15
Schutzmaßnahmen gegen Verschlüsselungstrojaner
Ich überdenke gerade meine Backupstrategie. Dabei beschäftigt mich die Möglichkeit, mir eine Verschlüsselungsschadsoftware einzufangen. Mich interessiert die Frage, was im Zweifelsfall am besten zu tun ist, bevor ich ein Backup meiner Daten durchführe.
Angriffsszenario:
1. Aus Unachtsamkeit führe ich oder jemand in meiner Familie auf dem Windows-Rechner ein Programm aus, das einen Verschlüsselungstrojaner installiert. Ich bemerke nicht, dass dadurch ein Trojaner installiert wird.
2. Der beginnt, lokal und in allen freigegebenen Netzwerk-Laufwerken Dateien transparent zu verschlüsseln.
3. Wenn er alle Dateien verschlüsselt hat, löscht er den Schlüssel.
Mein Backuprechner holt sich die Daten vom NAS ab (pull) und ist selbst im Netzwerk nicht erreichbar.
Frage: Was konkret könnte ich in Phase 2 tun, um herauszufinden, ob bereits Dateien verschlüsselt sind? Einfach auf dem Notebook beliebige Dateien zu laden (Videos und Audiodateien abspielen, Worddateien öffnen etc.) ist nicht hinreichend, denn solange der Schlüssel nicht gelöscht wurde, ist die Verschlüsselung ja transparent. Davon gehe ich aus. Ich bemerke also nicht, dass die Daten bereits verschlüsselt sind.
Mir schwebt Folgendes vor:
(1) Stichprobe: Notebook mit einem sauberen Windows oder Linux mit Samba-Client starten und beliebige Dateien laden (Stichproben). Jetzt müssten verschlüsselte Dateien als solche feststellbar sein. Grund: Das OS auf dem USB-Stick ist ja nicht kompromittiert.
(2) Backuplauf starten und im Anschluss Ligs analysieren: Wurden Dateien kopiert, die von mur seit Jahren nicht verändert wurden?
Sehe ich das richtig oder ist die Verschlüsselung für alle Rechner (auch für die nicht kompromittierten), die auf die Samba-Freigabe zugreifen, transparent, d.h. nicht ohne Weiteres feststellbar?
Habt ihr (abgesehen von einem vernünftigen Backupkonzept mit Versionierung) noch Ideen?
Angriffsszenario:
1. Aus Unachtsamkeit führe ich oder jemand in meiner Familie auf dem Windows-Rechner ein Programm aus, das einen Verschlüsselungstrojaner installiert. Ich bemerke nicht, dass dadurch ein Trojaner installiert wird.
2. Der beginnt, lokal und in allen freigegebenen Netzwerk-Laufwerken Dateien transparent zu verschlüsseln.
3. Wenn er alle Dateien verschlüsselt hat, löscht er den Schlüssel.
Mein Backuprechner holt sich die Daten vom NAS ab (pull) und ist selbst im Netzwerk nicht erreichbar.
Frage: Was konkret könnte ich in Phase 2 tun, um herauszufinden, ob bereits Dateien verschlüsselt sind? Einfach auf dem Notebook beliebige Dateien zu laden (Videos und Audiodateien abspielen, Worddateien öffnen etc.) ist nicht hinreichend, denn solange der Schlüssel nicht gelöscht wurde, ist die Verschlüsselung ja transparent. Davon gehe ich aus. Ich bemerke also nicht, dass die Daten bereits verschlüsselt sind.
Mir schwebt Folgendes vor:
(1) Stichprobe: Notebook mit einem sauberen Windows oder Linux mit Samba-Client starten und beliebige Dateien laden (Stichproben). Jetzt müssten verschlüsselte Dateien als solche feststellbar sein. Grund: Das OS auf dem USB-Stick ist ja nicht kompromittiert.
(2) Backuplauf starten und im Anschluss Ligs analysieren: Wurden Dateien kopiert, die von mur seit Jahren nicht verändert wurden?
Sehe ich das richtig oder ist die Verschlüsselung für alle Rechner (auch für die nicht kompromittierten), die auf die Samba-Freigabe zugreifen, transparent, d.h. nicht ohne Weiteres feststellbar?
