ComputerBase Menü
Aktuelles

Batch Ordnerüberwachung

Status
Für weitere Antworten geschlossen.
Ransomware würde ich nicht als abstrakte Gefahr abtun. Heute ist das eine sehr konkrete Gefahr. Das betrifft auch Private Rechner. Smartphones sind kaum betroffen, das kann sich aber auch noch ändern. Ein komplett Backup muss man haben, das aufzuziehen ist aber viel Arbeit und es gehen ja trotzdem noch viele Daten verloren. Ich versuche erst mein System ohne Backup zu retten bzw. ich verwende dann nur Sicherungskopien. Ich will den Datenverlust manuell beheben.
Auf Ubuntu hätte Ransomware keine Chance. Mein Desinfec't würde die plattmachen.
 
dos78 schrieb:
PowerShell schreibt der else Befehl ist entweder falsch geschrieben oder konnte nicht gefunden werden.
Zum Vergrößern anklicken....
Wo ist da PowerShell?
Ergänzung ()

dos78 schrieb:
Ransomware würde ich nicht als abstrakte Gefahr abtun. Heute ist das eine sehr konkrete Gefahr.
Zum Vergrößern anklicken....
Hier wird deine Strategie kritisiert, nicht, dass du es als Gefahr siehst.
Und dass die Strategie dich vielleicht in einem falschen Sicherheitsgefühl wiegt, und das bei dieser konkreten Gefahr.
Ergänzung ()

dos78 schrieb:
Mein Skript würde so aber auch reagieren (ohne löschen). Die File wurde ja verändert und hat eine neue Dateinamenerweiterung bekommen, d.h. der Pfad stimmt nicht mehr vollständig.
Zum Vergrößern anklicken....
Und was ist, wenn die Datei keine neue Erweiterung bekommen würde? Wenn sie also verschlüsselt würde, und dann nach dem Verschlüsseln durch die verschlüsselte Version ersetzt würde?
Dein Skript erkennt eben keine Dateiveränderungen. Es erkennt, wenn Dateien zum Zeitpunkt des Laufs nicht da sind.
 
Zuletzt bearbeitet:
  • Gefällt mir
Reaktionen: kali-hi und areiland
tollertyp schrieb:
Wo ist da PowerShell?
Zum Vergrößern anklicken....

Du öffnest PowerShell, kopierst das Skript rein und drückst auf enter.

tollertyp schrieb:
Und was ist, wenn die Datei keine neue Erweiterung bekommen würde?
Zum Vergrößern anklicken....

Das wird nicht passieren. Ransomware könnte theoretisch die Datei verändern ohne zu verschlüsseln. Theoretisch ja, wird es aber nicht tun. Sobald die Datei verschlüsselt ist, bekommt die Datei eine neue Dateinamenerweiterung. Jede Ransomware hinterlässt damit ihre Visitenkarte. Du erkennst sie an .xyz
 
Das ist beides Quatsch!

Wenn Du Dein Script in die Powershell kopierst, dann startet Powershell Cmd um Dein Sctipt auszuführen.

Und Du kennst garantiert nicht jede Ransomware, die es gibt, von daher kannst Du keine allgemeingültigen Ausssgen machen.
 
  • Gefällt mir
Reaktionen: kali-hi und tollertyp
dos78 schrieb:
Du öffnest PowerShell, kopierst das Skript rein und drückst auf enter.
Zum Vergrößern anklicken....
Was du mit Sicherheit nicht gemacht hast.
Weil sonst sieht das in etwa so aus...
1761398992135.png
 
  • Gefällt mir
Reaktionen: kali-hi
dos78 schrieb:
Theoretisch ja, wird es aber nicht tun. Sobald die Datei verschlüsselt ist, bekommt die Datei eine neue Dateinamenerweiterung. Jede Ransomware hinterlässt damit ihre Visitenkarte. Du erkennst sie an .xyz
Zum Vergrößern anklicken....
Jede Ransomware? So so...

https://www.acronis.com/en/tru/posts/axlocker-ransomware-doesnt-change-files-extensions/
https://community.spiceworks.com/t/...names-or-extensions-locked79-india-com/537063
https://www.malwarebytes.com/blog/detections/ransom-spora
 
  • Gefällt mir
Reaktionen: Bob.Sponge und tollertyp
Du kannst aber auch den Support der Erpresser benutzen. Die bieten einen guten 24-Stunden Service. Die helfen Dir dabei wie du den Decryptor kaufen kannst und helfen dir auch bei technischen Problemen. Du bekommst von denen eine Kunden ID.
Für die ist das ein ganz normales Geschäft. Die Erpresser wollen nicht ihre Reputation verlieren. Die haben schon Interesse daran, dass du deine Daten wiederbekommst. Es funktioniert aber nicht jeder Decryptor wie vorgesehen.
Ergänzung ()

tollertyp schrieb:
Was du mit Sicherheit nicht gemacht hast.
Weil sonst sieht das in etwa so aus...
Anhang anzeigen 1669255
Zum Vergrößern anklicken....

