ComputerBase Menü
Aktuelles

Maßnahmen gegen Kryptotrojaner

C

Creati

Gast
Hallo,
ich überlege gerade, wie man eine Datensicherung auf einem Notebook gegen Kryptotrojaner absichern kann. Normalerweise laufen alle Datensicherungen über das Netzwerk auf einen Server, wo intern nochmals alle Datensicherungen extra gesichert werden. Sprich, ein Kryptotrojaner kann von keinem Client aus alle Datensicherungen verschlüsseln. Was ist nun aber, wenn beispielsweise ein Notebook längere Zeit nicht im ursprünglichen Netz ist. Wie gegen Kryptotrojaner absichern? Es wäre antürlich ganz klassisch ein Backup auf eine externe HDD möglich. Wenn man das ganze aber automatisieren möchte, was dann? Mir kam nun die Idee eine weitere Festplatte einzubauen (sofern Platz vorhanden) oder die Festplatte so zu partitionieren, sodass es eine normale Partition zum Arbeiten gibt und eine weitere für Datensicherungen. Idee wäre nun, dass die Backuppartition verschlüsselt wird mit VeraCrypt und nur für den Zeitpunkt der Datensicherung gemounted wird.

Szenario:
Rechner sichert regelmäßig auf ein mit VeraCrypt verschlüsseltes Laufwerk Abends um 22 Uhr.
Um 18 Uhr wird der Rechner nun infiziert mit einem Cryptotrojaner, verschlüsselt alles auf der normalen Partition und verlangt Lösegeld. Eigentlich ist man nun auf der sicheren Seite, da der Cryptotrojaner wohl mal nicht eben die andere Partition formatieren wird. Lassen wir es nun 22 Uhr schlagen und der Rechner ist noch an und bsiher wurde keine Infektion gemerkt. Der Datensicherungsprozess soll beginnen und die Backuppartition wird gemounted. Merken die Kryptotrojaner sowas sprich suchen die regelmäßig nach neuen Dateien, die sie verschlüsseln können? Wenn ja, würde automatisch beim Mounten die bisherigen Backups verschlüsselt. Eure Meinung?

Wie gesagt: normalerweise werden die Rechner regelmäßig übers Netz auf einem Server gesichert, welcher die intern regelmäßig auf andere Festplatten kopiert, sodass hier ein Kryptotrojaner keinen größeren Schaden anrichten kann. Geht nun nur um den Fall, wie man lokal sonst am Besten sichern kann (außer händisch mit einer externen USB_Festplatte).
 
Ein Adminkonto mit uneingeschränkten Rechten, ein Benutzerkonto mit eingeschränkten Rechten, welches man dann für die tägliche Arbeit nutzt.
Sich dann nen Script basteln (oder fertige Software) was im Adminkonto die Dateien vom Homeverzeichnis von Userxy an einen Ort kopiert wo Userxy entweder keine oder nur Leserechte hat.

Eventuell ne zweite Partition für die gesichertern Daten um den Rechner dann plätten zu können nach einem Befall und man neuaufsetzen kann ohne ein externes Medium zu brauchen.
 
Zuletzt bearbeitet:
Sowas ähnliches hatte ich schon mal gebaut. Hatte da dann einen Extrauser für die Datensicherung und die hat dann auf eine HDD gesichert, worauf der normale User keinen Zugriff hat. Da ich die Geräte via RDP verwalte, musste ich mich immer remote mit dem Extrauser verbinden und konnte das nicht mit dem normalen User, um die Backups zu verwalten. Hat schon gestört. Ist aber wohl sinniger das über Zugriffsrechte abzufackeln als mit VeraCrypt.
 
Verschlüsselung des Backups bringt dir gar nichts - je nach Trojaner verschlüsseln die einfach glücklich weiter ;)

Es gibt bestimmt auch Trojaner, die neue Dateien auch verschlüsseln, aber wie sollen wir sagen, was sich einer im dunklen Keller alles einfallen lässt :D

Die einzige 100%ig sichere Variante ist Stecker ziehen :)
 
War eine Idee, die mir während der Bahnfahrt kam ;-) Hellsehen kann hier natürlich niemand^^ ich werde nun doch wieder die Variante mit dem Extrauser für die Datensicherung machen auf eine extra Partition.
 