Habt ihr (abgesehen von einem vernünftigen Backupkonzept mit Versionierung) noch Ideen?
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 1682267255
Url: https://administrator.de/contentid/1682267255
Printed on: April 24, 2024 at 13:04 o'clock
15 Comments
Latest comment
Moin,
hierzu gibt es, auch hier, genug Informationen.
Suchstichworte wären bspw. der Windows FSRM und Ähnliches mit dem Du prüfen kannst ob ungewöhnliche Datei Operationen vorgenommen werden und dann ggfs. die Freigaben beendest.
Und allgemeine Schutzmaßnahmen gegen diese Art Trojaner nachlesen.
Noch besser und erste Maßnahmen: deine User schulen.
Grüße
hierzu gibt es, auch hier, genug Informationen.
Suchstichworte wären bspw. der Windows FSRM und Ähnliches mit dem Du prüfen kannst ob ungewöhnliche Datei Operationen vorgenommen werden und dann ggfs. die Freigaben beendest.
Und allgemeine Schutzmaßnahmen gegen diese Art Trojaner nachlesen.
Noch besser und erste Maßnahmen: deine User schulen.
Grüße
Moin,
eine mittelprächtige Antimalware-Lösung sollte so etwas unterbinden können. Trendmicro nennt das Verhaltensüberwachung, zumindest auf den server-client-Produkten.
Ob reine Desktopschutzsoftware so etwas beherrscht ... keine-ahnung.
Ob es in der richtigen Welt zuverlässig funktioniert ... auch keine-ahnung.
LG, Thomas
eine mittelprächtige Antimalware-Lösung sollte so etwas unterbinden können. Trendmicro nennt das Verhaltensüberwachung, zumindest auf den server-client-Produkten.
Ob reine Desktopschutzsoftware so etwas beherrscht ... keine-ahnung.
Ob es in der richtigen Welt zuverlässig funktioniert ... auch keine-ahnung.
LG, Thomas
Moin..
das kann ich aus kunden erfahrung mehrfach berichten!
Frank
Zitat von @keine-ahnung:
Moin,
eine mittelprächtige Antimalware-Lösung sollte so etwas unterbinden können. Trendmicro nennt das Verhaltensüberwachung, zumindest auf den server-client-Produkten.
Ob reine Desktopschutzsoftware so etwas beherrscht ... keine-ahnung.
Ob es in der richtigen Welt zuverlässig funktioniert ... auch keine-ahnung.
LG, Thomas
also Kaspersky (nur die Buisness Version) kann sehr zuverlassig Verschlüsselungstrojaner stoppen!Moin,
eine mittelprächtige Antimalware-Lösung sollte so etwas unterbinden können. Trendmicro nennt das Verhaltensüberwachung, zumindest auf den server-client-Produkten.
Ob reine Desktopschutzsoftware so etwas beherrscht ... keine-ahnung.
Ob es in der richtigen Welt zuverlässig funktioniert ... auch keine-ahnung.
LG, Thomas
das kann ich aus kunden erfahrung mehrfach berichten!
Frank
1. Aus Unachtsamkeit führe ich oder jemand in meiner Familie auf dem Windows-Rechner ein Programm aus, das einen Verschlüsselungstrojaner installiert.
Nutzer schulen! Awareness Training!
Mein Backuprechner holt sich die Daten vom NAS ab (pull) und ist selbst im Netzwerk nicht erreichbar.
Alarm! Dein Backuprechner ist am Netz angeschlossen? Bist du wahnsinnig? Ich kriege nen Herzinfarkt.Ich weiss nicht, ob ein Antivirenschutzprogramm viel helfen würde. Die meisten sind Schlangenöl, teuer und können nichts. Sie erkennen nur bekannte Viren anhand einer Signatur. Höchstens ein gutes verhaltensbasiertes Antivirenschutzprogramm könnte dir noch helfen.
Es gibt ein Virenschutzprogramm, das nennt sich Gehirn.exe. Habe schon viele gute Erfahrungen damit gemacht und kann es jedem empfehlen.
Spass beiseite. Windows hat uns in den letzten Jahren so stark ausspioniert, ihr hauseigener Defender ist einer der besten.
