Schutzmaßnahmen gegen Verschlüsselungstrojaner
Ich überdenke gerade meine Backupstrategie. Dabei beschäftigt mich die Möglichkeit, mir eine Verschlüsselungsschadsoftware einzufangen. Mich interessiert die Frage, was im Zweifelsfall am besten zu tun ist, bevor ich ein Backup meiner Daten durchführe.
Angriffsszenario:
1. Aus Unachtsamkeit führe ich oder jemand in meiner Familie auf dem Windows-Rechner ein Programm aus, das einen Verschlüsselungstrojaner installiert. Ich bemerke nicht, dass dadurch ein Trojaner installiert wird.
2. Der beginnt, lokal und in allen freigegebenen Netzwerk-Laufwerken Dateien transparent zu verschlüsseln.
3. Wenn er alle Dateien verschlüsselt hat, löscht er den Schlüssel.
Mein Backuprechner holt sich die Daten vom NAS ab (pull) und ist selbst im Netzwerk nicht erreichbar.
Frage: Was konkret könnte ich in Phase 2 tun, um herauszufinden, ob bereits Dateien verschlüsselt sind? Einfach auf dem Notebook beliebige Dateien zu laden (Videos und Audiodateien abspielen, Worddateien öffnen etc.) ist nicht hinreichend, denn solange der Schlüssel nicht gelöscht wurde, ist die Verschlüsselung ja transparent. Davon gehe ich aus. Ich bemerke also nicht, dass die Daten bereits verschlüsselt sind.
Mir schwebt Folgendes vor:
(1) Stichprobe: Notebook mit einem sauberen Windows oder Linux mit Samba-Client starten und beliebige Dateien laden (Stichproben). Jetzt müssten verschlüsselte Dateien als solche feststellbar sein. Grund: Das OS auf dem USB-Stick ist ja nicht kompromittiert.
(2) Backuplauf starten und im Anschluss Ligs analysieren: Wurden Dateien kopiert, die von mur seit Jahren nicht verändert wurden?
Sehe ich das richtig oder ist die Verschlüsselung für alle Rechner (auch für die nicht kompromittierten), die auf die Samba-Freigabe zugreifen, transparent, d.h. nicht ohne Weiteres feststellbar?
Habt ihr (abgesehen von einem vernünftigen Backupkonzept mit Versionierung) noch Ideen?
Angriffsszenario:
1. Aus Unachtsamkeit führe ich oder jemand in meiner Familie auf dem Windows-Rechner ein Programm aus, das einen Verschlüsselungstrojaner installiert. Ich bemerke nicht, dass dadurch ein Trojaner installiert wird.
2. Der beginnt, lokal und in allen freigegebenen Netzwerk-Laufwerken Dateien transparent zu verschlüsseln.
3. Wenn er alle Dateien verschlüsselt hat, löscht er den Schlüssel.
Mein Backuprechner holt sich die Daten vom NAS ab (pull) und ist selbst im Netzwerk nicht erreichbar.
Frage: Was konkret könnte ich in Phase 2 tun, um herauszufinden, ob bereits Dateien verschlüsselt sind? Einfach auf dem Notebook beliebige Dateien zu laden (Videos und Audiodateien abspielen, Worddateien öffnen etc.) ist nicht hinreichend, denn solange der Schlüssel nicht gelöscht wurde, ist die Verschlüsselung ja transparent. Davon gehe ich aus. Ich bemerke also nicht, dass die Daten bereits verschlüsselt sind.
Mir schwebt Folgendes vor:
(1) Stichprobe: Notebook mit einem sauberen Windows oder Linux mit Samba-Client starten und beliebige Dateien laden (Stichproben). Jetzt müssten verschlüsselte Dateien als solche feststellbar sein. Grund: Das OS auf dem USB-Stick ist ja nicht kompromittiert.
(2) Backuplauf starten und im Anschluss Ligs analysieren: Wurden Dateien kopiert, die von mur seit Jahren nicht verändert wurden?
Sehe ich das richtig oder ist die Verschlüsselung für alle Rechner (auch für die nicht kompromittierten), die auf die Samba-Freigabe zugreifen, transparent, d.h. nicht ohne Weiteres feststellbar?
Habt ihr (abgesehen von einem vernünftigen Backupkonzept mit Versionierung) noch Ideen?
