ComputerBase Menü
Aktuelles

Schutzmaßnahme vor Verschlüsselungstrojanern

Holzohrwascherl

Holzohrwascherl

Ensign
Registriert
Juli 2020
Beiträge
182
Mein Backupkonzept: Wenn nötig (neuere Dateien) werden die Daten meines NAS mit FreeFileSync auf einen Linuxsrechner synchronisiert („Aktualisieren“). Er fährt hoch, mountet das Samba-Share, vergleicht und kopiert die Daten zu sich her.

Zuvor überprüfe ich manuell stichprobenartig, ob die Daten durch einen Verschlüsselungstrojaner bereits verschlüsselt wurden. Diesen Check würde ich gerne etwas professioneller gestalten.

Aber wie? Wenn ich zum Beispiel wüsste, mit welchen Dateien dein Trojaner mit dem Verschlüsseln beginnt, wäre es leichter. Er wird ja sicher nicht die erste Datei verschlüsseln, deren Dateinamen mit „a“ beginnt. Auch nicht die erstbeste Datei in jenem Ordner, der zuoberst angezeigt wird.

Fallen euch bessere Anhaltspunkte ein, welche Dateien überprüfen werden sollten, bevor FreeFileSync mit dem Syncen beginnt? Ich könnte bei zehn Dateien (oder bei dreißig) einen inhaltlichen Vergleich durchführen. Erst wenn dieser keine Unterschiede ergibt, fängt FreeFileSync (oder das jeweilige andere Backupprogramm) mit dem Kopieren an.

Ich weiß, dass das allein kein ausreichender Schutz vor Trojanern ist. Der beste Schutz ist, sie nicht auf den PC zu lassen. Da bin ich auch vorsichtig. Dennoch würde ich mein Backupkonzept gerne in die angedeutete Richtung ausbauen.

Habt ihr irgendwelche Ideen? Gibt es da verwertbare Erkenntnisse, wie diese Schadprogramme arbeiten?
 
Zuletzt bearbeitet:
Ich weiß jetzt nicht was für ein NAS du hast.

Wenn du eine Synology Diskstation hast, dann kannst du dir eine E-Mail schicken lassen, wenn ein gewisser Prozentsatz von Daten auf einmal geändert werden.

Dann würde eine Verschlüsselung auffallen.

Andere Hersteller bieten das bestimmt auch.
 
  • Gefällt mir
Reaktionen: Holzohrwascherl
Holzohrwascherl schrieb:
Mein Backupkonzept: Wenn nötig (neuere Dateien) werden die Daten meines NAS mit FreeFileSync auf einen Linuxsrechner synchronisiert („Aktualisieren“). Er fährt hoch, mountet das Samba-Share, vergleicht und kopiert die Daten.
Zum Vergrößern anklicken....
Heißt, du hast immer nur eine Kopie der Daten? Keine Historie? Damit hast du im Zweifel verloren. Sobald auch nur eine Datei beschädigt/verschlüsselt ist wenn der Sync stattfindet, hast du keine Sicherung mehr, sondern nur noch zwei Versionen der beschädigten/verschlüsselten Datei.

Klassisch rotiert man ein Backup und hebt Backupstände, je nach Anforderung, mehrere Tage/Wochen/Monate/Jahre auf und das OFFLINE! Externe Festplatten, Bänder, Cloud (dann natürlich selbst verschlüsselt), was auch immer.

Als erste Ebene lassen sich auch read-only! snapshots modernen COW-Dateisysteme nutzen, aber auch die sind im schlimmsten Fall weg, wenn ein Virus vollen Systemzugriff erlangt.
 
Synce nicht, sondern nutze inkrementelle backups. Ein beispieltool dafuer, was ich verwende ist Borg-Backup. Hier kannst du einfach jeden Tag ein neues Backup erstellen, da es inkrementell ist, wird aber nichts geloescht, sondern nur neues Hinzugefuegt. Das bedeutet, dass wenn auf einmal alle deine Daten verschluesselt sind, borg-backup im schlimmsten Fall zwar ein fettes Backup anlegt, deine alten Daten im backup aber nicht geloscht werden. Damit wirklich geloeschte Daten auch im backup irgendwann geloscht werden, kannst du dann einstellen, dass z.B. Backups nach 6 Monaten geloscht werden. Dann muesstest du 6 Monate lang nicht merken, dass deine Daten verschluesselt wurden, bis auch das letzte Backup geloscht wurde.
 
Holzohrwascherl schrieb:
mountet das Samba-Share,
Zum Vergrößern anklicken....
an der stelle hast du bei verschlüsselungstrojanern verloren.

Ist ein speichermedium beschreibbar eingebunden, wird es überschreiebn.
Einfach nur Dateien Synchronisieren schützt dich auch nicht da (teils-) korrumpierte dateien dabei am Ziel dateien überschreiben können, die noch OK waren.