Aufhören soviel Müll auf dem PC zu installieren. Jedes zusätzliche Programm/Spiel erhöht die Angriffsoberfläche. Runter mit all dem unnützen Zeug.
Netzwerk-Firewall einrichten. Nicht nur auf dem PC. Immer von Kompromittierung ausgehen.
Was genau verstehst du unter "Transparenter Verschlüsselung"?
Höchstens ein gutes verhaltensbasiertes Antivirenschutzprogramm könnte dir noch helfen.
Die üblichen Kauf-Antiviren-Programme machen das alle schon seit vielen Jahren.Es gibt ein Virenschutzprogramm, das nennt sich Gehirn.exe
Gehirn.exe ist jedoch meist nicht mit der gesamten Familie kompatibel.Aufhören soviel Müll auf dem PC zu installieren.
Ich glaube, du hast keine Kinder :c)
Das Problem ist idR nicht die Verschlüsselung zu stoppen, sondern den Zeitpunkt herauszufinden, seit wann die Systeme infiziert sind - und ein Backup von davor einzuspielen und den Angriffsvektor zu schließen.
Das Problem der eigentlichen Verschlüsselung händeln gute AV Produkte und ein ordentliches Backuptool meist schon für dich.
Das Hauptproblem ist aber nach wie vor, dass irgendjemand doch auf das vermeitliche Katzenbild im Anhang oder auf dem USB Stick klickt.
Das Problem der eigentlichen Verschlüsselung händeln gute AV Produkte und ein ordentliches Backuptool meist schon für dich.
Das Hauptproblem ist aber nach wie vor, dass irgendjemand doch auf das vermeitliche Katzenbild im Anhang oder auf dem USB Stick klickt.
Mein Backuprechner holt sich die Daten vom NAS ab (pull) und ist selbst im Netzwerk nicht erreichbar.
Ist das NAS im Netzwerk erreichbar?Das Problem ist idR nicht die Verschlüsselung zu stoppen, sondern den Zeitpunkt herauszufinden
Und natürlich das Backup auf dem NAS nicht gleich überschreiben, sondern auch mal ältere Backups wiederherstellbar halten.
@sabines: Danke für den Hinweis. Das ist genau die Richtung (FSRM), die mich interessiert. Obwohl ich keinen Windows-Server einsetze.
@EliteHacker: Unter „transparenter Verschlüsselung“ verstehe ich den worst case eines Angriffes durch einen Verschlüsselungstrojaner. Er tut nach der Infektion/Installation erst mal drei Wochen lang gar nichts. Dann beginnt er Dateien zu verschlüsseln. Beim Hochfahren werden sie aber unverschlüsselt angezeigt. Wenn er fertig mit dem Verschlüsseln ist, wirft er den Schlüssel weg und gibt die Zahlungsaufforderung aus etc.
Gibt es solche Trojaner (noch) nicht? Wenn nicht => umso besser, dann genügt ja ein Blick auf die Dateien.
@NordicMike: Was mir vorschwebt, ist ein Raspi mit einer verhaltensbasierenden Überwachungssoftware. Ich lege die Verzeichnisse fest, und der Raspi meldet verhaltensauffällige Dateioperationen. Beispiel: Irgendwelche Audio- oder Videodateien, die ich seit Jahren nicht mehr geändert habe, werden plötzlich verändert => verdächtig. Gibt es so etwas für Linux oder nur für Windows von den Antivirenherstellern?
Gehirn setze ich ein, habe aber Kinder. Und die sind Installationsweltmeister. Und meine Kleine liebt Katzen … weil sie so süß sind.
Ja, NAS ist für alle Benutzer erreichbar. Der Backuprechner nicht.
@Tezzla: Ja, finde ich auch. Meine Backupstrategie berücksichtigt Versionierung der Backups (rsnapshot, Generationenprinzip). Nach jedem Backup sehe ich mir auch das Log an. Da sollte ich verdächtige Kopieraktionen bemerken.
Der Hintergrund meiner Frage ist aber eher: Wie finde ich heraus, ob ich einen Backuplauf ruhigen Gewissens starten kann? Ich will ja keine verschlüsselten Dateien backuppen.
