alijoschi
Goto Top

Welches Datensicherungsprogramm wird von Ransomware sicher nicht befallen

Hi leute!

Bin auf der Suche nach einer Datensicherung welche zu 100% nicht bei einen Virenbefall von RANSOMWARE angegriffen wird.

Ich weiss jetzt kommt steck die Sicherung doch ab. Ja wäre loglisch wenn ich das machen würde; da mich ein Freund gefragt hat, der nicht verlässlich ist, hilft mir das aber nicht;

Soweit ich es verstehe greiften die RANSOMWARE's gemappte laufwerke an; dann wäre es sinnvoll wenn die sicherung nicht als gemappet aufscheint; so quasi wie in einem Container;

Acronis hatte das mal; bin aber nicht überzeugt von Acronis; die anderen die ich gefunden habe wie DriveSnapShot, Windows interne Sicherung,... benötigen aber gemappte laufwerde da sonst die sicherung nicht funktioniert;

vielleicht kann mir ja jemand helfen.

danke schon mal i voraus!

Content-Key: 313867

Url: https://administrator.de/contentid/313867

Ausgedruckt am: 29.03.2024 um 08:03 Uhr

Mitglied: Pjordorf
Pjordorf 29.08.2016 aktualisiert um 19:54:43 Uhr
Goto Top
Hallo,

Zitat von @alijoschi:
Bin auf der Suche nach einer Datensicherung welche zu 100% nicht bei einen Virenbefall von RANSOMWARE angegriffen wird.
100% gibt es nie....

Soweit ich es verstehe greiften die RANSOMWARE's gemappte laufwerke an; dann wäre es sinnvoll wenn die sicherung nicht als gemappet aufscheint
Falsch, das gemappte Laufwerk darf halt nur vom Datensicherungsprozess erreicht werden dürfen (Datenrücksicherung auch). Alle andere (Benutzer, Admins usw.) haben keinerlei Zugriff darauf. Wenn dies nur durch das abziehen, ausschalten erreicht werden kann .... es kommt halt auf die Umgebung und und Einsatz an.

Gruß,
Peter
Mitglied: alijoschi
alijoschi 29.08.2016 um 19:59:28 Uhr
Goto Top
Hallo,

danke für die Antwort. 100%ig ist überspitzt geschrieben; Wenn ich das richtig verstanden habe soll man einen Sicherungsbenutzer verwenden; nur dieser Darf auf das Laufwerk schreiben?

So habe ich das überhaupt noch nie gesehen; ein super ansatz; somit kann der lokale Benutzer zwar die sicherung starten; diese wird aber mit RUNAS als Sicherungsbenutzer durchgeführt; somit hat der normale benutzer keine Schreibrechte; die Ransomware auch nicht;

hoffe habe das richtig verstanden; über weitere Hilfe freue ich mich auch;

mfg
Mitglied: Lochkartenstanzer
Lochkartenstanzer 29.08.2016 aktualisiert um 20:14:55 Uhr
Goto Top
Zitat von @alijoschi:

Soweit ich es verstehe greiften die RANSOMWARE's gemappte laufwerke an; dann wäre es sinnvoll wenn die sicherung nicht als gemappet aufscheint; so quasi wie in einem Container;

Moin,

Falsch! Ransomware greift sich jedes Volume, auf das sie Zugriff hat, auch auf solche, denen kein Laufwerksbuchstabe zugewiesen wurde.!