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 1682267255
Url: https://administrator.de/forum/schutzmassnahmen-gegen-verschluesselungstrojaner-1682267255.html
Ausgedruckt am: 01.04.2025 um 22:04 Uhr
15 Kommentare
Neuester Kommentar
Moin,
hierzu gibt es, auch hier, genug Informationen.
Suchstichworte wären bspw. der Windows FSRM und Ähnliches mit dem Du prüfen kannst ob ungewöhnliche Datei Operationen vorgenommen werden und dann ggfs. die Freigaben beendest.
Und allgemeine Schutzmaßnahmen gegen diese Art Trojaner nachlesen.
Noch besser und erste Maßnahmen: deine User schulen.
Grüße
hierzu gibt es, auch hier, genug Informationen.
Suchstichworte wären bspw. der Windows FSRM und Ähnliches mit dem Du prüfen kannst ob ungewöhnliche Datei Operationen vorgenommen werden und dann ggfs. die Freigaben beendest.
Und allgemeine Schutzmaßnahmen gegen diese Art Trojaner nachlesen.
Noch besser und erste Maßnahmen: deine User schulen.
Grüße
Moin,
eine mittelprächtige Antimalware-Lösung sollte so etwas unterbinden können. Trendmicro nennt das Verhaltensüberwachung, zumindest auf den server-client-Produkten.
Ob reine Desktopschutzsoftware so etwas beherrscht ... keine-ahnung.
Ob es in der richtigen Welt zuverlässig funktioniert ... auch keine-ahnung.
LG, Thomas
eine mittelprächtige Antimalware-Lösung sollte so etwas unterbinden können. Trendmicro nennt das Verhaltensüberwachung, zumindest auf den server-client-Produkten.
Ob reine Desktopschutzsoftware so etwas beherrscht ... keine-ahnung.
Ob es in der richtigen Welt zuverlässig funktioniert ... auch keine-ahnung.
LG, Thomas
Moin..
das kann ich aus kunden erfahrung mehrfach berichten!
Frank
Zitat von @keine-ahnung:
Moin,
eine mittelprächtige Antimalware-Lösung sollte so etwas unterbinden können. Trendmicro nennt das Verhaltensüberwachung, zumindest auf den server-client-Produkten.
Ob reine Desktopschutzsoftware so etwas beherrscht ... keine-ahnung.
Ob es in der richtigen Welt zuverlässig funktioniert ... auch keine-ahnung.
LG, Thomas
also Kaspersky (nur die Buisness Version) kann sehr zuverlassig Verschlüsselungstrojaner stoppen!Moin,
eine mittelprächtige Antimalware-Lösung sollte so etwas unterbinden können. Trendmicro nennt das Verhaltensüberwachung, zumindest auf den server-client-Produkten.
Ob reine Desktopschutzsoftware so etwas beherrscht ... keine-ahnung.
Ob es in der richtigen Welt zuverlässig funktioniert ... auch keine-ahnung.
LG, Thomas
das kann ich aus kunden erfahrung mehrfach berichten!
Frank
1. Aus Unachtsamkeit führe ich oder jemand in meiner Familie auf dem Windows-Rechner ein Programm aus, das einen Verschlüsselungstrojaner installiert.
Nutzer schulen! Awareness Training!
Mein Backuprechner holt sich die Daten vom NAS ab (pull) und ist selbst im Netzwerk nicht erreichbar.
Ich weiss nicht, ob ein Antivirenschutzprogramm viel helfen würde. Die meisten sind Schlangenöl, teuer und können nichts. Sie erkennen nur bekannte Viren anhand einer Signatur. Höchstens ein gutes verhaltensbasiertes Antivirenschutzprogramm könnte dir noch helfen.
Es gibt ein Virenschutzprogramm, das nennt sich Gehirn.exe. Habe schon viele gute Erfahrungen damit gemacht und kann es jedem empfehlen.
Spass beiseite. Windows hat uns in den letzten Jahren so stark ausspioniert, ihr hauseigener Defender ist einer der besten.
Aufhören soviel Müll auf dem PC zu installieren. Jedes zusätzliche Programm/Spiel erhöht die Angriffsoberfläche. Runter mit all dem unnützen Zeug.
Netzwerk-Firewall einrichten. Nicht nur auf dem PC. Immer von Kompromittierung ausgehen.
Was genau verstehst du unter "Transparenter Verschlüsselung"?
