Ransomware, Schutz /Backup-Plan

D

Dressiel

Neuling
Thread Starter
Mitglied seit
26.06.2010
Beiträge
61
Heyho Luxxer
Bei uns hat sich der "Email-Rechner" ärgerlicherweise eine Ransomware eingefangen.
Meine Frage an euch und ich brauche da ein wenig Input: Wie schützt man sich in Zukunft vor sowas und wie sehe ein gescheiter Backup-Plan aus ?

Als Maßnahme habe ich bisher folgendes umgesetzt bzw folgende Tools im Einsatz (teils längere Erfahrung aus dem privaten Bereich):
- Windows 7 Pro ; Secunia PSI (um alle Programme aktuell zu halten); Avira Free Antivirus (eventuell hier ein Bezahl AntiVirus Programm einsetzen ?) + Malwarebytes Anti-Ransomware
- Firefox Addons: NoScript + µBlockOrigin
- Thunderbird Addons: Enigmail

Der Rechner wird zum abrufen der Kundenmails (Aufträge/Angebote) und zur Recherche benutzt + normaler Office Betrieb!
Backups wurden bisher täglich früh morgens beim Einschalten des Rechners automatisch auf eine externe Festplatte geschrieben. Dafür nutzen wir "NH-Backup".
Das Problem war, dass diese Backups nicht weiter geschützt waren (Passwort zB) und die Platte quasi dauerhaft (lazy mode) am Rechner hing. Die Ransomware verschlüsselte somit
auch gleich jegliche Netzwerklaufwerke.

Für jegliche Hilfe wäre ich sehr dankbar.
Liebe Grüße
 
Wenn Du diese Anzeige nicht sehen willst, registriere Dich und/oder logge Dich ein.
das erste Problem hast du ja schon selbst erkannt ;) -> Die Backupplatte nach dem Backup abziehen und sicher lagen (off-site Backup ist sicherlich auch nicht verkehrt, hat aber mit der Ransomware nix zu tun)

und der Rechner hat sich nix eingefangen. Das Skript und Adminrechte gibt der exe immer noch der User -> das größte Problem, da hilft auch kein Anti-Ransomware-Malwarebytes Dingens
 
Zuletzt bearbeitet:
das erste Problem hast du ja schon selbst erkannt -> Die Backupplatte nach dem Backup abziehen und sicher lagen (off-site Backup ist sicherlich auch nicht verkehrt, hat aber mit der Ransomware nix zu tun)
Zum Vergrößern anklicken....
als grobe Vorstellung hatten wir die Idee für Montag bis Freitag jeweils einen eigenen USB Stick zu benutzen. Für den Fall das doch mal ein Backup kompromitiert wird. Am Ende des Monats nochmal ein Offsite-Backup.

und der Rechner hat sich nix eingefangen.
Zum Vergrößern anklicken....
Der Rechner wurde mit diversen tools / Systemwiederherstellung quasi bereinigt. Sind aber doch zu dem Entschluss gekommen, diesen platt zu machen und neu aufzusetzen (sicher ist sicher).

Das Skript und Adminrechte gibt der exe immer noch der User -> das größte Problem, da hilft auch kein Anti-Ransomware-Malwarebytes Dingens
Zum Vergrößern anklicken....
Dem sind wir uns bewusst, leider kann man dieses Risiko teils bis garnicht vermeiden. Daher auch so sicher wie möglich bzw die Tools nutzen die man hat um das Risiko wenigstens ein wenig zu minimieren.

Trotzdem danke für dein Input !
 
Für die Kombo Firefox + Thunderbrid bietet sich doch eine Linux Installation anstatt Windows an -> damit bist du grundsätzlich von der Masse derartiger Geschichten erstmal halbwegs sicher, weil einfach idR Windows (oder MS Softwarelastig) konzipiert.

Für den Rest -> Nachdenken. Viel mehr kann man nicht machen. Es gibt keinen 100% Schutz gegen sowas. Es hilft nur Hirn einschalten und nicht jeden Mist per Mail/im INet anzuklicken ;)
Präventive Maßnahmen kann man allerdings unter Umständen trotzdem ergreifen. -> Bspw. eine Mailfilterung oder ähnliches ausmisten von Mails mit einer vorgeschalteten Lösung (also bevor der Mist überhaupt am Client ankommt), die bspw. die Mails schonmal auf bekannte Schadcodes oder Verhaltensweisen untersucht und ggf. präventiv schonmal wegblockt.
Auch sollte man sich Gedanken mache, was man dort überhaupt alles erlauben will oder nicht. Bei uns kommen mittlerweile (warum auch immer) viele produktive Mails mit Makroaktivieren MS Officedokumenten an -> die Kunden sind aber nicht dazu zu überreden, das einzustellen. Da müssen die dann halt durch, dass diese Mails am Gateway geblockt werden und erstmal auf Schadcode untersucht werden und damit die Mail mal ein paar Tage nicht beim Empfänger ankommt...