Creati, kurz gesagt: egal welches Backup Medium du nutzt und ob du die Dateien oder Backups darauf selbst mit Veracrypt oder ähnlichen verschlüsselst oder nicht, wenn das Backup Medium online ist in deinem Heimnetzwerk, dann ist es auch ein Angriffsziel von Kryptotrojanern und es wird mitverschlüsselt von dem Trojaner. Sicher bist du nur wenn das Backup Medium offline ist.
 
FranzvonAssisi schrieb:
Verschlüsselung des Backups bringt dir gar nichts - je nach Trojaner verschlüsseln die einfach glücklich weiter ;)

Es gibt bestimmt auch Trojaner, die neue Dateien auch verschlüsseln, aber wie sollen wir sagen, was sich einer im dunklen Keller alles einfallen lässt :D

Die einzige 100%ig sichere Variante ist Stecker ziehen :)
Zum Vergrößern anklicken....

Aber nicht wenn der Trojaner nicht über die nötigen Rechte verfügt. Idr hat er das aber deswegen weil die meisten mit nem Adminkonto unterwegs sind..

Sicher bist du nur wenn das Backup Medium offline ist.
Zum Vergrößern anklicken....
Das ist so nicht korrekt. Auch im Netzwerk helfen rechte, denn der Server entscheidet dann wer was darf...
Habe zB ZFS Snapshots, die sind Readonly. Da kannste nix dran ändern und löschen kann die nur der Server selbst.
Verloren sind dann nur noch die Daten bzw Änderungen die man nach dem Snapshot noch gemacht hat im Fall der Fälle.
 
Zuletzt bearbeitet:
purzelbär schrieb:
wenn das Backup Medium online ist in deinem Heimnetzwerk, dann ist es auch ein Angriffsziel von Kryptotrojanern und es wird mitverschlüsselt von dem Trojaner.
Zum Vergrößern anklicken....

Freigaben, auf welcher der Kryptotrojaner Zugriff hat, werden verschlüsselt. Alle anderen Freigaben bzw. der Server nicht. Siehe hierzu die Ausführung von Bogeyman. Auf dem Server ist ein snapshotähnliches System eingerichtet.

Eine Partition, welche mit VeraCrypt verschlüsselt ist und nicht gemounted ist, kann der Trojaner nicht verschlüsseln höchstens formatieren (wieso sollte er das aber).Der Trojaner richtet nur soviel Schaden an, wie es seine Rechte zu lassen.

Dein Standpunkt mit den OfflienBackups als einzige, wirkliche Lösung ist mir aus dem Forum schon länger bekannt. Es geht hier aber um eine automatisierte Lösung und da scheidet eine offline Medium per Definition aus. Natürlich kann man eine Datensicherung via Skript auf eine USB-Festplatte machen und es auch so simpel gestalten, dass jeder Depp das bedienen kann. In der Fragestellung bzw. in dem Thread geht es primär um eine automatisierte Lösung ohne händisches Eingreifen.

Wir beide haben das Thema übrigends schon mal diskutiert gehabt: https://www.computerbase.de/forum/t...gsmassnahmen-fuer-ottonormalanwender.1570069/
 
Zuletzt bearbeitet:
Creati schrieb:
Freigaben, auf welcher der Kryptotrojaner Zugriff hat, werden verschlüsselt. Alle anderen Freigaben bzw. der Server nicht. Siehe hierzu die Ausführung von Bogeyman. Auf dem Server ist ein snapshotähnliches System eingerichtet.
Zum Vergrößern anklicken....
Wobei für ein Backup ja nicht unbedingt ein Vollzugriff via Freigabe vonnöten ist. Es ist ja auch eine Lösung denkbar, wo man die zu sichernden Dateien nur hinschickt. Und der Server sichert sich dann versioniert.