Vor Ransomware ist nur sicher, was auf einem Offline-Medium ist auf das man keinen Zugriff hat, wenn man das Medium nicht explizit ansteckt.

lks

PS. Faulheit und Security verträgt sich nicht! Wer nachlässig ist, muß die Konsequenzen tragen.
Mitglied: Lochkartenstanzer
Lochkartenstanzer 29.08.2016 aktualisiert um 20:24:41 Uhr
Goto Top
Zitat von @alijoschi:

So habe ich das überhaupt noch nie gesehen; ein super ansatz; somit kann der lokale Benutzer zwar die sicherung starten; diese wird aber mit RUNAS als Sicherungsbenutzer durchgeführt; somit hat der normale benutzer keine Schreibrechte; die Ransomware auch nicht;

Auch falsch. Die aktulle Ransomware läßt sich möglicherweise davon aufhalten, aber es gibt unter Windows auch genug Privilege-Escalation-Exploits, die das aushebeln. Wenn man wirklich vor Ransomware sicher sein will, muß man entweder ein WOM verwerden oder die Medien offline halten.

lks
Mitglied: tomolpi
tomolpi 29.08.2016 um 20:26:25 Uhr
Goto Top
Hi,

Veeam Endpoint Backup (ist kostenlos) kann Backup Targets nach dem Backup auswerfen. Dann sind sie unter Windows nicht mehr sichtbar. Die preisen das sogar als Ransomware-Schutz an.

LG,

tomolpi
Mitglied: Lochkartenstanzer
Lochkartenstanzer 29.08.2016 aktualisiert um 20:36:02 Uhr
Goto Top
Zitat von @tomolpi:

Veeam Endpoint Backup (ist kostenlos) kann Backup Targets nach dem Backup auswerfen. Dann sind sie unter Windows nicht mehr sichtbar. Die preisen das sogar als Ransomware-Schutz an.

Das funktioniert allerdings nur mit Backup Targets, die auch wirklich ausgeworfen werden, d.h. auch als Blockdevice nicht mehr ansprechbar sind, Also echten Wechselmedien, Die Dinger, die dann nur "keinen laufwerksbuchstaben" haben. sind nicht sicher. Bei USB-Medien reicht meist ein rescan vom USB, um auf USB-Platten wieder zugreifen zu können. (devcon /rescan ist ein einfaches Beispiel dafür).

lks
Mitglied: kuckuck
kuckuck 29.08.2016 um 20:40:54 Uhr
Goto Top
Ich kann Veeam echt auch nur empfehlen, ich sichere damit direkt auf den Netzwerkpfad von NAS (zb. \\backup\ordner1...). Meines Wissens nach gibt's keine Ransomware, die auf einen nichtverbundenen Pfad geht...


LG,

kuckuck
Mitglied: Lochkartenstanzer
Lochkartenstanzer 29.08.2016 um 20:43:45 Uhr
Goto Top
Zitat von @kuckuck:

Meines Wissens nach gibt's keine Ransomware, die auf einen nichtverbundenen Pfad geht...

Auch Ransomware entwickelt sich weiter. Es gibt momentan Schadsoftware, die auf shares im netz zugreifen kann, auch wenn diese nicht "verbunden" sind.


lks
Mitglied: Pjordorf
Pjordorf 29.08.2016 um 20:45:50 Uhr
Goto Top
Hallo,

Zitat von @tomolpi:
Veeam Endpoint Backup (ist kostenlos) kann Backup Targets nach dem Backup auswerfen
Aber wie sind die während des backups geschützt? Besondere Benutzer? Und die Sicherungsprozesse selbst?

Die preisen das sogar als Ransomware-Schutz an.
Dies tut nicht nur VEEAM. Im grunde haben die ja recht. NetJapans Active Image Protector lässt die sicherung selbst als System Prozess laufen und verlangt für Medien ausserhal des Lokalen Rechneers (also alles was nicht per USB, SATA lokal angepappt ist) entsprechende z.B. FTP Benutzer welche auch nur während der Sicherung selbst eine Verbindung halten. Setzt aber natürlich eine zweites Ziel vorraus, weil eben aus geschwindigkeitsgründen die erste Sicherung immer Lokal erfolgt. Auch eine Monatliche oder einmalige Image Sicherung mit Deduplizierung braucht für eine 80 GB belegte Platte seine Zeit - Zeit die ein Locky oder so gerne nimmt face-smile.