Gestartet wird die Batch Datei ohne PowerShell. Du kannst das Skript aber mit PowerShell auf Syntaxfehler überprüfen. Ich muss aber auch zu sagen, mit PowerShell kenne ich mich nicht aus - noch weniger wie mit cmd. In cmd kannst du nichts überprüfen.

Ranayna schrieb:
Jede Ransomware? So so...
Zum Vergrößern anklicken....

Ok, der Punkt ging an Dich. Fast jede. Üblicherweise jede. Das hat Stil und Tradition.
 
dos78 schrieb:
@Micha- Ransomware arbeitet wahnsinnig schnell. Für 1 GB Daten braucht die neueste Version etwa 5 min.
Zum Vergrößern anklicken....

Hast du zu dieser Behauptung irgendeine Quelle? Die "neuste" Version.., gibt es von Ransomware nicht viele verschiedene Ansätze? Und nicht nur die eine Variante?

dos78 schrieb:
Ok, der Punkt ging an Dich. Fast jede. Üblicherweise jede. Das hat Stil und Tradition.
Zum Vergrößern anklicken....

Falls die Dateiendung .xyz quasi der Standard ist.. hast du da genauere Quellen?

dos78 schrieb:
Ich weiß um die Gefährlichkeit von Ransomware. Ich habe schon einmal Lösegeld bezahlt (ich habe meine Daten tatsächlich komplett wiederbekommen). Ich habe aber daraus gelernt.
Zum Vergrößern anklicken....

Welche Ransomware hast du dir wann genau eingefangen? Die wird ja wohl einen Namen haben, oder? Einfach um die Informationen mal zu überprüfen.

Meine das nicht böse, klingt für mich bisher alles ein wenig nach Paulanergarten.

Von daher sind Belege da immer nett.
 
  • Gefällt mir
Reaktionen: tollertyp und areiland
Bob.Sponge schrieb:
Meine das nicht böse, klingt für mich bisher alles ein wenig nach Paulanergarten.
Zum Vergrößern anklicken....
Du bist auch so ein Paulaner Garten 😛. Das ist schon verbürgt, was ich schreibe. Ja, du wirst aber immer irgendwelche Ausnahmen finden. Ja, da gibt es den German Wiper, da gibt es den Not-Petya. Für die gibbet keenen Decryptor (der funktionieren würde).
Ich wurde 2023 von der STOP Djvu Sippe heimgesucht. War nicht billig. Die Ganoven haben aber Wort gehalten. Die haben mir zum Test, dass der Decryptor auch tatsächlich funktioniert eine einzelne Datei kostenlos entschlüsselt.
Bezahlen oder nicht... Statistisch gesehen hast du 60 % Chancen, deine Daten komplett wiederzubekommen. Das kommt aber immer drauf an. Das ist keine allgemeine gültige EU Norm. Du musst das abwägen.
Ich habe damals mit einem Experten von Attingo Datenrettung telefoniert. Der hat mir gesagt, ja, er geht davon aus, wenn ich das Lösegeld (in Bitcoins) bezahle, werde ich meine Daten wiederbekommen.
Attingo hätte mehrere Hundert € genommen für eine Erst-Expertise, wo die Chancen von vorn rein im unteren Bereich liegen. Damit ist aber noch nichts gewonnen!
 
Gegen einen Cryptotrojaner hilft nur eins: Backups, Backups und noch mehr Backups, die offline oder immutable sind.

Dein Script, nun ja...
Man weiss nicht mit welchen Dateien der Trojaner loslegt, die Haelfe kann schon verschluesselt sein.
Jenachdem wie der Trojaner arbeitet, kann der im abgesicherten Modus genauso agieren.
Du darfst nie vergessen dein Script zu starten. Und wenn du mal was an den Dateien machen willst, musst du es beenden.
Gegen Trojaner die die Dateinamen nicht aendern hilft es nicht.
Gegen Trojaner die transparent verschluesseln hilft es nicht.

Das ganze ist einfach zu anfaellig um sich darauf verlassen zu koennen.
 