Creati schrieb:
Natürlich kann man eine Datensicherung via Skript auf eine USB-Festplatte machen und es auch so simpel gestalten, dass jeder Depp das bedienen kann.
Zum Vergrößern anklicken....
Wobei natürlich die Frage ist, ob man einen Depp generell auf die PC-Plattform loslassen sollte. Für solche Leute stellt die Firma Apple ein Ökosystem für betreutes Computing. :-)
 
Also da was mit VeraCrypt basteln, ist eine Möglichkeit. Wenn jmd. aber unterwegs ist und Internetzugriff hat, können wichtige Daten auch als Backup in der Cloud landen. Dropbox und Co. haben eine entsprechende Versionierung und bei Kompromitierung des Clients können diese über das Webportal von Dropbox wiederhergestellt werden. Um den Datenschutz zu wahren, kann man die Daten auch noch verschlüsseln. Ist aus meiner Sicht sinniger als dann da lokal rumzufackeln. Wenn das Notebook nämlich gestohlen wird, sind die Daten der Sicherung auch weg.
 
Wie verhält sich das mit einer EFS-Verschlüsselten Datei? (Schwer alles zu prüfen).
Ohne Zertifikat hat auch der Original-Admin keinen Zugriff.
Ich schätze, es kommt auf den Benutzerkontext an, mit dem eigenen Benutzerkontext geht ein weiteres Verschlüsseln natürlich ohne Probleme und "gute" Trojaner agieren sicher im eigenen Benutzerkontext und umgehen auch eine UAC auf höchster Stufe, leider.
Also, wie schon von Bogeyman erwähnt, ein Arbeitskonto ohne administrative Rechte einrichten, aber wer macht das schon, viele deaktivieren sogar die UAC oder arbeiten mit dem Original-Admin (sollte deaktiviert sein).

Wie schon erwähnt, wenn ein Backup-Laufwerk oder sonst ein Backup-Medium angeschlossen ist, dann kann das auch verschlüsselt werden. Man sollte für den worst case also 2 Backups haben.

Ein guter Hinweis ist der von Snowiron, mein Cloud-Anbieter (MagentaCloud) hat eine weit reichende Versionierung mit einer Wiederherstellungsfunktion nach Datum.

Nachtrag:
das primäre Ziel sollte aber sein, sich keinen Trojaner einzufangen ;) !

Nachtrag2:
09.02.2017
https://www.heise.de/security/meldu...olgreich-UAC-Abfrage-von-Windows-3619820.html
Erpressungs-Trojaner Erebus umgeht erfolgreich UAC-Abfrage von Windows
Zum Vergrößern anklicken....
Erst wenn man den Regler in den UAC-Einstellungen auf Maximum stellt, ploppt auch etwa beim Aufrufen von msc-Dateien ein UAC-Fenster auf und erfragt eine Erlaubnis. Im Fall von Erebus könnte ein potentielles Opfer die Ausführung an dieser Stelle durch einen Klick auf "Nein" verhindern. Demzufolge sollten Windows-Nutzer den Regler aus Sicherheitsgründen tunlichst auf die maximale Stufe einstellen.
Zum Vergrößern anklicken....
Es gibt effektiv nur zwei Einstellungen für UAC

Wie Raymond Chen schon früher ausführt hat, gibt es im Grunde nur zwei Einstellungen für die Benutzerkontensteuerung:

- Immer nachfragen
- Egal

>https://blogs.msdn.microsoft.com/oldnewthing/20160816-00/?p=94105

Microsoft sollte das etwas deutlicher erwähnen, auch dass die Benutzerkontensteuerung nicht als Sicherheitsfeature gedacht ist, sondern nur die Entwickler zu "sicherer" Programmierung anhalten soll (indem die Programme auch ohne Admin-Rechte problemlos laufen und der Benutzer eben nicht mehr als Admin unterwegs sein muss).
Zum Vergrößern anklicken....
Bleiben also neben einem obligatorischen Backup nur zwei weitere Möglichkeiten: Arbeitskonto erstellen
ohne administrative Rechte oder als Krücke, den UAC-Regler aus Sicherheitsgründen tunlichst auf die maximale Stufe einstellen und beim Zulassen vorsichtig sein.
 