Da ist Software Restriction Policy und Applocker durchaus im Vorfeld besser genutzt um den Locky gar nicht erst eine Chance zu geben. In Firmen Netzwerken ist eine andere Strategie als auf einen einzigen PC mit 4 Platten @ 4 TB ... Es gibt kein gültiges einziges Konzept. da muss immer geschaut werden was kann wie womit gemacht werden.

Kollege @DerWoWusste hat hier sehr gute information zu SRP und Applocker...

Gruß,
Peter
Mitglied: Sheogorath
Sheogorath 29.08.2016 um 20:59:46 Uhr
Goto Top
Moin,

wie schonmal erwähnt: Datensicherung auf ein Copy-On-Write device machen. z.B. Ein ZFS Volume. Ist der Backupserver selbst nicht von der Ransomeware befallen und somit die controls für das Dateisystem außerhalb dessen reichweite ist das einzige was die Ransomeware anrichtet das Dateisystem zu füllen. Sobald man sie dann allerdings erfolgreich bekämpft hat, ist es nur ein einzeiler um zurück zum Datenstand davor zu kommen.

Backups sollte man von den Snapshots ziehen. Am besten auf ein Offlinemedium. Womit wir wieder beim alten Thema wären. Wenn man wirklich sicher gehen will, führt kein Weg an Offlinemedien vorbei. Für alles andere funktioniert Copy-On-Write ganz gut.

Gruß
Chris
Mitglied: 102534
102534 29.08.2016 um 21:39:00 Uhr
Goto Top
Vielleicht hilft dir ja das noch:
https://www.skytale.net/blog/archives/26-Creating-a-write-only-directory ...

Read = yes
Write = yes
Overwrite = no

Gilt natürlich auch nur wenn der Server nicht infiziert wurde...

LG

win-dozer
Mitglied: kaiand1
kaiand1 30.08.2016 um 02:32:01 Uhr
Goto Top
Nun du sobald die Software Lokal installiert ist kann diese Manipuliert werden.
Je nach Vorhaben ect kannst du aber auch den Umgekehrten Weg gehen und vom Nas/Server ja eine Verbindung zum Client Herstellen und so die Daten holen.
So müsste das Nas/Server Infiziert werden um Schaden anzurichten.

Aber du kannst annehmen das die Bekannten Programme alle von den Schadsoftwaren Machern getestet werden damit die auch die Möglichkeit haben die Backups zu verschlüsseln.
Es ist halt ein Katz und Maus Spiel.

Offline Backup wäre da vorzuziehen jedoch mit paar externe Medien falls des eine Infiziert wird und die anderen Medien noch zu gebrauchen sind.
Jedoch ist dies auch alles keine Kostenfrage und da ja gerne gespart wird obwohl ein Ausfall sicherlich mehr Schaden (Finanziell) Anrichtet wird ja nicht so gesehen bei der Planung/Einsparung....
Mitglied: keine-ahnung
keine-ahnung 30.08.2016 um 08:57:53 Uhr
Goto Top
Moin,
da mich ein Freund gefragt hat, der nicht verlässlich ist, hilft mir das aber nicht
Wenn ich das richtig verstanden habe soll man einen Sicherungsbenutzer verwenden; nur dieser Darf auf das Laufwerk schreiben?
hier hilft der Blinde dem Tauben face-smile.
Lass Deinen Freund einfach seine Erfahrungen machen - nichts triggert Lernfähigkeit so wie Schmerzen face-wink!

Gegen Ransomware schützt man sich nicht durch backup's, diese sind nur letztes Glied in einer Kette von Sicherheitsmassnahmen - Onkel Google ist hier Dein Freund ... oder die SuFu dieses Forums.

LG, Thomas
Mitglied: runasservice
runasservice 30.08.2016 aktualisiert um 13:47:27 Uhr
Goto Top
Hallo,

Bin auf der Suche nach einer Datensicherung welche zu 100% nicht bei einen Virenbefall von RANSOMWARE angegriffen wird.

