DS215 schreddern kann, aber (solange es kein FTP kann und die Zugangsdaten nicht hat) nicht an meine Backups kommt? Ich weiß, das es nicht perfekt ist, aber ich will hier nicht mit Kanonen auf Spatzen schießen und hab ja immernoch ein Backup auf einer externen HD.

Martin
 

micho2

Benutzer
Mitglied seit
18. Jul 2012
Beiträge
147
Punkte für Reaktionen
0
Punkte
0
Guten Abend zusammen,

wie könnte eine Heuristik aussehen, die in einem Service, der auf der Sync läuft, mit einer gewissen Wahrscheinlichkeit erkennt, das masshaft Dateien verschlüsselt werden.

CPU Last wäre sicher ein Parameter aber alleine sicher nicht genug. Wie kann man erkennen, dass Schreibzugriffe auf Dateien in bestimmten Verzeichnissen erfolgen - das passiert normalerweise wahrscheinlich eher selten.

Micho
 

jugi

Benutzer
Mitglied seit
07. Apr 2011
Beiträge
1.853
Punkte für Reaktionen
0
Punkte
56
Eine Kombination aus mehreren Sachen könnte funktionieren, aber immer auch abhängig von den sonst auf der DS laufenden Prozessen:
1. konstante Festplattenzugriffe (lesend & schreibend)
2. mehr als X Dateien in den letzten X Stunden geändert.
3. Ein lange laufender Prozess, der 1 & 2 macht.
4. Schreib(Lösch-)zugriffe auf bestimmte Dateien, die eigentlich nur gelesen werden sollten
usw…
 

micho2

Benutzer
Mitglied seit
18. Jul 2012
Beiträge
147
Punkte für Reaktionen
0
Punkte
0
Eine Kombination aus mehreren Sachen könnte funktionieren, aber immer auch abhängig von den sonst auf der DS laufenden Prozessen:
4. Schreib(Lösch-)zugriffe auf bestimmte Dateien, die eigentlich nur gelesen werden sollten
usw…
Wie kann man 4 am besten ermitteln?
 
Mitglied seit
21. Mai 2015
Beiträge
32
Punkte für Reaktionen
0
Punkte
6
Script für Aufabenplaner für sicheres runterfahren der USB Platte

Hallo zusammen,

damit die USB Platte vor dem physischen Abschalten per Zeitschaltuhr vom System abgemeldet wird, wollte ich sie per Aufgabenplaner unnmounten.
Aus dem Forum hier habe ich mir folgendes zusammengeimt:

/bin/umount /volumeUSB1/usbshare
echo 1 > /sys/block/usbshare1/device/delete

Das klappt auch - die USB Platte ist über die File Station nicht erreichbar, doch sie ist weiterhin als externes Gerät angemeldet.

Wie muss ich das Skript ändern, damit die Platte auch wirklich abgemeldet ist und beispielsweise rechts oben nicht mehr unter "externe Geräte" gelistet wird?

Danke für Tipps!
Beste Grüße

Martin
 

Fellyboy

Benutzer
Mitglied seit
27. Mai 2015
Beiträge
62
Punkte für Reaktionen
0
Punkte
12
Hallo zusammen

Ich häng mich mal mit rein in die Diskussion.

Was vielleicht in meinem Post fehlt ...

Nur auf Volume1 schreiben die Client-PCs/Server Backups, so dass es auch nur Netzfreigaben für Volume1 gibt.
Volume2 ist ausschließlich für Time Sync da und wird nicht nach außen freigegeben. Somit ist es für Ransomware "unsichtbar". Hofft man.

Wie löst du das im Detail?

Habe aktuell die Situation so, dass ich alle Tage autom. auf meine DS ein File-Backup mit Acronis mache. Nehme nun dann wohl Cloud Station Backup. Dann mittels Synology Hyper Backup auf die externe Platte. Mache ich aktuell noch manuell. Mittels autorun und dann wieder räumlich getrennt aufbewahren.

Gibt es eine Möglichkeit, z.B. auf der DS einen spezifischen Backup-User anzulegen, dass nur dieser dann Synology Hyper Backup ausführen darf? Hat da jemand schon Erfahrungen gemacht?
Oder wie kann ich mich mit der aktuellen "Strategie" gegen Ransomware schützen?

Gruss
 

Christof11

Benutzer
Mitglied seit
26. Mrz 2016
Beiträge
10
Punkte für Reaktionen
0
Punkte
0
Hallo,

jetzt möchte ich euch mal meinen Lösungsansatz vorstellen und eure Meinung bezüglich der Effektivität und Sicherheit hören.