Was das Backup angeht, wurde schon erwähnt. Backup HDD abziehen. Mehrere Backup HDDs nutzen, ggf. ganz auf andere Verfahren umsteigen. Bspw. lassen sich mittels Backupsoftware, die nicht auf SMB oder externe HDD Medien setzt, solche Themen unter Umständen sogar Online lösen. Wir nutzen bspw. für einige unserer Clients Veeam und sichern diese zum zentralen Backup Repo. Das geht dann NICHT über SMB, sondern über eine Herstellerproprietäre Lösung. Schützt zwar nicht davor, dass der Client ggf. inkl. dem Schadcode gesichert wird und das Backup damit trotzdem unbrauchbar ist, aber es hilft eben gegen Software, die anfängt wild im LAN irgendwelche Shares zu verschlüsseln, weil es in dem Fall kein Share ist. ;) Um das zu untergraben müsste die Schadsoftware dediziert auf diese Backup Lösung ansetzen...
 
Für die Kombo Firefox + Thunderbrid bietet sich doch eine Linux Installation anstatt Windows an -> damit bist du grundsätzlich von der Masse derartiger Geschichten erstmal halbwegs sicher, weil einfach idR Windows (oder MS Softwarelastig) konzipiert.
Zum Vergrößern anklicken....
Jopp war auch mein erster Gedanke, hast du da Linux Empfehlungen ? Bei den ganzen Derivaten, scheiter ich meißt schon daran mir ein vernünftiges auszusuchen (privat würd ich mir die alle mal angucken: Zorin OS? Kubuntu?). Im Prinzip muss es eine simple Office- Distru sein die sich selbständig aktuell hält und praktikabel ist. Praktikabel ist hier das Stichwort...Diverse Dokumente/Excel Sheets werden halt erstellt und auch mal an anderen Rechnern übertragen und weiterbearbeitet. Und ob man LibreOffice Dokumente locker flockig in MS Word/Excel sehen kann, weiß ich nicht. Vergangene Erfahrung (OpenOffice zu Microsoft Produkte) zeigte dann doch das Formatierungen zerschossen werden etc. Und das wird dann auch schnell zum Problem wenn es auch nur kleinste HickUps gibt. (Die Umstellung auf Win10 war schon mit einigen Problemchen und Eingewöhnungsphasen verbunden)
 
Neja, die Frage ist eher, was willst du mit diesem einen PC alles machen?

Ich würde hier einen dedizierten Client für die Mailinggeschichten nutzen, vor allem, wenn es hier bspw. um generische Mailadressen geht, sowas wie mail@domain.tld oder bewerbung@domain.tld. Also alles abseits der personifizierten Accounts.
Den Rest kann man ja mit MS Office machen... Ob man Open/LibreOffice und MS Office sauber paaren kann, ist eher so eine Glaubenssache, ich bin MS Office nutzer und tue mich da schwer mit dem anderen Zeug. Allerdings wäre das in dem Fall ja recht "egal", den Check, ob die Dokumente sauber/brauchbar sind, kann man mit LibreOffice und diversen anderen Tools in Linux ja machen, die Bearbeitung der Sachen selbst nach Prüfung, ob das Dokument sauber ist, kann/darf dann gern auf einem Windows Client erfolgen.

Du wirst hier sicher viele Leute finden, die meinen, das die OpenSource Software auf einem Linux System eine Alternative ist zum MS Office Paket -> ich sehe das anders. Aber das spielt hier weniger eine Rolle.

Welche Linux Distribution du einsetzt ist dabei fast wurscht. Es sollte vielleicht nix horn altes sein und ist eher davon abhängig, wie du mit der Oberfläche klar kommst. Selbst nutze ich aktuell Mint 17.3 mit KDE und Min 18 mit KDE. KDE eigentlich aber nur deswegen, weil ich vor ewigkeiten mal mit SuSE angefangen hatte und da halt KDE drin war :fresse: Seit dem zieht sich das durch...
Ubuntu kann man noch empfehlen, Debian auch, und sicher noch tonnen von Anderen... Womit man halt klar kommt. Mir ist allerdings bis dato aufgefallen, dass so manche Software im Moment noch einen größeren Bogen um die aktuelle Mint/Ubuntu Version macht. Das heist, basteln ist angesagt, wenn es überhaupt geht. -> das ist halt einer der massiven Nachteile (aus meiner Sicht) von Linux. Geht es mal nicht Out of the Box, dann bist du schnell beim basteln. :wink:

Am Ende musst du/deine Leute da das aber händeln können. Das sicherste System nutzt gar nix, wenn man es nicht bedienen kann. Und Windows ist nunmal anders als Linux... Einarbeitung ist damit quasi Pflicht.
 