Kauf ein beliebiges NAS der Plastik-Klasse (z.B. ZyXEL NSA325v2) und richte auf dem NAS eine Netzwerkfreigabe mit Username und Passwort ein. Jetzt kannst Du jedes Backup-Programm nehmen (auch Freeware) welches eine UNC Netzwerkverbindung (für die Sicherung) mit Username und Passwort herstellen kann und nach der Sicherung wieder automatich trennt, die UNC-Verbindung ist nicht transparent.

Die Zugangsdaten sind lediglich auf dem NAS und im Backup-Programm hinterlegt, d.h. kein Administrator, Anwender oder Programm (Ransomware) kann die Verbindung eigenmächtig herstellen.

Das Gleiche gilt auch für die Systemsicherung, beides kannst Du z.B. mit der Freeware Version von Z-DBackup für ein NAS einrichten.

Das teuflische an den Verschlüsselungstrojanern ist, dass diese Übeltäter so genial einfach gestrickt sind, der Rest ist Unwissenheit und Panikmache...

Viel Erfolg
Mitglied: 117471
117471 30.08.2016 um 23:05:32 Uhr
Goto Top
Hallo,

richtige agentenbasierte Lösungen sichern i.d.R. über proprietäre Protokolle auf dem Depotserver. D.h. die Server mit den Agenten sehen die Laufwerke nicht (mit Ausnahme des Depotservers).

Für die übliche robocopy-Frickelei könnte ich mir auch vorstellen, dass die Clients in einem lokalen freigegebenen Ordner sichern und dass sich der eigentliche Backupserver die Dateien dann per SMB holt.

Gruß,
Jörg
Mitglied: miscmike
miscmike 05.09.2016 um 12:00:41 Uhr
Goto Top
Hallo,

was für ein OS soll eigentlich gesichert werden ?
Wenn es sich um ein Windows Server System handelt, dann empfehle ich die aktuelle Kaspersky Business Security (FSEE 10.x) zu verwenden.
Die schützt Netzwerkfreigaben sicher vor Verschlüsselung, was ja Ramsonware macht..

VG
Mike
Mitglied: runasservice
runasservice 05.09.2016 aktualisiert um 15:21:11 Uhr
Goto Top
Hallo,

Die schützt Netzwerkfreigaben sicher vor Verschlüsselung, was ja Ramsonware macht..

habe mich gerade mal auf der deutschen Website von Kaspersky umgesehen und konnte leider keine Informationen dazu finden! Hast Du einen direkten Link, wo die Funktionsweise für den Schutz (vor Verschlüsselung) der Netzwerkfreigaben beschrieben ist?

Wo hast Du den Schutz vor Verschlüsselung in Kaspersky Business Security konfiguriert?

Mit freundlichen Grüßen
Mitglied: Digi-Quick
Digi-Quick 05.09.2016 um 16:55:45 Uhr
Goto Top
99,9999999999999999999999999999999999999999999999% Sicher vor Verschlüsselungsviren

1. Nur der Backupuser hat Schreibrechte auf dem Sicherungsvolume.
2. root darf sich nicht remote anmelden, auch nicht via ssh.
3. Das Sicherungsvolume wird nicht per Laufwerrksmapping eingebunden, Zugriff nur via UNC Pfad
3a.) Verwenden von NFS statt SMB/CIFS, sofern das Backupprogramm mit NFS Freigaben umgehen kann
4. Verwenden eines cow (copy on write) Dateisystems mit Read-Only-Snapshots (aka "vorherige Version") auf dem Datensicherungsmedium.

ZFS = Rockstable und zuverlässig
BTRFS = noch neu und nicht wirklich stabil, obwohl bereits für den Produktivbetrieb freigegen.

Damit Fällt raus:
- USB HDD
- FertigNAS (Syno, Qnap etc.)*

Günstigste Lösung:
http://www.heise.de/preisvergleich/hp-proliant-microserver-gen8-819185- ...