  • Gefällt mir
Reaktionen: Feta, iSight2TheBlind, Bob.Sponge und 2 andere
Die Studie zeigte, dass eine Ransomware-Variante im Median fast 100.000 Dateien mit einer Gesamtgröße von 53,93 GB in 42 Minuten und 52 Sekunden verschlüsseln kann.

https://www.splunk.com/de_de/blog/s...-fast-100000-dateien-in-unter-45-minuten.html



Im Einklang mit früheren Versionen enthält LockBit 5.0 geopolitische Schutzmechanismen, die die Ausführung beenden, wenn russische Spracheinstellungen oder eine russische Geolokalisierung erkannt werden. Diese gängige Praxis unter osteuropäischen Lösegeldgruppen deutet auf strategische geopolitische Überlegungen bei der Entwicklung der Malware hin.

https://sosransomware.com/de/gruppe...erkten-plattformuebergreifenden-faehigkeiten/

Das heißt also ein VPN könnte helfen, indem man einen russischen Standort simuliert.
Lockbit 5.0 gehört der neuesten Generation an. Es gibt aber noch viele andere.

Ranayna schrieb:
Dein Script, nun ja...
Zum Vergrößern anklicken....

ist ein Gimmick! Das habe ich ganz am Anfang schon geschrieben. Man braucht ein mehrstufiges Sicherheitskonzept. Mein Bitdefender Total Security würde aber mit Sicherheit einen Ransomware Angriff aufhalten. Ich würde Zeit gewinnen. Für den Fall, dass die Ransomware meinen Bitdefender deaktiviert... Nun, das würde ich ganz schnell mitbekommen. Das würde der mir melden.
 
Oh Mann! Ich hätte nicht gedacht, dass das so schwer zu verstehen ist. PowerShell brauche ich gar nicht. Das ist eine .bat Datei. Die kann ich mit PowerShell gar nicht öffnen. Die Konsole für Batch ist cmd, nicht PowerShell. Was hat es dann aber mit PowerShell auf sich?
PowerShell kann ganz nützlich sein, wenn man ein Batch Skript debuggen will. Einen Batch Debugger habe ich nicht und ich habe auch keinen kostenlosen gefunden.


Wenn Sie beispielsweise ein Windows-Batchskript (.cmd Datei) in PowerShell ausführen, führt PowerShell cmd.exe aus und übergibt die Batchdatei zur Ausführung.

https://learn.microsoft.com/de-de/p...rn/shell/running-commands?view=powershell-7.5


Alternativ kannst du dir eine cmd in der Powershell-Konsole öffnen.
Einfach cmd eingeben (und Text lesen).

https://learn.microsoft.com/de-de/p...rn/shell/running-commands?view=powershell-7.5
 
Zuletzt bearbeitet:
Du hast doch von der Powershell fabuliert in der Du das Script ausgeführt hattest.

Ich fühle mich hier gerade richtig getrollt!
 
  • Gefällt mir
Reaktionen: tollertyp, Bob.Sponge und kali-hi
Sorry, aber dann haben wir da aneinander vorbeigeredet. Warum habe ich PowerShell überhaupt erwähnt? Weil die else Syntax einen Fehler hatte. PowerShell hat das rausgefunden. Ohne den Syntaxfehler hätte ich PowerShell gar nicht erwähnt. Ich habe keine .ps1 Dateien, also keine eigenen.
 
dos78 schrieb:
Das ist schon verbürgt, was ich schreibe.
Zum Vergrößern anklicken....

Ja, als anekdotische Beschreibungen. Es fehlen nach wie vor die Quellen. Das einfache raushauen von Namen, Schlagworten, ist einfach keine soldie Quellenangabe auf z.b. Fragen die u.a. ich gestellt habe.

dos78 schrieb:
Oh Mann! Ich hätte nicht gedacht, dass das so schwer zu verstehen ist. PowerShell brauche ich gar nicht. Das ist eine .bat Datei. Die kann ich mit PowerShell gar nicht öffnen. Die Konsole für Batch ist cmd, nicht PowerShell. Was hat es dann aber mit PowerShell auf sich?
Zum Vergrößern anklicken....

Meine Windows Zeit ist zwar mit dem Supportende von Win 7 vorbei, allerdings war damals die Powershell schon ein echt solides Tool, ich glaube die Scripte da heißen und hießen da Cmdlets?
Nutzt heute wirklich noch jemand Batch in CMD? Keine Ahnung, man wundert sich ja auch wieviele noch VBA aktiv benutzen.