Dressiel schrieb:
Bei den ganzen Derivaten, scheiter ich meißt schon daran mir ein vernünftiges auszusuchen (privat würd ich mir die alle mal angucken: Zorin OS? Kubuntu?).
Zum Vergrößern anklicken....
Nein. Denselben Fehler habe ich vor 16 Jahren auch mal gemacht. Du scheiterst daran, daß Du dir keine konkreten Leistungsanforderungen, sprich ein Lastenheft, aufgeschrieben hast, in dem Du auflistest, was Dir wichtig ist. Mir war Langzeit-Stabilität am wichtigsten, ich bin deshalb bei Debian gelandet und dabei geblieben. Außerdem hat mir deren Konzept besser gepasst als das von Suse. An Redhat ist mein erster Linux-Versuch gescheitert. Das war damals eine unglaubliche Fummelei, Debian Multimedia- bzw. Desktop-tauglich zu machen. Heutzutage ist das vergleichsweise simpel.

Und das "Formatierungen" zerschossen werden ist ein lösbares und zeitlich begrenztes Problem, was man immer haben wird (wie Du ja selbst schon erlebt hast). Davon ab: was hindert euch, Libre- bzw. OpenOffice auch auf Win-Desktops zu installieren? Zur Weitergabe nutzt man dann eben PDF.

- - - Updated - - -

fdsonne schrieb:
eher so eine Glaubenssache, ich bin MS Office nutzer und tue mich da schwer mit dem anderen Zeug.
Zum Vergrößern anklicken....
Das ist es wohl - eine "Glaubenssache". Ich selbst z.B. finde mich seit Windows 8 in einem Windows kaum noch zurecht.

Du wirst hier sicher viele Leute finden, die meinen, das die OpenSource Software auf einem Linux System eine Alternative ist zum MS Office Paket -> ich sehe das anders.
Zum Vergrößern anklicken....
Ich auch: OpenSource auf einem Windows-System ist eine Alternative zu MSOffice.

Am Ende musst du/deine Leute da das aber händeln können. Das sicherste System nutzt gar nix, wenn man es nicht bedienen kann. Und Windows ist nunmal anders als Linux... Einarbeitung ist damit quasi Pflicht.
Zum Vergrößern anklicken....
Na ja, Einarbeitung ist letztlich bei jedem System Pflicht, ich zumindest kenne niemanden, der mit Windows-Wissen geboren wurde. Den Aufwand, den sie - wenn auch versteckt und im Privatbereich - jahrelang getrieben haben, um "ihr" Windows zu verstehen und einigermassen zu durchblicken, den ignorieren nur die allermeisten Windows-User. Ich kenne genügend Leute, die sich Nächte um die Ohren geschlagen haben, um ein Windows-Problem zu lösen, für welches ich unter Linux mit einer batch nur Minuten gebraucht habe.
Es ist egal, welchen Namen das Kind hat, man muss sich immer damit auseinandersetzen und vor allem: man muss es wollen!
 
dirk11 schrieb:
Das ist es wohl - eine "Glaubenssache". Ich selbst z.B. finde mich seit Windows 8 in einem Windows kaum noch zurecht.

Ich auch: OpenSource auf einem Windows-System ist eine Alternative zu MSOffice.
Zum Vergrößern anklicken....

Zum ersten, ich denke das ist klar eine Frage der Bedienung... Ich nutze das Startmenü seit Vista sogut wie gar nicht. Win drücken, losschreiben, Enter -> Programm/Fenster/Tools offen und gut. Klappt so von Vista bis 10/2016 Server mit GUI.

Zum zweiten, neja, im konkreten Fall mit dem Schutz vor potentiellem Schadcode nutzt ihm das recht wenig. Soll ja nicht nur MS Office Dokumente im Umlauf geben... Windows, vor allem häufig mit zu vielen Rechten ausgestattete Accounts ist da halt anfällig ohne Ende.
Unter Linux wird einem das deutlich einfacher gemacht von der per default schonmal getrennten Rechten für den normalen User.
-> MS hat halt massiv das Problem, das User sich nur schwer an andere Arbeitsweisen gewöhnen wollen. Ein Windows kann man auch recht gut zudrehen. Vor allem im Prof. Umfeld (Enterprise) mit Applocker und komplett eingeschränkten Userrechten. -> macht halt vieles sehr umständlich, wenn man alle Nase lang Programme mit "ausführen als" starten/installieren muss. Für den Linuxer ist das ja eher standard...

dirk11 schrieb:
Es ist egal, welchen Namen das Kind hat, man muss sich immer damit auseinandersetzen und vor allem: man muss es wollen!
Zum Vergrößern anklicken....