Zuletzt bearbeitet:
Das einzige was gegen Ransomware zuverlässig schützt ist ein offline Backup (d.h. backup ist nicht schreibbar vom zu sichernden System zugreifbar)

Keine Admin Rechte hilft nicht zuverlässig, alles worauf der Benutzer zugriff hat wird verschlüsselt.
Mit Adminrechte kann halt auch noch der MBR überschrieben werden (so wie bei "MISCHA/PETYA" Cryptolocker) was nochmal blöder ist aber nichts an den Nutzdaten ändert die eigentlich das wertvolle sind

Antivirus kann in vielen Fällen helfen, muss aber nicht

Lösung für fleissige: Regelmäßig sichern und Festplatte abstecken
Lösung für faule: Automatisiert auf Netzlaufwerk sichern und nur Create-Append aber keine Change-Delete Rechte vergeben d.h. versionieren (Testen!)

Hab gestern den "Crypt0l0cker" analysiert weil er in einer meiner Sandboxes aufgeschlagen ist, der verschlüsselt nur Nutzdaten sucht aber auch gezielt nach SMB Shares im Netzwerk und verschlüsselt dort alles was er kann :)
 
Zuletzt bearbeitet:
Ok, nehmen wir an, die Verschlüsselungsmalware kann ohne Admin-Rechte verschlüsseln. ---> übel.

Wie vergebe ich Rechte für ein USB-Laufwerk, das z.B. nur von einer Backup-Software beschrieben werden darf, aber von mir selber nicht, es könnte ja sein, dass gerade beim Einstecken des Laufwerks die Malware zuschlägt, die in meinem Benutzerkontext agiert.
Ich synchronisiere z.B. ganz platt mit FreeFileSync, aber hier nicht spiegeln, sondern über update (alte Versionen behalten).
 
engine schrieb:
Ok, nehmen wir an, die Verschlüsselungsmalware kann ohne Admin-Rechte verschlüsseln. ---> übel.
Zum Vergrößern anklicken....
Das muss man nicht annehmen. Das ist so. Alle Dateien, die für den Account unter dem die Schadsoftware läuft sind zugreifbar.

engine schrieb:
Wie vergebe ich Rechte für ein USB-Laufwerk, das z.B. nur von einer Backup-Software beschrieben werden darf, aber von mir selber nicht, es könnte ja sein, dass gerade beim Einstecken des Laufwerks die Malware zuschlägt, die in meinem Benutzerkontext agiert.
Ich synchronisiere z.B. ganz platt mit FreeFileSync, aber hier nicht spiegeln, sondern über update (alte Versionen behalten).
Zum Vergrößern anklicken....
Du kannst bei Windows nicht direkt Programmen Rechten geben. Du kannst sie als ein anderer Benutzer ausführen der dann u.a. die Rechte hat Deine Dateien zu lesen und auf den USB-Stick zu schreiben. Dafür muss der USB-Stick aber (möglichst) ein Dateisystem enthalten, welches Rechtevergabe unterstützt wie beispielsweise NTFS.

Und Dein FreeFileSync solltest Du auch möglichst nicht selber starten. Zumindest nicht, wenn Du mit Deinem (möglicherweise verseuchten) Account angemeldet bist.
Außerdem musst Du dann immer noch dafür sorgen, dass Du Dateien auf Deinem Backup-Medium nicht mit etwaig verschlüsselten Versionen von Deiner Festplatte überschreibst (ich kenn jetzt FreeFileSync nicht und weiß nicht, ob es sowas wie Versionierung hat etc.).

Allerdings hat die Lösung immer noch Unsicherheitsfaktoren. So weißt Du nie sicher, ob die Schadsoftware nicht aus ihrem nicht aus ihrem Security-Context ausgebrochen ist (z.B.durch eine Sicherheitslücke).

Letztlich bleibts bei den schon genannten zwei Möglichkeiten:

Von einer sauberen Live-CD starten und damit dann die Dateien auf ein externes Medium sichern, was auch nur in dieser sicheren Umgebung eingestöpselt wird.

oder, und hier zitiere ich mal, weil ich es nicht besser formulieren kann:
/root schrieb:
Automatisiert auf Netzlaufwerk sichern und nur Create-Append aber keine Change-Delete Rechte vergeben d.h. versionieren (Testen!)
Zum Vergrößern anklicken....
 