Danke euch allen für die Antworten.
@EliteHacker: Unter „transparenter Verschlüsselung“ verstehe ich den worst case eines Angriffes durch einen Verschlüsselungstrojaner. Er tut nach der Infektion/Installation erst mal drei Wochen lang gar nichts. Dann beginnt er Dateien zu verschlüsseln. Beim Hochfahren werden sie aber unverschlüsselt angezeigt. Wenn er fertig mit dem Verschlüsseln ist, wirft er den Schlüssel weg und gibt die Zahlungsaufforderung aus etc.
Gibt es solche Trojaner (noch) nicht? Wenn nicht => umso besser, dann genügt ja ein Blick auf die Dateien.
@NordicMike: Was mir vorschwebt, ist ein Raspi mit einer verhaltensbasierenden Überwachungssoftware. Ich lege die Verzeichnisse fest, und der Raspi meldet verhaltensauffällige Dateioperationen. Beispiel: Irgendwelche Audio- oder Videodateien, die ich seit Jahren nicht mehr geändert habe, werden plötzlich verändert => verdächtig. Gibt es so etwas für Linux oder nur für Windows von den Antivirenherstellern?
Gehirn setze ich ein, habe aber Kinder. Und die sind Installationsweltmeister. Und meine Kleine liebt Katzen … weil sie so süß sind.
Ja, NAS ist für alle Benutzer erreichbar. Der Backuprechner nicht.
@Tezzla: Ja, finde ich auch. Meine Backupstrategie berücksichtigt Versionierung der Backups (rsnapshot, Generationenprinzip). Nach jedem Backup sehe ich mir auch das Log an. Da sollte ich verdächtige Kopieraktionen bemerken.
Der Hintergrund meiner Frage ist aber eher: Wie finde ich heraus, ob ich einen Backuplauf ruhigen Gewissens starten kann? Ich will ja keine verschlüsselten Dateien backuppen.
Danke euch allen für die Antworten.
Unter „transparenter Verschlüsselung“ verstehe ich den worst case eines Angriffes durch einen Verschlüsselungstrojaner. Er tut nach der Infektion/Installation erst mal drei Wochen lang gar nichts. Dann beginnt er Dateien zu verschlüsseln.
Das beschreibt eine Logikbombe.
Beim Hochfahren werden sie aber unverschlüsselt angezeigt.
Ist auch logisch. Solange die Schadsoftware (in den ersten drei Wochen) nichts tut, werden die Dateien unverschlüsselt angezeigt, weil sie (noch) unverschlüsselt sind.
Oder meinst du, dass der Schlüssel beim Hochfahren Windows Explorer denken lässt, die Datei wäre unverschlüsselt, wenn sie bereits verschlüsselt wurde und die Schadsoftware lässt es nur so scheinen indem sie sich dazwischenschaltet?
Das wäre auf jeden Fall möglich.
Mit einer einer unkomprimittierten Linux-Distro könntest du das feststellen. Kann sein, dass die Ransomware eine verschlüsselte Kopie deiner Daten in einem Versteckten verzeichnis Ablegt und nach Abschluss die Originale löscht. Das Problem: Es gibt Ransomware, welche merkt, wenn du versuchst, das System abzuwürgen und löscht dann alle Daten. Du könntest den Stecker ziehen o.ä.
Wenn er fertig mit dem Verschlüsseln ist, wirft er den Schlüssel weg und gibt die Zahlungsaufforderung aus etc.
Das beschreibt klassische Ransomware.
Trotzdem bleiben mir noch einige Fragen:
Was haben sensible Daten auf einem Familienrechner zu suchen?
Hat jedes Familienmitglied Adminrechte bzw. hast du nur ein Benutzerkonto für alle eingerichtet?
Jedes Familienmitglied sollte ein eigenes Benutzerkonto bekommen und zwar ohne Adminrechte. Falls mal ein Benutzer sich ne Ransomware einfängt, ist nur das eigene Benutzerkonto betroffen. Ausser die Schadsoftware erweitert seine Rechte durch ne Sicherheitslücke, dann ist der ganze PC verseucht.
ein Raspi mit einer verhaltensbasierenden Überwachungssoftware
Sobald dir der Raspi meldet, dass das Verhalten verdächtig ist, bekommst du in der selben Minute auch lauter Anrufe, dass die Benutzer ein Totenkopf auf dem Bildschirm sehen. Ich denke da ist es dann schon zu spät, es sei denn, du trennst dann alles automatisch um den Rest zu retten. Aber hier ist ein Backup die bessere Strategie, und/oder frequente Snapshots.