100% agree, wobei im konkreten Fall offenbar Windows und MS Office KnowHow in gewisser Weise vorhanden sein wird -> da so ja im Einsatz. Wenn man allerdings "will", ist das natürlich kein Hindernis.
 
1. Warum darf der User, der eine e-mail liest, überhaupt irgenwelchen Ausführbaren Code ausführen, der nicht im Verzeichnis c:/Programme liegt?
- Nutzerrechte einschränken und nicht mit demAdminkonto arbeiten.

2. Backups auf ein NAS mit ZFS Dateisystem und aktivierten ZFS Snapshots.
- Die Snaps sind Hidden und Read Only, da ZFS ein CoW Dateisystem ist, werden Dateien nicht überschrieben sondern neu angelegt und anschliessend die Originaldtaen in den Snap verschoben statt gelöscht. AYddministartiven Zugriff auf die Snaps hat ausschliesslich der User "root". Die Snaps könne ggf. zum Lesen eingebunden werden.
Sollte es doch wider erwarten mal ein Vershlüsselunsvirus tatsächlich Zugriff erlangen, läuft im Zweifel halt das Dateisystem voll bis nix mehr geht.

3. Schreibender Zugriff auf die SMB-Freigabe(n) des NAS ist nur dem User "Backup" erlaubt, andere User können allenfalls lesen.
- Ein Verschlüsselungstrojaner müsste erstmal wisen welcher User der Backupuser ist und dann das Passwort für diesen User Hacken. (es ist daher unklug den Backupuser "Backup" oder "Backupuser" zu nennen.)

4. Die SMB-Freigabe(n) werden nicht als Laufwerk gemappt (Sicherung direkt auf den UNC Pfad)
- Eine direkt per Laufwerksmapping eingebunden Laufwerksfreigabe ist sofort zu erkennen, UNC Pfade müssen erst gescannt werden

5. Gar nicht mit SMB-Freigabe(n) arbeiten sondern auf dem NAS ein RSync Server einrichten und die Nutzdaten mit RSync sichern
- damit hätte nur Rsync in Verbindung mit dem Backupuser Zugriff auf das NAS
 
Zuletzt bearbeitet:
@Digi-Quick ; fdsonne ; dirk11 ; eXTA
Vielen Lieben Dank für euren Input.
Also wir haben bereits unseren Arbeitsablauf soweit gesichert in dem wir ein klaren Schnitt zwischen Intranet und Internet machen. Alle Intranet Rechner werden im dem Sinne auch per NAS mit Snappshot etc gesichert.
Trotzdem brauchen wir zumindest 1 Email Rechner und den müssen wir absichern. Ich denke meine Massnahmen schützen zumindest im Groben erstmal (Software seitig erstmal alles ausgepackt was geht).
Aber wie ihr alle wisst ist der User selbst das größte Risiko.
Eine Linux Distru kommt nur in Frage wenn diese praktikabel ist. Sprich wir brauchen da eine Out of the Box Lösung, die sich auch selbstständig auomatisch (per Paketquellen) aktuell hält.
Ja OpenOffice haben/hatten wir quasi im Einsatz, leider bestehen die Kollegen dann doch auf MS Produkte. Da beißt sich die Katze in den Schwanz (Stichwort Praktikabel).
Bin da auch ein wenig ratlos ehrlich gesagt. Privat würde ich die Umstellung ohne lange zu überlegen machen und hätte auch kein Problem damit das ein oder andere mal zu fummeln. Auch würde ich klar sagen Libre/OpenOffice Kombo und fertig.
Aber das meinen "technisch-nicht-affinen" Kollegen ans Herz zu legen, fällt mir verdammt schwer.
 
Zuletzt bearbeitet:
gelöscht
 
Zuletzt bearbeitet von einem Moderator:
RPU schrieb:
Hi,

denke mal über das verwendete Backup Programm nach.....
Ohne jetzt NH Backup zu kennen möchte ich dazu anmerken:
"Vernünftige" Backup Programme arbeiten heutzutage mit einem zusätzlichen Backup-User = einem User, der im Normalfall niemals auf dem zu sichernden PC/Server eingeloggt ist und der nur für das Backup bestimmt ist.
Das Backup Programm wird nur "von" diesem User ausgeführt und nur dieser User hat Schreibberechtigung auf das Sicherungslaufwerk.
Zudem ist dieses Sicherungslaufwerk auch durch das Backup-Programm verschlüsselt und wird vom Backup Programm erst bei Beginn der Sicherung verbunden und nach dem Ende der Sicherung wieder getrennt.

