Bin ich sicher vor Locker-Virus / Trojaner? Backupstrategie?

Hallo,

bei uns in der Gegend kommt eine Komune derzeit nicht aus den Schlagzeilen, nachdem die Stadtverwaltung offensichtlich viele Daten verloren hatte, weil sich irgend ein Mitarbeiter einen Trojaner auf den Rechner gezogen hat, der daraufhin Daten (Wasser-/ Kanalgebühr u.a.) verschlüsselt hat. Gerüchteweise hört man, dass ein Lösegeld gezahlt worden sei, nachdem interne Rettungsversuche gescheitert waren. Ein Teil der Daten konnte damit zwar wieder zurückgeholt werden, ein anderer Teil scheint aber aufgrund vorangegangener stümperhafter Rettungsversuche ganz verloren zu sein. Nicht nur, dass keine Backups vom Stand vor dem Angriff vorhanden wären, selbst nach dem Angriff hat man sich scheinbar keine Kopien der veränderten Datenbestände gezogen, um wenigstens mehrere unterschiedliche Rettungsverusche unternehmen zu können. Nun werden die Bürger gebeten, mit den letzten Abrechnungen auf´s Amt zu kommen, dass man die Daten wieder manuell erfassen könne.

Mein Backupkonzept sieht momentan folgendermaßen aus:

Meine Arbeitsdaten liegen direkt auf dem My Cloud Mirror (“WDMCM”), also nicht auf den lokalen Platten der Rechner. Für das WDMCM ist ein inkrementelles Backup vom Verzeichnis “Public” auf den Ordner “Backup” eingestellt mit regelmäßigen Updates. Desweiteren ist ein Backup auf eine externe Festplatte in der Betriebsart “Synchronisieren” “Automatisch starten, wenn verbunden” aktiv. Die externe Platte ist dauerhaft über ein USB-Kabel, das in einen anderen Brandabschnitt führt, verbunden. Die Spannungsversorgung schaltet über eine Zeitschschaltung nur zu Zeiten an, wenn denen alle Rechner üblcherweise aus sind

Wie sähe das mit einem solchen Angriff in meinem internen Netzwerk (Fritzbox) und mehreren Windowsrechnern aus, wenn so ein Trojane es schafft, einen Rechner zu befallen?

Er könnte dann vermutlich die Daten im Verzeichnis “Public” verändern. Für das Verzeichnis “Backup” habe ich zwar keine Laufwerksbuchstaben vergeben. Über “\WDMCM\Backup” konnte ich aber bislang von überall im LAN / WLAN zugreifen. Dies habe ich nun gesperrt, indem ich meinem einzigen Benutzer “Admin” ein Passwort vergeben habe. ist das Backupverzeichnis somit für einen infizierten Windowsrechner auch nicht mehr erreichbar? Hätte ich somit wenigstens den alten Stand beim letzten Backup vor dem Angriff sicher?

Das Backup auf der externen Platte ginge wohl auch verloren, sobald die Platte verbunden würde, nachdem die Daten auf dem Verzeichnis Public zerstört sind, Hier sollte man also unbedingt den Stecker abziehen, wenn Unregelmäßigkeiten beobachtet werden.

Könnte ein Schädling auch die Firmware des WDMCM dahingehend manipulieren, dass die Daten auf den Platten zerstört werden könnten? Das müsste dann wohl ein sehr speifischer Virus sein, denn, wenn er lediglich die Firmware zerstört, hätte das wohl keinen Einflluss auf meine Daten? Wenn zudem durch eine Manipulation die Backupfunktion auf die exteren Platte deaktiviert würde, würde dort wohl auch der alte Datenstand unverändert bestehen bleiben?

Wenn es zu einem Befall kommen sollte, könnte ich doch eine der beiden Platten meines RAID1 WDMCM ziehen, um einen weiteren Versuch zu haben?

Grüße,

WeinFranke

Hallo Wein_Franke,

Ich nehme an, dass du bei der beschriebenen Situation einen Profi fragen solltest. Jemanden der sich mit der Schadsoftware auskennt. Wenn man eine Firewall aktiviert hat und ein Antivirenprogramm verwendet, sollten solche Angriffe abgewehrt werden.

Den einzig wirkungsvollen Schutz vor Trojanischen Pferden bietet der Verzicht auf die Benutzung von Programmen aus unbekannten oder unsicheren Quellen.

Wenn du das Gefühl hast, dass deine Daten gefährdet sind kannst du noch ab und an eine offline Sicherung auf eine externe HDD erstellen, die nicht immer an den Rechner angeschlossen ist.