Du kannst auch unter linux ungewöhnliche Dateioperationen tracken. Und ggfs. unterbinden. Analog zum FSRM.
Oder meinst du, dass der Schlüssel beim Hochfahren Windows Explorer denken lässt, die Datei wäre unverschlüsselt, wenn sie bereits verschlüsselt wurde und die Schadsoftware lässt es nur so scheinen indem sie sich dazwischenschaltet?
Genau diesen Fall meine ich.
Das wäre auf jeden Fall möglich.
Das habe ich befürchtet.Mit einer einer unkomprimittierten Linux-Distro könntest du das feststellen.
Ja, desinfec’t von Heise oder Knoppix oder dgl.Trotzdem bleiben mir noch einige Fragen:
Was haben sensible Daten auf einem Familienrechner zu suchen?
Es gibt keinen Familienrechner. Jede/r hat seinen/ihren eigenen. Und Tablets schwirren auch herum. Und alle haben Zugriff auf die Freigaben des NAS, aber jeder nur jeweils auf das „eigene“ Verzeichnis. Ich administriere das Ganze und habe natürlich einen Admin-Account.Was haben sensible Daten auf einem Familienrechner zu suchen?
Hat jedes Familienmitglied Adminrechte bzw. hast du nur ein Benutzerkonto für alle eingerichtet?
Die meisten können sich auf ihrem PC Adminrechte verschaffen, genauer: Sie arbeiten als eingeschränkter User, können aber als Admin Programme installieren. Nur meine Kleine (9 Jahre) nicht. Die muss vorher fragen.Ich will die Kinder auch zu mündigen und verantwortungsvollen Usern erziehen, was auch immer das heißt. Bisher ist nicht viel passiert. Ich frage aus Vorbeugeinteresse.
Jedes Familienmitglied sollte ein eigenes Benutzerkonto bekommen und zwar ohne Adminrechte. Falls mal ein Benutzer sich ne Ransomware einfängt, ist nur das eigene Benutzerkonto betroffen. Ausser die Schadsoftware erweitert seine Rechte durch ne Sicherheitslücke, dann ist der ganze PC verseucht.
Ja, ich weiß, ist sozial gesehen nicht so leicht.
Danke für deine präzisen Antworten, ich kann mir nun besser ein Bild machen.
Zitat von @sabines:
Du kannst auch unter linux ungewöhnliche Dateioperationen tracken. Und ggfs. unterbinden. Analog zum FSRM.
Du kannst auch unter linux ungewöhnliche Dateioperationen tracken. Und ggfs. unterbinden. Analog zum FSRM.
Mit welchen Programmen würde das gehen?
Sobald dir der Raspi meldet, dass das Verhalten verdächtig ist, bekommst du in der selben Minute auch lauter Anrufe, dass die Benutzer ein Totenkopf auf dem Bildschirm sehen.
Ja, das stört aber nicht. Je früher ich das bemerken würde, desto besser.
Ich denke da ist es dann schon zu spät, …
Ja klar. Wenn sich jemand Schadsoftware einfängt, ist es immer zu spät. Ich will die Zeit, bis ich es merke, verkürzen.
So, ich habe etwas recherchiert. Folgende Programme finde ich interessant. Sie werde ich mir ansehen:
iWatch: http://iwatch.sourceforge.net/index.html
FSWatch: https://emcrisostomo.github.io/fswatch/
Path Units (systemd): https://wiki.ubuntuusers.de/systemd/Path_Units/
Vielleicht interessiert das noch jemanden.
iWatch: http://iwatch.sourceforge.net/index.html
FSWatch: https://emcrisostomo.github.io/fswatch/
Path Units (systemd): https://wiki.ubuntuusers.de/systemd/Path_Units/
Vielleicht interessiert das noch jemanden.
1