Am einfachsten und billigsten ist es, File level Backups mit Versionierung auf Datenträgern abzulegen, die nicht lokal eingebunden sind.

Gute tools dafür sund beispielsweise das von @NJay genannte Borgbackup, was jedoch gelegentlich bei NTFS schwierigkeiten machen kann, oder restic
 
Backups komplett ohne Kabel lagern. Blitz schlägt ein und im schlechtesten Fall sind Rechner und Backup hinüber.
 
Ggf. solltest du in diesem Fall auch mal checken, woran deine inkrementelle Backup-Lösung geänderte Dateien erkennt.
Ich hatte lange Zeit was rsync basiertes am Start, was auch wunderbar funktioniert hat. Allerdings hatte ich übersehen, dass der Verschlüsselungs"Trojaner" TrueCrypt aus Sicherheitsgründen die Zeitstempel der Crypto-Container auch trotz Schreibzugriffen konstant hielt. Es gab also regelmäßig gewollte Änderungen an diesen Container-Dateien und die Backup-Software hat immer nur gesehen "gleiche Datei, gleicher Ort, gleiche Größe, seit 2 Jahren unverändert" und hat die Images nie mit gesynct. Bis mir das dann durch Zufall mal aufgefallen ist...

Entsprechend könnte ein echter Kryptotrojaner die Dateien auch in-place verschlüsseln und die Zeitstempel beibehalten und die inkrementelle Backup-Software würde sie evtl. gar nicht als geänderte Dateien erkennen. Was in diesem Fall sogar (semi) gut wäre...
 
@Purche
Truecrypt ist eh obsolet und voller Sicherheitslücken (Windows-Treiber!), Veracrypt ist der Nachfolger.

Bei Veracrypt den Haken rausnehmen bei "Änderungszeiten bei Containerdateien erhalten".
Dann bekommt der Container jedes Mal einen anderen Timestamp, wenn dieser dismounted wird.
 
Trefoil80 schrieb:
@Purche
Truecrypt ist eh obsolet und voller Sicherheitslücken (Windows-Treiber!), Veracrypt ist der Nachfolger.
Zum Vergrößern anklicken....
Habe nichts anderes behauptet. Das war vor über 10 Jahren... Und wie du schreibst ist das heute in VeraCrypt immer noch Default.
Aber hier geht's um Crypto-Trojaner, da kann das bei jedem wieder anders aussehen... Die lassen dich auch nichts umstellen unter "Optionen" 🤪
 
  • Gefällt mir
Reaktionen: BFF
Knito schrieb:
Backups komplett ohne Kabel lagern. Blitz schlägt ein und im schlechtesten Fall sind Rechner und Backup hinüber.
Zum Vergrößern anklicken....
Das mache ich. Der Backuprechner hängt nicht im Netzwerk und nicht am Stromnetz, wenn er nicht gerade backupt. Ich sehe zur externen USB-Festplatte keinen Vorteil.
Ergänzung ()

Trefoil80 schrieb:
Genau, zweites Backup auf eine externe Platte, die nur während der Sicherung angesteckt wird.
Zum Vergrößern anklicken....
Mach ich.
 
polyphase schrieb:
Wenn du eine Synology Diskstation hast, dann kannst du dir eine E-Mail schicken lassen, wenn ein gewisser Prozentsatz von Daten auf einmal geändert werden.
Zum Vergrößern anklicken....
QNAP TS-453D. Klingt sehr cool.
polyphase schrieb:
Dann würde eine Verschlüsselung auffallen.
Zum Vergrößern anklicken....
Und ob …
Ergänzung ()

Matthias80 schrieb:
Hast du nicht.
Zum Vergrößern anklicken....
Naja, es ist ein Synchronisierungskonzept … ;-) Ihr seid aber streng mit mir …
Ergänzung ()

NJay schrieb:
Synce nicht, sondern nutze inkrementelle backups. Ein beispieltool dafuer, was ich verwende ist Borg-Backup.
Zum Vergrößern anklicken....
Ist genial, kenne ich, ist aber sehr langsam. Ich habe viele Videodateien.
NJay schrieb:
Hier kannst du einfach jeden Tag ein neues Backup erstellen, da es inkrementell ist, wird aber nichts geloescht, sondern nur neues Hinzugefuegt. Das bedeutet, dass wenn auf einmal alle deine Daten verschluesselt sind, borg-backup im schlimmsten Fall zwar ein fettes Backup anlegt, deine alten Daten im backup aber nicht geloscht werden.
Zum Vergrößern anklicken....
Ist mir klar. Ich werde wohl zurückwechseln auf borgbackup, rsnapshot oder auf eine andere rsync-Lösung.
NJay schrieb:
Damit wirklich geloeschte Daten auch im backup irgendwann geloscht werden, kannst du dann einstellen, dass z.B. Backups nach 6 Monaten geloscht werden. Dann muesstest du 6 Monate lang nicht merken, dass deine Daten verschluesselt wurden, bis auch das letzte Backup geloscht wurde.
Zum Vergrößern anklicken....
Ist klar, ein richtiges Backupkonzept halt …
 
Zuletzt bearbeitet:
  • Gefällt mir
Reaktionen: NJay
Gibt es nicht auch inzwischen Verschluesselungstrojaner, die erstmal ein paar Wochen transparent arbeiten?
Ich meine da vor einer Weile etwas von gehoert zu haben.