USB Stick (mind. 8GB) als Bootmedium
mind. 2 gleichgrosse HDDs als Mirror (erweiterbar um einen weiteren Mirror) oder 4 HDDs als Raidz1 (entspricht Raid5)


Als OS (Kostenlos):
http://www.nas4free.org/
oder
http://www.freenas.org/


(STERN) Es gibt mitlerweile zwar FertigNASen, die auch BTRFS unterstützen, dies aber nur in der Grundfunktion "Dateisystem". Nahezu Sämtliche erweiterten Features des Dateisystems, wie z.B. die automatische Korrektur von Datenfehlern (DatenROT) werden nicht unterstützt, was mangels ECC Speicher auch nicht praktikabel ist.
Mitglied: miscmike
miscmike 05.09.2016 um 18:30:05 Uhr
Goto Top
http://media.kaspersky.com/pdf/b2b/KSFS_Datasheet.pdf

Ja, ich weiß, englisch ... sollte als Admin aber kein Problem darstellen.

Der Verschlüsselungsschutz wird per Richtlinie im KSC festgelegt, Haken rein, fertig.

Habs getestet - Du kannst auf Netzwerkfreigaben nichts mehr von ferne verschlüsseln - wenn Du es einstellst, wird sogar der PC, von dem das ausgeht für eine einstellbare Zeit ausgesperrt

VG
Mike
Mitglied: runasservice
runasservice 06.09.2016 um 08:09:10 Uhr
Goto Top
Ja, ich weiß, englisch ... sollte als Admin aber kein Problem darstellen.

The Anti-Cryptor task in Kaspersky Security for Network Attached Storage Protection is applicable only to the Windows server where it is installed. Network storages are not protected from encryption.

Eine Datensicherung auf einen NAS oder einer sonstigen Freigabe im Netz kann man damit nicht schützen!

Mit freundlichen Grüßen
Mitglied: torte79
torte79 06.09.2016 um 08:16:26 Uhr
Goto Top
wir haben uns auch für ein Offset-Backup System entschieden. Wir nutzen Barracuda Backup. Das ist agentenbasiert und kann unterschiedlichen Betriebssysteme sichern (als physische Rechner) und natürlich virtuelle Maschinen. Das Backup ist vom eigentlichen Server nicht erreichbar. Es werden auch mehrere Versionen gespeichert, so dass auch eine ältere Dateien wiederhergestellt werden können. Da wir auch mal Opfer eines Verschlüsselungstrojaners wurden, hat sich das Backup gut bewährt...

Viele Grüße

Torte79
Mitglied: miscmike
miscmike 06.09.2016 um 08:23:28 Uhr
Goto Top
Das war auch nicht gefragt. Es hieß ".. eine Datensicherungsmöglichkeit.." .
Wenn man , wie in vorigen Beiträgen erwähnt, auf eine Windows-Server-Freigabe sichert, schützt das sehr wohl.

Ist nur eine Möglichkeit von vielen...
Mitglied: runasservice
runasservice 06.09.2016 um 09:07:09 Uhr
Goto Top
Deine These:

Die schützt Netzwerkfreigaben sicher vor Verschlüsselung, was ja Ramsonware macht..

Kaspersky:

Network storages are not protected from encryption.

Ja, das ist dann der Stoff aus dem die Märchen sind, das Ransomware alles kann face-wink
Mitglied: keine-ahnung
keine-ahnung 06.09.2016 um 10:23:03 Uhr
Goto Top
Moin,
Eine Datensicherung auf einen NAS oder einer sonstigen Freigabe im Netz kann man damit nicht schützen!
na ja, solange die Freigabe auf einer Windows-Büchse liegt, die ebenfalls durch einen maleware-Schutz, der das encryptieren verhindern kann, überwacht wird (worryfree von Trendmicro bietet das bspw. ebenfalls an), hast Du schon einen Schutz. Insofern sind Linux-NAS ein Sicherheitsproblem, welches man ja vermeiden kann face-smile.