Höchstens ein gutes verhaltensbasiertes Antivirenschutzprogramm könnte dir noch helfen.
Die üblichen Kauf-Antiviren-Programme machen das alle schon seit vielen Jahren.Es gibt ein Virenschutzprogramm, das nennt sich Gehirn.exe
Gehirn.exe ist jedoch meist nicht mit der gesamten Familie kompatibel.Aufhören soviel Müll auf dem PC zu installieren.
Ich glaube, du hast keine Kinder :c)
Das Problem ist idR nicht die Verschlüsselung zu stoppen, sondern den Zeitpunkt herauszufinden, seit wann die Systeme infiziert sind - und ein Backup von davor einzuspielen und den Angriffsvektor zu schließen.
Das Problem der eigentlichen Verschlüsselung händeln gute AV Produkte und ein ordentliches Backuptool meist schon für dich.
Das Hauptproblem ist aber nach wie vor, dass irgendjemand doch auf das vermeitliche Katzenbild im Anhang oder auf dem USB Stick klickt.
Das Problem der eigentlichen Verschlüsselung händeln gute AV Produkte und ein ordentliches Backuptool meist schon für dich.
Das Hauptproblem ist aber nach wie vor, dass irgendjemand doch auf das vermeitliche Katzenbild im Anhang oder auf dem USB Stick klickt.
Mein Backuprechner holt sich die Daten vom NAS ab (pull) und ist selbst im Netzwerk nicht erreichbar.
Ist das NAS im Netzwerk erreichbar?Das Problem ist idR nicht die Verschlüsselung zu stoppen, sondern den Zeitpunkt herauszufinden
Und natürlich das Backup auf dem NAS nicht gleich überschreiben, sondern auch mal ältere Backups wiederherstellbar halten.Unter „transparenter Verschlüsselung“ verstehe ich den worst case eines Angriffes durch einen Verschlüsselungstrojaner. Er tut nach der Infektion/Installation erst mal drei Wochen lang gar nichts. Dann beginnt er Dateien zu verschlüsseln.
Das beschreibt eine Logikbombe.
Beim Hochfahren werden sie aber unverschlüsselt angezeigt.
Ist auch logisch. Solange die Schadsoftware (in den ersten drei Wochen) nichts tut, werden die Dateien unverschlüsselt angezeigt, weil sie (noch) unverschlüsselt sind.
Oder meinst du, dass der Schlüssel beim Hochfahren Windows Explorer denken lässt, die Datei wäre unverschlüsselt, wenn sie bereits verschlüsselt wurde und die Schadsoftware lässt es nur so scheinen indem sie sich dazwischenschaltet?
Das wäre auf jeden Fall möglich.
Mit einer einer unkomprimittierten Linux-Distro könntest du das feststellen. Kann sein, dass die Ransomware eine verschlüsselte Kopie deiner Daten in einem Versteckten verzeichnis Ablegt und nach Abschluss die Originale löscht. Das Problem: Es gibt Ransomware, welche merkt, wenn du versuchst, das System abzuwürgen und löscht dann alle Daten. Du könntest den Stecker ziehen o.ä.
Wenn er fertig mit dem Verschlüsseln ist, wirft er den Schlüssel weg und gibt die Zahlungsaufforderung aus etc.
Das beschreibt klassische Ransomware.
Trotzdem bleiben mir noch einige Fragen:
Was haben sensible Daten auf einem Familienrechner zu suchen?
Hat jedes Familienmitglied Adminrechte bzw. hast du nur ein Benutzerkonto für alle eingerichtet?
Jedes Familienmitglied sollte ein eigenes Benutzerkonto bekommen und zwar ohne Adminrechte. Falls mal ein Benutzer sich ne Ransomware einfängt, ist nur das eigene Benutzerkonto betroffen. Ausser die Schadsoftware erweitert seine Rechte durch ne Sicherheitslücke, dann ist der ganze PC verseucht.
ein Raspi mit einer verhaltensbasierenden Überwachungssoftware
Sobald dir der Raspi meldet, dass das Verhalten verdächtig ist, bekommst du in der selben Minute auch lauter Anrufe, dass die Benutzer ein Totenkopf auf dem Bildschirm sehen. Ich denke da ist es dann schon zu spät, es sei denn, du trennst dann alles automatisch um den Rest zu retten. Aber hier ist ein Backup die bessere Strategie, und/oder frequente Snapshots.