Bei "vernünftig" denke ich dabei an das, was ich auch verwende = Macrium Reflect
Nicht die Free Version, sondern die Kauf Version.
Trial Versionen gibt es kostenlos und laufen 30 Tage zum ausprobieren.
Zum Vergrößern anklicken....

Danke für den Denkanstoß
BackupUser / Verschlüsselung macht total Sinn. "Beginn der Sicherung verbunden und nach dem Ende der Sicherung wieder getrennt"... ist das wirklich so ? Sprich in unserem Szenario (Ransomware) kann dieses Sicherungslaufwerk garnicht von Schadsoftware ohne weiters "gegriffen" werden (also alles vor der Backup Initierung). Macrium Reflect klingt dann äußerst interressant ! ;P
 
gelöscht
 
Zuletzt bearbeitet von einem Moderator:
Dressiel schrieb:
Sprich wir brauchen da eine Out of the Box Lösung,
Zum Vergrößern anklicken....
Ich wüßte nicht, daß es mittlerweile schon maßgeschneiderte Distris gibt.

die sich auch selbstständig auomatisch (per Paketquellen) aktuell hält.
Zum Vergrößern anklicken....
Spätestens das ist aber auch auf gar keinen Fall empfehlenswert. Wer kommt auf solche irren Ideen?

Ja OpenOffice haben/hatten wir quasi im Einsatz, leider bestehen die Kollegen dann doch auf MS Produkte. Da beißt sich die Katze in den Schwanz (Stichwort Praktikabel).
Zum Vergrößern anklicken....
Da beißt überhaupt niemand niemandem in den Schwanz. Seit wann können sich LKW-Fahrer aussuchen, ob sie Scania, MAN oder Tatra fahren? Und Polizisten, die statt der Dienstwaffe dann doch lieber den Revolver von SledgeHammer hätten? Priester, die im Sommer in Badehose beten?
Sorry, die von Dir genannte Begründung ist dämlich. So etwas entscheidet die EDV in Abstimmung mit der GF, und nicht eine kleine Umfrage unter Sekretärinnen. Ich weiß, daß das vielfach nicht so üblich ist, aber das hängt eben auch vom Verhandlungsgeschick des EDV-Menschen ab. Der Chef läßt sich ja normalerweise auch nicht von der Sekretärin reinreden, mit welchen Kunden er zusammenarbeitet ("ich kenne da jemanden, die kennt jemand, der kennt den und sagt, der ist unzuverlässig"...).

Andererseits glaube ich sowieso, daß es hier nur um Hobby geht, denn kein normal denkender Mensch läßt im Business-Umfeld eine Backup-Platte dauerhaft im System. Sowas machen nur Kellerfrickler.
 
Zuletzt bearbeitet:
gelöscht
 
Zuletzt bearbeitet von einem Moderator:
Ein vernünftiges Backupprogramm braucht keine verbundenen Netzlaufwerke (Net Use) sondern sichert direkt auf UNC Pfade (//Server/Freigabe) ins Netzwerk oder gar auf einen FTP Server - oder eine AFP (Apple) oder NFS Freigabe.
Das kann sogar Robocopy :)

Darüberhinaus gibt es dann noch Spezialitäten wie Rsync, Syncthing, Timemachine.

Panda Adaptive Defence 360 ist dann aber deutlich mehr als "nur" Malwareschutz!
Im Prinzip wird der Gruppenrichtlinieneditor mit integriert, Die Personal Firewall ist auch sehr umfangreich konfigurierbar.
Du hast jetzt aber nicht 2 Firewalls auf einem System laufen? - Watchguard Firewall & Panda Adaptive Defence 360
 
Zuletzt bearbeitet:
gelöscht
 
Zuletzt bearbeitet von einem Moderator:
RPU schrieb:
oder Leute, die sich nicht mit der Materie auskennen und sich noch nicht mit der Funktionsweise von Locky etc. auseinandergesetzt haben oder auseinandersetzen mussten.
Zum Vergrößern anklicken....
Das hat doch mit "Locky" oder irgendsoeinem Scheiss überhaupt nichts zu tun. Das machen nur Leute, die sich mit der Materie nicht auskennen.