LG, Thomas
Mitglied: kaiand1
kaiand1 06.09.2016 um 11:10:14 Uhr
Goto Top
Zitat von @keine-ahnung:
Insofern sind Linux-NAS ein Sicherheitsproblem, welches man ja vermeiden kann face-smile.

Wie meinst du das denn?
Warum ist Linux ein Sicherheitsproblem ?
Windows (User) sind eigentlich eher das Sicherheitsproblem da dort die meiste Schadsoftware reinkommt.
Mails, Webseiten ect wo die Leuchte Unachtsam sind und alles Anklicken...
Zudem was bringt dir ein Sicheres System wenn der User Infiziert wurde und die Freigaben Entschlüsselt ?
Irgendwelche Daten/Zugänge hat jeder User zum Arbeiten und die Daten kannst du daher kaum Schützen gegen Veränderung ect...
Mitglied: runasservice
runasservice 06.09.2016 um 11:18:36 Uhr
Goto Top
Hallo,

Insofern sind Linux-NAS ein Sicherheitsproblem

Linux oder Windows ist hier nicht das Problem, sondern der lachse Umgang mit ungeschützten Netzwerkfreigaben und Ransomware, wenn es um die Datensicherung geht.

Ein Sicherheitsproblem, das man auf verschiedene Arten vermeiden kann face-smile

Klar, kann man seine Windows-Server-Freigabe mit Kaspersky gegen Ransomware schützen und da hat @miscmike natürlich recht. Verallgemeinern sollte man diese Aussage aber nicht, denn der Schutz bezieht sich nur auf die Windows-Büchse. Eine Netzwerkfreigabe kann aber irgendwo im Netz sein.

MfG
Mitglied: keine-ahnung
keine-ahnung 06.09.2016 um 11:50:06 Uhr
Goto Top
Moin,
wenn der User Infiziert wurde und die Freigaben Entschlüsselt ?
dann sollte er zum Arzt gehen, kann ja auch mal Pest oder Cholera sein face-wink.
Und wenn der nach der Infektion entschlüsseln kann, kannst Du ihn ja betroffenen Firmen gegen Bares ausleihen ... face-smile

LG, Thomas
Mitglied: miscmike
miscmike 06.09.2016 aktualisiert um 12:00:06 Uhr
Goto Top
runasservice : Network Storages - NAS, SAN usw. ., die werden damit nicht geschützt, zumindest nicht vor encryption
Damit sind nicht Windowsfreigaben auf einem Server (Windows Server 2008xx, 2012xx, 2016xx ) gemeint. Einfach mal mit Kaspersky beschäftigen ....

Grüße

edit : Hatte den 11:18 Kommentar nicht gelesen... sorry.

Ja, so ist es gemeint, die besprochene Kaspersky-Lösung schützt vor Verschlüsselung einer Windows-Server-Freigabe. Nicht mehr und nicht weniger.
Mitglied: Anhalter42
Anhalter42 06.09.2016 um 20:19:37 Uhr
Goto Top
Das Zauberwort heißt „Pull statt Push". Der Backupserver sollte ein abgesichertes OS und ein Dateisystem mit Versionierung, welches von anderen Rechnern nicht erreicht wird, haben. Ich will mir sowas gerade mit Openindiana und ZFS einrichten. Der Backupjob läuft auf diesem Server und zieht (deshalb Pull) die zu sichernden Dateien von den Clients auf seine ZFS-Platte. Das kann man mit Scripten oder einen Agenten-basierenden Backupsoftware machen, je nach Geschmack. Vor dem Aufräumen alter Dateiversionen aus dem Backup muss man dann nur noch prüfen, ob die neueste Version sauber (also nicht befallen bzw. unverschlüsselt) ist.