Wenn du tatsächlich sogar Geld bezahlt hast an Erpresser, Experten und dergleichen: Warum hast du nach dieser Erfahrung nicht die angebrachten Schlüsse gezogen? Backup 3-2-1-Strategie? Was ist 3-2-1-Backup?. Ist eine gute Beschreibung zur Einführung in die Thematik.

Eine andere Frage wäre ja noch: warum zahlst du offenbar nicht wenig Geld um deine Daten zurückzukaufen? Als Privatanwender womöglich? Ohne vorher Backups in irgendeiner Form zu haben?
Ich hoffe mal nicht das es jetzt Geschäftsdaten waren.. das wäre mehr als fahrlässig.
Es ist nicht schlimm wenn man keine Kenntnisse oder nicht ausreichende besitzt. Nur würe ich mir da immer Expertise einholen, dafür gibt es Leute die sich auskennen, das beruflich machen.
 
Zuletzt bearbeitet:
  • Gefällt mir
Reaktionen: areiland
Der Ansatz ist doch eh zum scheitern verurteilt. Woher weißt du, dass dein überwachter Ordner als erstes verschlüsselt wird?

Da wäre es sinnvoller die Daten Transferrate der SSD zu überwachen und Alarm zu geben, wenn die ein Limit überschritten hat.
 
  • Gefällt mir
Reaktionen: Bob.Sponge und areiland
@Micha-
Was passiert, wenn man die Transferrate der SSD überwacht und im Hintergrund bereinigt Windows etwas, oder läd gerade ein umfangreicheres Update herunter?

Richtig, man läuft direkt in die Gefahr eines Fehlalarms - oder im Fall des TE in einen plötzlichen unangekündigten Shutdown.

Regelmässige und konsequente Backups minimieren diese ganzen Gefahren extrem, weil im Zweifel nur ein paar wenige Dateien tatsächlich betroffen wären. Wenn man sich im Internet mit Bedacht bewegt und auch nicht auf jeden sich bietenden Link auf Webseiten oder in E-Mails klickt, ist man vor Ransomware ziemlich sicher. Zumal aktuelle Angriffe eher auf Institutionen zielen. Der gemeine Anwender muss sich eher vor Phishing schützen, mit dem undifferenziert und grossflächig versucht wird Bankdaten abzugreifen, um Konten plündern zu können.
 
  • Gefällt mir
Reaktionen: Feta und Bob.Sponge
Status
Für weitere Antworten geschlossen.

Ähnliche Themen

Grimba
Skript (Baustelle): Verbesserung des Parallelbetriebs von KDE und GNOME durch verschieben der jeweiligen fremden Apps in einen eigenen Ordner
Antworten
11
Aufrufe
784
Grimba
Grimba
M
Einrichtung Ordnerüberwachung in CheckMk
Antworten
3
Aufrufe
3.026
snaxilian
S
H
PowerShell PowerShell: Sortiere Dateien anhand des "Authors" Attribut in Ordner
Antworten
1
Aufrufe
1.089
Henning74
H
holdes
Ordnerüberwachung - PDF Inhalte per Mail versenden
2
Antworten
22
Aufrufe
2.947
holdes
holdes
M
Dateien sortieren in Ordner BAT
2
Antworten
20
Aufrufe
6.329
Master-Chief
M
Zurück
Oben

Willkommen auf ComputerBase!

Mit Werbung weiterlesen

Besuche ComputerBase wie gewohnt mit Werbung und Tracking. Die Zustimmung ist jederzeit widerrufbar.

Details im Privacy Center und in der Liste unserer Partner. Ein Widerruf ist möglich in der Datenschutzerklärung.

… oder ComputerBase Pro bestellen

Nutze ComputerBase ohne Werbebanner, Video-Ads und Werbetracking schon für 4 €/Monat oder 36 €/Jahr.

Mehr zu ComputerBase Pro

Bereits Pro-Nutzer? Hier anmelden.

Tracking: Wir und unsere 170 Partner verarbeiten personenbezogene Daten, indem wir mit auf Ihrem Gerät gespeicherten Informationen (z. B. eindeutige Kennungen in Cookies) ein Nutzungsprofil erstellen, um z. B. Anzeigen zu personalisieren. Verarbeitungszwecke: Genaue Standortdaten und Abfrage von Geräteeigenschaften zur Identifikation, Informationen auf einem Gerät speichern und/oder abrufen, Personalisierte Anzeigen und Inhalte, Anzeigen- und Inhaltsmessungen, Erkenntnisse über Zielgruppen und Produktentwicklungen.

Impressum Kontakt Datenschutz