Ich könnte eine Liste von Unternehmen und Organisationen erstellen, die der Meinung waren: "passiert uns doch nicht, wir passen schon auf...."
[...]
es kostet aber auch eine Stange Geld und nicht jede GF sieht die Notwendigkeit solcher Ausgaben ein, weil man sich meist nicht darüber im Klaren ist, was ein Betriebsstillstand hervorgerufen durch derartige Schadsoftware unter dem Strich kostet, wenn denn einmal der berühmte GAU eintreten sollte.
Zum Vergrößern anklicken....
Letzteres ist wohl der Hauptgrund. "Et hat noch emmer jotjejange". Ich kann das sogar bis zu einer gewissen Grenze verstehen. Was ich aber nicht verstehen kann ist, wieso man auf Hobbyfrickler-Ideen setzt, wenn man schon die Notwendigkeit eines Backup begriffen hat.
Ich sehe aber auch das es extrem schwierig ist, gut beraten zu werden, weil der Markt natürlich auch überschwemmt von Bauernfängern ist.
 
RPU schrieb:
Hi,

doch - hab ich.......
Ich sag ja, das ich Paranoia habe.
Du kannst aber beruhigt sein - WG und Panda kommen sich nicht ins Gehege - wenigstens habe ich bisher noch nichts dergleichen bemerkt.
Wobei man von "gleichem System" ja eigentlich nicht so wirklich sprechen kann...... es "läuft" ja nicht wirklich so wie eine Anwendung auf einem System

Gruß Ralf
Zum Vergrößern anklicken....
Verstehe, Watchguard Firewall ist eine UTM / standalone Appliance und keine "Personal Firewall" (habe gerade erst gegoogelt).
Mein Spruch dazu: "Wenn eine Personal Firewall aktiv was verhindern muß, dann ist der Hacker schon im LAN." ;)
Ist natürlich eine weitere Hürde.
 
Zuletzt bearbeitet:
In meiner Firma haben wir einen eigenen Exchangeserver.
Auf dem Exchange läuft eine Antivirensoft, der alle ein- und ausgehenden Mails scannt.
Ransomware wurde bisher zuverlässig aussortiert. Zusätzlich ist er so konfiguriert, das Officedateien mit Makros (weit verbreiteter Verbreitungsweg von Ransomware) aussortiert werden.

Sollte sich trotzdem ein Schädling einnisten (Ransomware wird vereinzelt auch über manipulierte Webseiten verbreitet):
Bei uns läuft eine tägliche Sicherung auf LTO-Bänder im Mehrgenerationen-Prinzip.
Damit kann ein Schädling die Sicherung gar nicht befallen.
Eine Hardwarefirewall ist ebenso selbstverständlich vorhanden.
Das administrative Netz steckt in einem separaten VLAN, kein User hat auf seinem Rechner Adminrechte.
 
Digi-Quick schrieb:
Ein vernünftiges Backupprogramm braucht keine verbundenen Netzlaufwerke (Net Use) sondern sichert direkt auf UNC Pfade (//Server/Freigabe) ins Netzwerk oder gar auf einen FTP Server - oder eine AFP (Apple) oder NFS Freigabe.
Das kann sogar Robocopy :)
Zum Vergrößern anklicken....

Darauf soll man sich ernsthaft verlassen? Es ist/wäre ein leichtes, private IP Netze nach derartigen Freigaben zu scannen. Und nicht nur das, es finden sich auf der Platte des Users haufenweise Informationen über schon besuchte Shares, FTP Freigaben, NFS Shares usw.
Nen Laufwerksbuchstaben brauch es dazu schlicht nicht. -> Schützen tut das weglassen aber genau NULL.

Einzig die Möglichkeit, nen anderen Account zu nutzen wäre hier eine Art Schutz, wenn auch nicht so extrem viel. Denn das PW zum User muss irgendwo stehen. Man sollte nicht dem Irrglauben verfallen, dass Personen, die sich überhaupt die Arbeit machen, solches Zeug zu programmieren, absolut keinen Plan von "Sicherheitssoftware" am Markt hätten. PWs müssen also irgendwo stehen. Verschlüsselt/gehasht -> möglicherweise ja, aber auch da steht irgendwo, wie die Software da ran kommt. Sogut wie keine Backup Software verlangt die Eingabe der Accessdaten -> weil es sich dann nicht mehr automatisieren lassen würde/wird.

Nimmt man es genau, so sind reine Synctools sogar potentiell problematisch... Weil damit idR Zugriff auf die schon getätigten Backups vorhanden ist. Und das nicht nur RO, sondern eben RW -> wenn es um ein reines Share (SMB, (S)FTP(S), NFS oder ähnliches) geht.
Die sicherste Version wäre wohl, eine Herstellerpropritäre Schnittstelle anzusprechen, die die Daten dann nach Abschluss des Backups nur noch RO bereit stellt, wenn überhaupt.