So ist mein Plan. face-smile
Mitglied: KiraNerys
KiraNerys 19.10.2016 um 22:56:24 Uhr
Goto Top
Hi,
nun es mag etwas seltsam klingen. Aber in einem solchen Fall habe ich es durch eine Dect Steckdose eines deutschen Herstellers der auch gute Router herstellt, und mit Vornamen Fritz heißt ;) geschafft eine zuverlässige Trennung eines angeschlossenen USB Laufwerks herzustellen. Diese Steckdose lässt sich auch zeit-gesteuert automatisch verwenden, wie auch viele Backuplösungen. Vorteil: man hat auch von außen Zugriff auf die Steckdose falls mal etwas schief geht. Ich weiß es ist eine etwas eigentümliche aber sehr günstige Lösung. Kein Strom := keinen Zugriff auf Laufwerk, fertig!
Aber das sollte keinesfalls die einzige Lösung sein. Hiermit schreibe ich Sonntags ein "Notfallbackup" für alle Fälle. Freitags ist in diesem Fall die letzte Usernutzung, dann läuft noch dreimal der Virenscanner darüber und Sonntags läuft das Notfallbackup. Das ich im schlimmsten Fall ein Datendelta von einer Woche habe, ist natürlich nicht optimal. Neben der Sensibilisierung der User, einer weiteren guten und abgeschirmten (täglichen) Backuplösung einem sehr guten Virenscanner, dem Sperren einiger Mailanhänge, Ausschalten der Makroausführung per GPO und dem Einsatz des Ressourcenmanagers, der auf die Dateiendungen der üblichen Ransomware anspringt... usw.
Gerade dazu habe ich mir noch ein kleines Programm geschrieben, das Listen dieser Endungen importieren und doppelte Eintragungen ausfiltern kann und daraus ein Script erzeugt, dass direkt die ganzen Endungen in den Ressourcenmanager einpflegt, sonst artet das echt in Arbeit aus.
Das Programm ist noch Beta läuft aber sehr gut, ich werde es bald veröffentlichen, sieht ja nicht so aus, als würden wir da in nächster Zeit Ruhe bekommen.

Vielleicht kann daraus jmd. für ganz kleine Netze etwas nützliches ableiten.

LG Kira
Mitglied: juhu01
juhu01 23.09.2018 um 09:54:01 Uhr
Goto Top
Servus allemiteinander
Es gibt nur eine Lösung:
--- Keine Trojaner einfangen ---

Wenn ich mir so einen Crypto-Trojaner eingefangen habe,
dann brauche ich eine Möglichkeit die Daten wieder herzustellen.
Eine Möglichkeit wäre das ZFS-Filesystem mit vielen vielen Generation (Snapshots). Eine andere Möglichkeit wären DVD's oder CDROM
(auch WORM's). Am Besten etwas, wo ich File für File rekonstruieren kann. Denn je länger zurück, desto unwahrscheinlicher ist ein Befall durch den Trojaner.

Dazu sollte ich mir einmal überlegen, wie dieses Vieh arbeitet.
Also man nehme einen privat-key und erzeuge einen public-key daraus. Den Public-Key baue man in die Software ein und verschlüssel mit dem Key
die Dateien. Vola, das war es .....
Wenn du jetzt keinen Privat-Key hast, kommst du nicht mehr an deine Daten. Gegen Einwurf kleiner Münzen und großer Scheine könnte man den privat-key (möglicherweise) bekommen.
Um es etwas zu verschärfen kann man das Ganze noch mit etwas Salz und Pfeffer würzen. Dann kannst du sogar einen Privat-key für alle "Kunden" generieren. Salz und Pfeffer nur jeweils für einen Einzelnen.

Das Gemeine daran ist ...
Das du nur dann eine Lösung, um zu deinen Daten zu kommen, hast, wenn du das public-key-Verfahren knackst.
Du kannst Dir sicher sein, eine Anstellung bei der NSA wäre in diesem Fall sehr wahrscheinlich.