Die installieren sich wohl als Treiber im System und fangen an transparent zu verschluesseln. Inklusive evtl. angeschlossener Wechselmedien und Netzlaufwerken. Das Ding schlummert dann eine Weile und funktioniert erstmal, und befaellt in der Zeit natuerlich jedes angeschlossene Wechselmedium. Und man merkt es nichtmal, solange man sein Wechselmedium immer wieder nur am gleichen Computer testet.
Bis dann nach ein paar Wochen die Falle zuschnappt: Der Schluessel wird weggeworfen und nichts funktioniert mehr.

Merken tut man das hoechstens an der Performance und gegebenenfalls an starken Aktivitaeten betroffener Platten, aber wenn die initialverschluesselung durch ist und das Teil lauert merkt man nichts mehr.
 
  • Gefällt mir
Reaktionen: Purche
Holzohrwascherl schrieb:
Ist genial, kenne ich, ist aber sehr langsam. Ich habe viele Videodateien.
Zum Vergrößern anklicken....
Das ist aber auch eine Frage der Konfiguration, vor allem der Komprimierung, wenn du hiermit die Datenuebertragungsrate meinst. Wenn es um die Zeit geht, die es dauert ein Backup zu erstellen, selbst wenn nichts uebertragen werden muss, so haengt es halt auch an der Hardware. Ich habe halt kein billiges fertig NAS sondern einen Selbstbau.

Wenn du die beste Loesung haben willst: ZFS mit Snaphots und zfs-send und zfs-receive an ein Ziel NAS schicken. Schneller und besser geht es nicht.
 
  • Gefällt mir
Reaktionen: Holzohrwascherl und madmax2010
Ranayna schrieb:
Gibt es nicht auch inzwischen Verschluesselungstrojaner, die erstmal ein paar Wochen transparent arbeiten?

Die installieren sich wohl als Treiber im System und fangen an transparent zu verschluesseln. …
Bis dann nach ein paar Wochen die Falle zuschnappt: Der Schluessel wird weggeworfen und nichts funktioniert mehr.
Zum Vergrößern anklicken....
Das wäre das worst-case-Szenario.
Danke, ich wollte soeben was essen. Ich warte noch, bis ich wieder Appetit habe.
 
Du musst dich einloggen oder registrieren, um hier zu antworten.

Ähnliche Themen

Kettenhunt
Leserartikel Kingston Industrial 64GB microSDXC Gen2 (SDCIT2/64GB) im Kurztest
Antworten
2
Aufrufe
1.457
Kettenhunt
Kettenhunt
akosti
Wie vor Staatstrojaner schützen?
3 4 5
Antworten
89
Aufrufe
10.248
--//--
?
|RaBtEr|
NAS vor Ransomware schützen
2
Antworten
20
Aufrufe
5.691
Raijin
Raijin
D
Wie externe Datenfestplatte am besten sichern?
Antworten
13
Aufrufe
3.727
Dirvan
D
Haifisch°
Probleme mit Leerschlag vor Mac-Datei- oder -ordnername in Win 7
Antworten
1
Aufrufe
1.181
E.o.B
E

Passend zum Thema

Zurück
Oben

Willkommen auf ComputerBase!

Mit Werbung weiterlesen

Besuche ComputerBase wie gewohnt mit Werbung und Tracking. Die Zustimmung ist jederzeit widerrufbar.

Details im Privacy Center und in der Liste unserer Partner. Ein Widerruf ist möglich in der Datenschutzerklärung.

… oder ComputerBase Pro bestellen

Nutze ComputerBase ohne Werbebanner, Video-Ads und Werbetracking schon für 4 €/Monat oder 36 €/Jahr.

Mehr zu ComputerBase Pro

Bereits Pro-Nutzer? Hier anmelden.

Tracking: Wir und unsere 165 Partner verarbeiten personenbezogene Daten, indem wir mit auf Ihrem Gerät gespeicherten Informationen (z. B. eindeutige Kennungen in Cookies) ein Nutzungsprofil erstellen, um z. B. Anzeigen zu personalisieren. Verarbeitungszwecke: Genaue Standortdaten und Abfrage von Geräteeigenschaften zur Identifikation, Informationen auf einem Gerät speichern und/oder abrufen, Personalisierte Anzeigen und Inhalte, Anzeigen- und Inhaltsmessungen, Erkenntnisse über Zielgruppen und Produktentwicklungen.

Impressum Kontakt Datenschutz