Schutzmaßnahme vor Verschlüsselungstrojanern

    Mein Backupkonzept: Wenn nötig (neuere Dateien) werden die Daten meines NAS mit FreeFileSync auf einen Linuxsrechner synchronisiert („Aktualisieren“). Er fährt hoch, mountet das Samba-Share, vergleicht und kopiert die Daten zu sich her.


    Zuvor überprüfe ich manuell stichprobenartig, ob die Daten durch einen Verschlüsselungstrojaner bereits verschlüsselt wurden. Diesen Check würde ich gerne etwas professioneller gestalten.


    Aber wie? Wenn ich zum Beispiel wüsste, mit welchen Dateien dein Trojaner mit dem Verschlüsseln beginnt, wäre es leichter. Er wird ja sicher nicht die erste Datei verschlüsseln, deren Dateinamen mit „a“ beginnt. Auch nicht die erstbeste Datei in jenem Ordner, der zuoberst angezeigt wird.


    Fallen euch bessere Anhaltspunkte ein, welche Dateien überprüfen werden sollten, bevor FreeFileSync mit dem Syncen beginnt? Ich könnte bei zehn Dateien (oder bei dreißig) einen inhaltlichen Vergleich durchführen. Erst wenn dieser keine Unterschiede ergibt, fängt FreeFileSync (oder das jeweilige andere Backupprogramm) mit dem Kopieren an.


    Ich weiß, dass das allein kein ausreichender Schutz vor Trojanern ist. Der beste Schutz ist, sie nicht auf den PC zu lassen. Da bin ich auch vorsichtig. Dennoch würde ich mein Backupkonzept gerne in die angedeutete Richtung ausbauen.


    Habt ihr irgendwelche Ideen? Gibt es da verwertbare Erkenntnisse, wie diese Schadprogramme arbeiten?

    Wie so eine Ransomware genau vorgeht und arbeitet kann sich ja tagtäglich ändern...

    Da sie auf Dateiebene arbeitet, wird sie sicherlich ordnerweise vorgehen, so habe ich es jedenfalls einst selbst erlebt.

    Oft werden auch nur kleinere Dateien verschlüsselt, daher würde ich speziell auf diese ein Auge haben.

    Dass nur manche Dateien oder Ordner verschlüsselt werden, ist mir noch nicht aufgefallen, daher würde ich von allen Freigaben den ein oder anderen Ordner der ersten Ebene zu kontrollieren.


    Wenn die Ransomware auf Deinem Rechner ausgeführt wird und in dem Moment Zugriff auf das NAS besteht, würde diese sicherlich zunächst den Rechner verschlüsseln, das bekommst Du sicherlich mit.


    Ansonsten kann ich für den besten und komfortabelsten Schutz nur empfehlen etwas Geld in die Hand zu nehmen, zB für eine externe HDD und darauf ein versioniertes Backup einzurichten.

    Ja, einfach zu syncen ohne Versionsverwaltung und Rotationsprinzip ist ein schlechter Schutz vor ungewollter Verschlüsselung.


    Werde wohl wieder mit borgbackup oder rsnapshot oder Back in Time arbeiten. Eigentlich wollte ich es einfacher haben und nicht unsicherer … ?(

    Kann man nicht eigentlich irgendwie ein skript laufen lassen, was geänderte Dateien zählt von einem bestimmten Zeitpunkt? Bei so einem Trojaner müsste dann doch die Anzahl extrem ausschlagen, was auf solche Aktivitäten hinweist?

    ... Und was macht man dann wenn man weiß dass gerade eventuell Ransomware zugange ist? :)

    wie wäre es denn mit einen shutdown befehl :D was machst du denn an deinem laptop, wenn du so ein spannendes Verhalten erkennst?

    Das ganze kann ja noch mit einem Log oder sowas dokumentiert werden, damit man weiß, warum das licht ausgegangen ist?

    Ruhig bleiben und schauen was man dagegen machen kann, abschalten ist nicht unbedingt geeignet sondern kann es schlimmer machen...

    Also wenn ich von dem Szenario vom TE ausgehe, geht doch irgendwann ein externer Rechner auf das NAS und schaut sich erstmal die Daten an, bevor das Backup kommt. Von dem gehe ich jetzt natürlich aus. Ob da gerade ein Trojaner aktiv ist oder nicht.... der externe Rechner ist aber am besten geschützt, wenn die Verbindung so schnell wie möglich unterbrochen ist. Das Backup läuft ja auch nicht just in time. Das wird ja sicher nur einmal am Tag gemacht

    Ja, ich arbeite im Prinzip so: Ich arbeite auf den Rechnern A, B, C (Desktop, Smartphone, Tablet) und produziere dort sichernswerte Daten (Adressbucheinträge, Notizen, Fotos, Videodateien, gerippte Audio-CDs…).


    Spätestens nach ein paar Tagen werden die hinzugekommenen Daten auf das NAS in die Zielordner gesichert oder verschoben.


    Am selben Tag oder nach ein paar Tagen schaue ich mir stichprobenartig einige Dateien auf dem NAS an, ob sie heil sind. Dann Backuprechner starten und


    Ein Skript, das alle Zugriffe auf das NAS protokolliert und mich 1 x pro Tag über E-Mail benachrichtigt, könnte ich mir gut vorstellen. Es läuft nicht 24/7, sodass ich zig Mal pro Tag auf 17 Order zugreife. Sondern der Regelfall ist das einmalige Kopieren neuer Ordner/Dateien in vorhandene Ordner.