Eine selbstgeschriebene Batch-Datei befindet sich im Autostart des Computers, durch diese wird die Verbindung zu 2 Netzlaufwerken hergestellt. Nämlich 'Backup' und 'Gemeinsam'. Anschließend wird ein Befehl ausgeführt, durch welchen die Daten auf das NAS-System auf 'Backup' (inkrementell) gespeichert wird. Sobald das fertig ist, trennt sich der Computer automatisch mit dem Netzlaufwerk.
So kann meines Erachtens nach nur 'Gemeinsam' und der Computer selbst verschlüsselt werden, das Backup und der Rest der NAS jedoch nicht (siehe unten für warum). Oder habe ich da etwas nicht bedacht?
Diese Methode setzt natürlich einen etwas leistungsstärkeren Computer voraus. Aber das funktioniet bei mir ..

Die Diskstation ist zwar noch im LAN sichtbar, aber um sich damit zu verbinden, muss man sich zuvor erneut authentifizieren .. Mit einem richtig starken Passwort. -> deswegen ist der Rest doch sicher, nicht? Nur das Netzlaufwerk 'Gemeinsam' ist durch die Batch-Datei bereits freigeschalten.

Da in der Batch-Datei die Passwörter ersichtlich wären, wird diese einfach in eine .exe Datei konvertiert, dann müsste doch alles soweit passen, nicht?

Liebe Grüße

Christof
 

Fellyboy

Benutzer
Mitglied seit
27. Mai 2015
Beiträge
62
Punkte für Reaktionen
0
Punkte
12
Hallo Christof

Danke für deine Überlegungen und den beschriebenen Lösungsansatz. Ja je nachdem sind dann im Netzwerk noch die Ordner Fotos, Videos, Musik, etc. zu sehen. Die werden "autom." sichbar, wenn der Medienserver aktiv ist. So dass der TV, etc. auf die Inhalte zugreifen kann.

Was hast du denn unter "Gemeinsam" für Daten?

Einzig während dem Backup-Vorgang selber ist somit ein Zugriff auf die Daten vom Rechner selber aus wohl wirklick ausgeschlossen.

Sicherst du die Daten von der NAS selber auch noch weg (externe HD, weiteres NAS, Cloud, etc.)?

Gruss
 

Christof11

Benutzer
Mitglied seit
26. Mrz 2016
Beiträge
10
Punkte für Reaktionen
0
Punkte
0
Hi Fellyboy,

Medienserver ist bei mir deaktiviert.

Unter 'Gemeinsam' sind verschiedenste Sachen, auf die alle Nutzer Zugriff haben. (Zwar dennoch passwortgeschützt, aber jeder Benutzer hat die nötige Berechtigung.) Aber theoretisch könnte ich, je nach Größe des Systems und des Ordners, auch diesen beispielsweise 1x/Woche in ein anders Verzeichnis sichern, welches nicht ohne weitere Authentifikation zugänglich ist.

Genau dieses erneute Sichern auf ein anderes Medium möchte ich mir dadurch ersparen. Natürlich hätte eine zusätzliche Cloud-Sicherung aber auch noch einige Vorteile ...

Liebe Grüße

Christof
 

Fellyboy

Benutzer
Mitglied seit
27. Mai 2015
Beiträge
62
Punkte für Reaktionen
0
Punkte
12
Hallo zusammen, hi Christof11

Übrigens: Synology hat sich dazu auch schon Gedanken gemacht :p Hier die Empfehlungen und Lösungsvorschläge: Schutz gegen Verschlüsselung durch Ransomware.

Ich werde nun einen separaten Backup-Ordner auf der DS anlegen. Dazu einen "passenden" Backup-User und nur den auf diesen Ordner berechtigen. Ich hoffe, dass ich mit Cloud Station Backup für die Datensicherungsaufgaben genau diesen User mitgeben kann. Cloud Station Backup muss ich zuerst noch einrichten...

Weiter werde ich auch ein cmd-Script erstellen, um die Netzlaufwerke manuell zu verbinden; inkl. Passwortabfrage. Die sind dann für die Dauer des Backup-Vorgangs verbunden und werden anschl. wieder getrennt. Weiter werde ich diesen Ordner dann mittels Hyper Backup regelmässig auf die externe Platte sichern.

Durch die Versionierung mit Cloud Station Backup sowie dem Schutz des Verzeichnis klappt das hoffentlich.

Gruss
 

PsychoHH

Benutzer
Mitglied seit
03. Jul 2013
Beiträge
2.967
Punkte für Reaktionen
4
Punkte
78
Und was bitte ist, wenn die DB verschlüsselt wird? Dann bringt einen das Multiversions Backup auch nichts.
 