Gruss,
Patchy

Antivirenprogramme helfen gegen den Virus Locker derzeit nicht! und eine Firewall erst recht nicht.
Das einzige was wirklich hilft ist Brain 1.0 oder man blockt generell alle DOC(X) Dateien die per Mail kommen).

Hallo!

Danke für die beiden Stellungnahmen. Eine regelmäßige Sicherung auf wechselnden externen Platten, die zwischenzeitlich an einem anderen Ort gelagert werden, scheint das sicherste zu sein.

Ein Bekannter, der vor ein paar Jahren in einem kleinen Softwareunternehmen gearbeitet hat, erzählte mir, bei ihnen seien Bandkopien des täglichen Serverstandes mehrer Monate “im Bunker” gelagert worden. Weder er noch die meisten seiner Kollegen wussten, wo dieser Bunker war. Er vermutet aber, sie seien täglich in ein Bankschließfach gebracht worden.

So einen Aufwand will ich natürlich als Besitzer von nur mäßig sensiblen Daten nicht treiben. Interessant wäre es für mich aber gewesen, wie die Spezialisten das Risiko einschätzen, dass ich mir in meinem Windows-System einen Trojaner einschleuße, der auch aktiv das LINUX-basierte Backupsystem meiner MyCloudMirror und somit auch die Backups, an die ich über Windows eigentlich ohne Passwort gar nicht herankomme, abschießen kann.

Herzliche Grüße,

Wein_Franke

Die Frage ist doch in dem Zusammenhang, verschlüsseln solche Viren nur den einen Rechner auf dem sie ausgeführt werden oder ganze Netzwerke? Ist letzeres der Fall ist die My Cloud auch hinüber weil da einfacher Zugriff über eine Freigabe möglich ist.
Ich hab es in einem anderen Posting bereits geschrieben, ich bin es leid immer mit USB Platten hantieren zu müssen zumal man bei der Mirror nie weiß ob es grade klappt oder mal wieder nicht. Also hab ich mir aus eh vorhandener Hardware einen Unraid Server gebaut der nur für das Backup da ist und nur dafür per Wake on lan gestartet wird. Per default ist das Array nach dem Boot Off-Line, so das, selbst wenn ein Virus den Server per WOL starten könnte man das Array noch immer manuell über das WebUI des Server OS On-Line bringen müsste.
Da beide Syteme nichts mitbringen für die Synchronisation mache ich das mit DSynchronize, einem kleinen kostenlosen Windows Programm das die Synchonisation übers Netzwerk super erledigt. Die USB Platten hab ich noch zusätzlich, ich werde die Backupintervalle aber deutlich strecken. Das 4 Festplatten bez. 2 Geräte gleichzeitig ausfallen ist doch recht unwahrscheinlich. Außerdem geht es bei mir nur um rund 330GB Daten, da kann man noch recht einfach mit hantieren.

Hallo rl2664,

seit einiger Zeit laufen die über Zeitschaltuhr gesteuerten Backups auf die USB-Platte trotz Abschaltung ohne Abmeldung zuverlässig. Ausgenommen nach Stromausfällen. Da muss ich die MCM dann manuell über das Dashboard herunterfahren und neu starten.

Im Fall der betroffenen Komune gehe ich davon aus, dass Daten auf dem Server verschlüsselt wurden. Jedenfalls glaube ich nicht, dass die Wasser- und Stromrechnungen der Stadtwerke
lokal auf einem einzigen Rechner liegen. Und im Falle meines MCM hoffe ich eben, dass die Schadsoftware meine Backups nicht zerstört, da ich ohne Kennwort auf Windowsebene nur an die Freigabe “Public”, nicht aber an die Freigabe “Backup” herankomme. Und über das Backup denke ich im Fall des Falles 10 verschiedene Momentaufnahmen im Abstand von je einer Woche abrufen zu können.

Wie gesagt, “hoffe ich”…

Bei dir lese ich “Synchronisation übers Netzwerk” mit einem kostenlosen Windows Programm. Synchronisation bedeutet hoffentlch nicht Überschreiben der alten Backups. Denn sonst sind die alten Daten natürlich auch weg, wenn der Angriff erst nach dem Synchronisationsvorgang erkannt wird.

Grüße,

Wein_Franke

Synchronisation ist für mich kein Problem, da ich alles manuell von Hand mache. Da fällt vorher bereits auf wenn was nicht stimmt. Außerdem haben meine Daten ja “nur” einen hohen ideellen Wert und ich denke 2 Geräte und 4 Festplatten reichen aus um sicher zu sein. Zumal ich ja halbjährlich USB Backups mache. Wenn das alles nicht reicht, dann ist es eben Pech.