Ransomware

Ransomware ist Schadsoftware, die in letzter Zeit zunehmend Verbreitung findet. Dabei werden Dateien am infizierten Computer verschlüsselt, i.d.R. Dokumente, Musik, Bilder und Videos. Diese sind somit  für den Anwender nicht mehr zugreifbar. Gegen Lösegeld  über schwer verfolgbare Zahlungssysteme bekommt man (angeblich) die nötige Information um die Dateien wieder zu entschlüsseln.

Zuletzt hat der Erpressungs-Trojaner WannaCry weltweit Microsoft Windows Computer lahm gelegt, in Deutschland u.a. Systeme der Bahn. Durch Zufall konnte die weitere Verbreitung schnell gestoppt werden. Im März wurde von Microsoft bereits der Patch zum Schließen der Sicherheitslücke bereitgestellt. Aktuell mit Windows-Updates versorgte Computer waren also nicht betroffen. Interessant ist, dass zur Preisfindung für das Lösegeld der Big-Mac-Index herangezogen wird. Damit ist der Preis zur Entschlüsselung in der Schweiz am höchsten. Die von politischen Unruhen und Hunger geplagten Venezolaner haben nun also auch noch Pech mit Erpressungs-Trojaner.

WannaCry

Von WannaCry, Gemeinfrei

Wie kann man sich gegen Ransomware schützen?

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat zu Wannacry Stellung bezogen und bzgl. Ransomware im Allgemeinen eine ausführliche Beschreibung zusammengestellt, welche Schutzmaßnahmen getroffen werden sollten. Letztendlich gelten zunächst einmal die selben Empfehlungen wie für jede Schadsoftware. Das sind u.a.:

  • Betriebssystem und installierte Software mit (Sicherheits-) Updates aktuell halten
  • Datensicherung auf externe Datenträger
  • Makros/Skripte in Browser/Office nur bei Bedarf aktivieren
  • mit Bewusstsein für Risiken den Rechner nutzen, d.h. erst denken, dann klicken und Seiten mit dubiosen Inhalten meiden

Ich möchte an dieser Stelle auf das Thema Datensicherung eingehen.

Welche Fallstricke lauern bei der Datensicherung?

Zunächst einmal die Frage: Warum sollte man überhaupt Datensicherungen durchführen?

  • Datenträger sind Verschleißteile. Vor allem bei Speicherkarten (z.B. SD-Karten) und Solid State Drives (SSD) besteht die Gefahr, dass sie plötzlich den Dienst einstellen und nichts mehr zu retten ist. Bei Festplatten hat man ggf. noch Chancen Daten zu retten, eine Garantie gibt es aber auch hier nicht.
  • Menschen machen Fehler und löschen z.B. versehentlich Dateien.
  • Durch Fehler in Software können Dateien ebenfalls unbrauchbar werden.

Wie sollte man also vorgehen?

  • Die Empfehlung lautet zumindest wichtige Daten zu sichern: Dokumente für die Steuer, Familienbilder, Musik, etc.. Wichtig ist dabei nicht den selben Datenträger zu nutzen auf den die Originale liegen, noch besser ein Datenträger in einem anderen System. Wenn man also Originale auf PC oder Notebook hat sollte man auf ein externes Laufwerk, z.B. USB-Festplatte oder Netzwerk-Festplatte (NAS)  sichern. Bei Verlust oder Zerstörung des Originals bleibt die Sicherung auf dem Zweitgerät erhalten.
  • Im Fall von Ransomware werden mit hoher Wahrscheinlichkeit alle lokal angeschlossenen Datenträger wie USB-Festplatten ebenfalls verschlüsselt. Die USB-Festplatte darf also zur Sicherstellung des Schutzes nur für den Zeitraum der Datensicherung angesteckt werden. Werden Netzwerk-Festplatten ebenfalls nur zur Datensicherung eingeschaltet sind die Daten zunächst auch sicher.
  • Netzwerk-Festplatten (NAS) sind grundsätzlich für Dauerbetrieb konzipiert um verschiedene Endgeräte bei Bedarf zu bedienen. So kann man sich z.B. die Urlaubsbilder am Tablet ansehen und am PC bearbeiten. Der Einsatz von RAID-Technologie schützt vor Ausfall der Hardware, gegen Softwareprobleme oder versehentliches Löschen ist das aber kein geeignetes Gegenmittel. Anwender von PCs und Notebooks greifen über sog. Netzwerkfreigaben, i.d.R. CIFS, auf das NAS zu. Ein Erpressungs-Trojaner ist dazu u.U. auch in der Lage und kann die am NAS gespeichrten Dateien verschlüsseln. Wenn also Originale am NAS liegen sollte also dieses gesichert werden, z.B. über eine angeschlossene USB-Festplatte am NAS. Da die Ransomware i.d.R. das Betriebssystem des NAS nicht infiziert kann die USB-Fesplatte dauerhaft angeschlossen bleiben. Wichtig hierbei ist, dass keine Netzwerkfreigabe für die angeschlossene USB-Festplatte am NAS erstellt wird.
  • Eine zusätzliche Möglichkeit sich zu schützen ist die Nutzung von Snapshots. Hierbei wird der Stand des Dateisystems „eingefroren“ und ermöglicht somit bei Überschreiben (z.B. durch Verschlüsselung) oder Löschen einer Datei den Zugriff auf die vorherige Version. Die Verfügbarkeit von Snapshot-Technologie ist abhängig vom verwendeten Dateisystem bzw. Volumemanager. Bei Microsoft Windows steht mit VSS die Snapshot-Funktionalität grundsätzlich zur Verfügung wenn als Dateisystem NTFS verwendet wird. Allerdings ist sie je nach Windows-Version nicht immer einfach zu bedienen. Außerdem besteht bei einem infiziertem Rechner die Gefahr, dass die Schadsoftware nicht nur die Dateien verschlüsselt, sondern auch die Snapshots löscht. Interessanter ist die Funktionalität Netzwerk-Festplatten. Diese nutzen i.d.R. Linux als Betriebssystem. Der Volumemanager LVM unterstützt auf gängigen Dateisystemen wie EXT4 Snapshots. Moderne Dateisysteme wie BTRFS haben die Snapshot-Funktionalität bereits integriert. Leider stellen viele Hersteller von NAS-Systemen die Snapshot-Funktionalität erst in höherpreisigen Modellen zur Verfügung. Eine Alternative dazu kann der Eigenbau eines NAS bzw. Homeservers sein, mit z.B. Linux als Betriebssystem. Es gibt bereits speziell für den Einsatz als NAS angepasste Linux-Distributionen, z.B. OpenMediaVault, Rockstor und Openfiler. Mit FreeNAS steht eine (semi-) professionelle Lösung auf Basis FreeBSD und ZFS als Dateisystem zur Verfügung. Am LUG-Stammtisch können gern Fragen gestellt und Diskussionen zum Thema NAS und Homeserver geführt werden.

 

Bild: Eigenes Werk von Motormille2 unter CC BY-SA 4.0

Merken

Merken

Merken

Merken

Merken

Merken

Merken

Merken

Merken

Merken

Merken