Das Geniale dabei ist ...
Die Lösung ist so einfach und die Routinen gibt es ausgetestet zum Download.

Wem das jetzt bekannt vorkommt
der liegt richtig, jede HTTPS-Verbindung arbeitet ähnlich. da werden auch die public-keys gegenseitig ausgetauscht.

MEINE private (Lösung)Strategie
Die "täglichen" Sicherungen beibehalten. In regelmäßigen Zeitabständen eine Sicherung aller Veränderungen auf ein WORM-Medium (z.B. DVD)
und "täglich" von einem anderem System aus ein Hash-Berechnung der einzelnen Files durchführen lassen.
Wenn jetzt die Anzahl der Veränderungen einen bestimmten Wert übersteigt, dann wäre es höchste Zeit wieder einmal die Virenschutz-Software anzuwerfen/aktualisieren/auszutauschen face-wink

Servus
Mitglied: 117471
117471 23.09.2018 um 10:55:16 Uhr
Goto Top
Hallo,

auch hier: Dieser Thread ist ebenfalls zwei Jahre als.

Positive Aufmerksamkeit generiert man nicht, indem man alles kommentiert was man findet.

Gruß,
Jörg
Mitglied: juhu01
juhu01 24.09.2018 um 08:19:56 Uhr
Goto Top
und ....
Gibt es das Problem nicht mehr?

Und Aufmerksamkeit überlasse ich den Ratten-Dompteuren.....
Mitglied: 117471
117471 24.09.2018 um 08:28:23 Uhr
Goto Top
Hallo,

derartige generische Fragen gibt es immer wieder.

Allerdings gibt es da in der gewerblichen IT bereits etablierte Lösungen, die deutlich von deinem „Smalltalk“ abweichen.

Zum Beispiel agentenbasierte Lösungen (Acronis, Veeam, Veritas und von mir aus auch Bareos).

„Ein paar Dateien kopieren“ ist kein Backup. Im Zweifelsfall gehen Dir sogar wichtige Informationen (ACLs usw.) verloren.

Gruß,
Jörg
Mitglied: juhu01
juhu01 24.09.2018 um 13:39:42 Uhr
Goto Top
ja gewerbliche Lösungen gibt es
Um die Liste noch zu erweitern hätte ich noch Tivoli von IBM anzubieten. Auch EMC liefert ein Backupsystem.
Um nur 2 weitere Anbieter zu nennen. Ich kann mir aber nicht vorstellen, dass sich jeder eine solche Lösung leisten will und kann.
Alle weiteren, nicht genannten, bitte ich um Entschuldigung.

Ich versteife mich nicht auf eine Lösung/Hersteller sondern darauf, dass du innerhalb einer bestimmten Zeit (die du bestimmst) erkennen solltest, dass dein System befallen ist und dass du es ohne großen Schaden (bestimmst ebenfalls du) wieder herstellen kannst.

Das soll meine Grundaussage sein.

Eine Methode/Denkanstoß zum Erkennen sind Hash-Prüfsummen.für einzelne Dateien zu erarbeiten.
Daran kann man leicht erkennen, wie viel und was sich geändert hat. Programme werden sich weniger oft ändern als log-files.
In Logs werde ich wahrscheinlich auch keinen Virus finden face-wink
Wenn sich z.B. die Prüfsumme von calc.exe ändert und ich kein Windows-Update bemacht habe, kannst du Dir ausrechnen wer/was das wohl war.
Spätestens jetzt sollte ich die letzte Sicherung bereitlegen und mir überlegen ob ich meinen Virenscanner zum Alteisen bringe..

Noch ein Wort für Privatanwender zum Backup:
Nimm das Backupprogramm, dass DU beherrscht. Mache regelmäßig ein Backup, hebe mehrere Generation auf und hebe das Backup auch entsprechend lange auf.

Servus
Mitglied: 117471
117471 24.09.2018 um 18:09:35 Uhr
Goto Top
Aha.

Danke für die kostenlose Ausbildung.