Fellyboy

Benutzer
Mitglied seit
27. Mai 2015
Beiträge
62
Punkte für Reaktionen
0
Punkte
12
Zugriff auf die DB besteht so während dem Backup-Vorgang selber. Habe ich in meinem Post von gestern erwähnt: während dem Backup selber besteht eine Verbindung und wenn dann der Locky oder sonst wer mit dem Verschlüsseln beginnt dann bringt auch das nichts. Aktuell besteht wohl keine 100% sichere Lösung - und morgen wohl auch noch nicht. Aber so ist zumindest schon sehr viel getan und abgedeckt. Oder gibt es (noch) bessere Varianten?
 

xabano

Benutzer
Mitglied seit
17. Aug 2008
Beiträge
411
Punkte für Reaktionen
0
Punkte
22
Zugriff auf die DB besteht so während dem Backup-Vorgang selber.
Die höchste Sicherheit dürfte mit einem Pull-Backup erreicht werden. Damit wird das Backup auf dem Backup-Server gestartet und man muss keinem User des Arbeits-Servers Zugriffsrechte auf den Backupserver geben. Mit rsync kann so etwas realisiert werden und Voraussetzung ist natürlich ein zweites NAS.
 

Equ4liz3R

Benutzer
Mitglied seit
27. Aug 2014
Beiträge
34
Punkte für Reaktionen
0
Punkte
0
Hi, ich wollte mich auch mal hier in den Thread einklinken!

Bis jetzt habe ich Ordner meiner NAS als Netzlaufwerk bei Win 10 eingehängt und quasi eine "normale" Datensicherung darauf durchgeführt und die NAS dann 1x/Woche auf eine externe Platte sichern lassen, die nicht ständig angeschlossen ist.
Wenn ich das richtig verstanden habe, können Lockey etc. problemlos die eingehängten Netzwerke mit verschlüsseln?
Jetzt habe ich auch überlegt, einen separaten Backup User anzulegen und über ftp zu sichern, aber da habe ich noch kein komfortables Programm für, habt ihr da Empfehlungen?

Ist denn der Weg über Cloud Station Backup auch geeignet? Es müssten ja dann auch die verschlüsselten Datein neu hochgeladen werden, aber wenn man einfach die vorletzte Version wiederherstellt, sollte alles in Ordnung sein , oder?
Und sind denn Netzwerkfreigaben mit lesendem Zugriff, oder nicht gespeicherten Anmeldetedaten unbedenklich?
 

tesme33

Benutzer
Mitglied seit
01. Apr 2010
Beiträge
114
Punkte für Reaktionen
1
Punkte
18
HI
ic habe jetzt nicht den ganzen thread gelesen aber das was die CT gechrieben hat müsste sich auch auf einem NAS implementieren lassen.
http://www.heise.de/security/artikel/Erpressungs-Trojaner-wie-Locky-aussperren-3120956.html
Damit liesen sich zumindest Locky und co erkennen bevor alle Dateien verschlüsselt sind. Für Nachfolger , welche den Namen der Datei nicht ändern, ist dies natürlich kein Schutz.

Man müsste natürlich die Liste der Dateinamen , welche auf eine ransomware hinweisen, regelmässig pflegen.
 

ceee

Benutzer
Mitglied seit
29. Sep 2011
Beiträge
75
Punkte für Reaktionen
6
Punkte
8
Rsync erlaubt mit einer Option, Quelle und Ziel wie bei einem normalen Backup zu vergleichen, ohne das Ziel zu aktualisieren. Das nennt sich dry-run. Loggt man das mit, kann man sehr gut prüfen, ob man die Änderungen nachvollziehen kann oder ob massenhafte Änderungen vorkommen, die man nicht zuordnen kann. In dem Fall kann man über Stichproben sehr schnell ermitteln, ob eine Malware diese Änderungen verursacht hat.

Und wie kann man solch einen Run starten? Geht das unter DSM 6.0 überhaupt noch? Würde zu meiner 2 Platten Offline Methode sehr gut passen.

Chris
 

dil88

Benutzer
Contributor
Sehr erfahren
Mitglied seit
03. Sep 2012
Beiträge
30.682
Punkte für Reaktionen
2.084
Punkte
829
Das geht auch unter DSM 6.0. Die rsync-Option heißt -n oder --dry-run.
 
Status
Für weitere Antworten geschlossen.
 

Kaffeautomat

Wenn du das Forum hilfreich findest oder uns unterstützen möchtest, dann gib uns doch einfach einen Kaffee aus.

Als Dankeschön schalten wir deinen Account werbefrei.

:coffee:

Hier gehts zum Kaffeeautomat