Digi-Quick schrieb:
Mein Spruch dazu: "Wenn eine Personal Firewall aktiv was verhindern muß, dann ist der Hacker schon im LAN." ;)
Ist natürlich eine weitere Hürde.
Zum Vergrößern anklicken....

Denk mal andersrum -> es muss ja nicht "der Hacker" sein -> eingefangene Schadsoftware, die bspw. Spammails raus schickt, interne Netze discovert, sonstweden Unsinn versucht anzustellen. -> das blockst du damit bzw. kannst du potentiell damit blocken.
Wobei mittlerweile reine IP/Port Beschränkungen gar nicht mehr so sinnig sind -> das sollte schon eher in Richtung Verhaltensmusterüberwachung gehen...

passat3233 schrieb:
In meiner Firma haben wir einen eigenen Exchangeserver.
Auf dem Exchange läuft eine Antivirensoft, der alle ein- und ausgehenden Mails scannt.
Ransomware wurde bisher zuverlässig aussortiert. Zusätzlich ist er so konfiguriert, das Officedateien mit Makros (weit verbreiteter Verbreitungsweg von Ransomware) aussortiert werden.
Zum Vergrößern anklicken....

Mal aus interesse, wie verhindert ihr, dass nicht Schadcode embedded in einem Word/ExcelPowerPoint File durchgelassen wird? Am Filename? -> docm/dotm oder xlsm/xltm kann man blocken. -> doc/dot und xls/xlt aber hingegen wiederum nicht ohne Mehraufwand.
Wir hatten nämlich jüngst bei uns eine docx mit einer eingebetteten doc mit Macro drin. Das Ding hat keine Software gefunden, leider muss man sagen ;)

dirk11 schrieb:
Andererseits glaube ich sowieso, daß es hier nur um Hobby geht, denn kein normal denkender Mensch läßt im Business-Umfeld eine Backup-Platte dauerhaft im System. Sowas machen nur Kellerfrickler.
Zum Vergrößern anklicken....

Warum? Das ist doch alles eine Frage von Konzept und Backupplan...
Hast du bspw. nen virtuellen Linux/Windows Fileserver, was hindert sich daran einfach aus einem abgetrennten Netzbereich herraus eine application consistente VM-Sicherung (Voll-, Incr- oder Differenziell) zu tätigen, als Ziel eine Windows/Linux Möhre mit besagter Backup HDD zu nutzen und trotzdem ruhig schlafen zu können? Es kommt doch NIEMAND (wenn man es nicht verkackt) aus dem SAN Bereich in den LAN Bereich und umgekehrt. Am Besten nutzt man dann noch Snapshots auf dem Storage System und vielleicht sogar "direct SAN access" ähnliche Verfahren. Denkbar wäre dazu, dass dieses Backup nur die erste Stufe ist -> und eine Replikation auf Bänder, externen Standorte, in die Cloud oder wo auch immer hin stattfindet usw.

Pauschalisieren ist da nicht sinnvoll!!
 
fdsonne schrieb:
Mal aus interesse, wie verhindert ihr, dass nicht Schadcode embedded in einem Word/ExcelPowerPoint File durchgelassen wird? Am Filename? -> docm/dotm oder xlsm/xltm kann man blocken. -> doc/dot und xls/xlt aber hingegen wiederum nicht ohne Mehraufwand.
Wir hatten nämlich jüngst bei uns eine docx mit einer eingebetteten doc mit Macro drin. Das Ding hat keine Software gefunden, leider muss man sagen ;)
Zum Vergrößern anklicken....

Keine Ahnung, wie die Antivirensoftware da vorgeht.
Als Erkennungsmuster ist da nur "Word mit Makro", "Excel mit Makro" etc. auswählbar.
Es werden aber auch .doc, .docx, .xls, .xlsx etc. mit Makro ausgefiltert.
Die Software schaut also tatsächlich ins Dokument rein und verlässt sich nicht nur auf den Dateinamen.
Das klappt auch, wenn die Dateien z.B. gezippt wurden.

Interessant ist dabei übrigens, das die Spammer und Schädlingsverbreiter auch Wochenendpause machen.
Am Wochenende ist das Aufkommen entsprechender Mails deutlich reduziert. Oft kommen am Wochenende gar keine mit Schädlingen verseuchte Mails.
Es passiert auch manchmal, das 2 oder 3 Tage lang keine entsprechenden Mails eingehen und dann gibts wieder Tage, an denen 200-300 solcher Mails rein kommen.
 
gelöscht
 
Zuletzt bearbeitet von einem Moderator:
Jipp bin schon ein wenig erschlagen von dem massiven Input ;P
Lese aber wissbegierig mit und mach mir Randnotizen(schau hier mehrmals täglich rein). Die Empfehlung zwecks Panda Adaptive Defence 360 und Macrium Reflect halte ich für umsetzbar und diese auch schon besprochen.
Müssen sicher noch 1-2 Tage vergehen bis der Stein ins Rollen gebracht wird.