Ich habe normalerweise nichts mit Verschlüsselungsmalware zu tun, aber informieren schadet nicht. Die Verbrecher haben da ja einen lukrativen Markt entdeckt und nicht mal ich bin hier sicher.

- Ich habe erst einmal die Schattenkopie für mein Datenlaufwerk wieder aktiviert und arbeite ohne adm. Account.

- weiterhin überlege ich mir die Anschaffung eines geeigneten NAS fürs Backup (oben erwähntes Netzlaufwerk), statt mehreren USB Laufwerken. wird wohl das einfachste sein.

Hat jemand einen Tipp für ein gutes ca. 10TB NAS?
 
engine schrieb:
Hat jemand einen Tipp für ein gutes ca. 10TB NAS?
Zum Vergrößern anklicken....
FreeNAS ist ein ganz brauchbares System. Inkl. ZFS als Dateisystem. Läuft auf jeder Standard-Hardware. Kannst Du Dir also die Hardware ganz nach Deinen Bedürfnissen auswählen.
 
Ich habe es (noch) nicht getestet aber klingt nach einem sehr interessanten Ansatz: https://ransomfree.cybereason.com/
Quasi eine maßgeschneiderte Schutzlösung gegen Kryptolocker


How does RansomFree work?
Cybereason RansomFree watches the way applications interact with files, and when it detects ransomware behavior, it stops it immediately before the files are encrypted. Cybereason RansomFree uses pure behavioral detection techniques and does not rely on malware signatures.

Cybereason RansomFree deploys bait files strategically placed where ransomware often begins it’s encryption. The solution watches the way applications interact with files, and when it detects ransomware behavior, it stops it immediately before the files are encrypted. Cybereason RansomFree uses pure behavioral detection techniques and does not rely on malware signatures.
Zum Vergrößern anklicken....
 
Zuletzt bearbeitet:
Maßgeschneidert ist da nix, jedenfalls solange außerhalb von Laufwerk C: munter weiter verschlüsselt wird.

Clipboard01.jpg

https://www.wilderssecurity.com/threads/ransomfree-by-cybereason.390786/
 
Du musst dich einloggen oder registrieren, um hier zu antworten.

Ähnliche Themen

S
Truecrypt, GPT & MBR
Antworten
10
Aufrufe
887
el.com
el.com
O
Externe Festplatte - VeraCrypt plötzlich kein Zugriff mehr auf Daten
Antworten
11
Aufrufe
1.376
Oscarmeier
O
Markus.Tenne
Veracrypt | 2xWin10 | 2xSSD | Dual Boot
Antworten
6
Aufrufe
1.707
MoGas
M
M
Notebook: Linux verschlüsseln (Fedora + KDE)
Antworten
7
Aufrufe
643
Mickey Cohen
M
O
E-Mail von der Telekom - echt oder Pishing?
2
Antworten
24
Aufrufe
2.575
Millkaa
Millkaa
Zurück
Oben

Willkommen auf ComputerBase!

Mit Werbung weiterlesen

Besuche ComputerBase wie gewohnt mit Werbung und Tracking. Die Zustimmung ist jederzeit widerrufbar.

Details im Privacy Center und in der Liste unserer Partner. Ein Widerruf ist möglich in der Datenschutzerklärung.

… oder ComputerBase Pro bestellen

Nutze ComputerBase ohne Werbebanner, Video-Ads und Werbetracking schon für 4 €/Monat oder 36 €/Jahr.

Mehr zu ComputerBase Pro

Bereits Pro-Nutzer? Hier anmelden.

Tracking: Wir und unsere 165 Partner verarbeiten personenbezogene Daten, indem wir mit auf Ihrem Gerät gespeicherten Informationen (z. B. eindeutige Kennungen in Cookies) ein Nutzungsprofil erstellen, um z. B. Anzeigen zu personalisieren. Verarbeitungszwecke: Genaue Standortdaten und Abfrage von Geräteeigenschaften zur Identifikation, Informationen auf einem Gerät speichern und/oder abrufen, Personalisierte Anzeigen und Inhalte, Anzeigen- und Inhaltsmessungen, Erkenntnisse über Zielgruppen und Produktentwicklungen.

Impressum Kontakt Datenschutz