Trotzdem vielen Dank an alle
 
@fdsonne
Du solltest auch meinen voherigen Post lesen #9!
http://www.hardwareluxx.de/community/f67/ransomware-schutz-backup-plan-1141668.html#post25064909

Der Aufwand ein verschlüsseltes Passwort aus einem Backupprogramm für den Zugriff auf eine Netzwerkfreigabe - die nur für den Backupuser Schreibzugriff erlaubt - zu extrahieren dürfte ungleich höher sein, als der Zugriff auf bereits im Userkontext gemapte Netz-Laufwerke.
Daß Robocopy in diesem Kontext nicht gerade das ideale Backupprogramm ist, kann man sicherlich so unterschreiben.
 
passat3233 schrieb:
Keine Ahnung, wie die Antivirensoftware da vorgeht.
Als Erkennungsmuster ist da nur "Word mit Makro", "Excel mit Makro" etc. auswählbar.
Es werden aber auch .doc, .docx, .xls, .xlsx etc. mit Makro ausgefiltert.
Die Software schaut also tatsächlich ins Dokument rein und verlässt sich nicht nur auf den Dateinamen.
Das klappt auch, wenn die Dateien z.B. gezippt wurden.
Zum Vergrößern anklicken....

Weiterführend dazu, kannst du mal testen ob bei euch/dir ein Word File mit einem eingebetteten Makroaktivieren Word File durchgeht?
Wenn man den äußeren Container auf macht hast du dann effektiv nur die leere Word Seite, wo oben links einfach ein weiteres Word Symbol zu sehen ist -> klickst du das doppelt an, dann geht das interne/eingebettete Dokument auf. Im Container außen ist dabei kein Makro drin geschweige denn sichtbar. Das Problem was diese Art erzeugt -> es ist halt docx außen, sprich komprimiert und damit nicht im Klartext so ohne weiteres von außen sichtbar, das da drin in den Eingeweiden noch ein weiteres, Makroaktiviertes Worddokument steckt... -> sowas kam bei uns die Tage nämlich mal durch. Und die Telefone klingelten heiß, weil die User fragten, ob sie das öffnen dürfen oder nicht :fresse:

Digi-Quick schrieb:
@fdsonne
Du solltest auch meinen voherigen Post lesen #9!
http://www.hardwareluxx.de/community/f67/ransomware-schutz-backup-plan-1141668.html#post25064909

Der Aufwand ein verschlüsseltes Passwort aus einem Backupprogramm für den Zugriff auf eine Netzwerkfreigabe - die nur für den Backupuser Schreibzugriff erlaubt - zu extrahieren dürfte ungleich höher sein, als der Zugriff auf bereits im Userkontext gemapte Netz-Laufwerke.
Zum Vergrößern anklicken....

Hab ich, keine Angst... Mir gings eher darum zu betiteln, dass es effektiv keine Sicherheit dazu gibt. So oder so. UNC Pfade und Berechtigungen abseits des normalen Userkontextes sind eine zusätzliche Hürde, aber bringen halt effektiv keine Sicherheit. Vor allem, wenn die Schadsoftware "clever" ist.

Mich wundert aber sowieso, was die da manchmal für nen Mist zusammenschustern :fresse: Mit ein wenig willen und ein paar Zeilen mehr Code könnte das ganze extrem übel werden für die Geschädigten. Vor ALLEM im Unternehmensumfeld!
Aber vielleicht bin ich da auch zu sehr Aluhutträger und die wollen sowas gar nicht? Keine Ahnung... Wäre das mein Geschäft, ich würds machen ;) Ich stehe aber im Moment eher auf der anderen Seite und versuche sowas zu verhindern :fresse:
 
Anmelden, um zu antworten.
Hardwareluxx setzt keine externen Werbe- und Tracking-Cookies ein. Auf unserer Webseite finden Sie nur noch Cookies nach berechtigtem Interesse (Art. 6 Abs. 1 Satz 1 lit. f DSGVO) oder eigene funktionelle Cookies. Durch die Nutzung unserer Webseite erklären Sie sich damit einverstanden, dass wir diese Cookies setzen. Mehr Informationen und Möglichkeiten zur Einstellung unserer Cookies finden Sie in unserer Datenschutzerklärung.


Zurück
Oben Unten refresh