Hallo,
bei uns in der Gegend kommt eine Komune derzeit nicht aus den Schlagzeilen, nachdem die Stadtverwaltung offensichtlich viele Daten verloren hatte, weil sich irgend ein Mitarbeiter einen Trojaner auf den Rechner gezogen hat, der daraufhin Daten (Wasser-/ Kanalgebühr u.a.) verschlüsselt hat. Gerüchteweise hört man, dass ein Lösegeld gezahlt worden sei, nachdem interne Rettungsversuche gescheitert waren. Ein Teil der Daten konnte damit zwar wieder zurückgeholt werden, ein anderer Teil scheint aber aufgrund vorangegangener stümperhafter Rettungsversuche ganz verloren zu sein. Nicht nur, dass keine Backups vom Stand vor dem Angriff vorhanden wären, selbst nach dem Angriff hat man sich scheinbar keine Kopien der veränderten Datenbestände gezogen, um wenigstens mehrere unterschiedliche Rettungsverusche unternehmen zu können. Nun werden die Bürger gebeten, mit den letzten Abrechnungen auf´s Amt zu kommen, dass man die Daten wieder manuell erfassen könne.
Mein Backupkonzept sieht momentan folgendermaßen aus:
Meine Arbeitsdaten liegen direkt auf dem My Cloud Mirror (“WDMCM”), also nicht auf den lokalen Platten der Rechner. Für das WDMCM ist ein inkrementelles Backup vom Verzeichnis “Public” auf den Ordner “Backup” eingestellt mit regelmäßigen Updates. Desweiteren ist ein Backup auf eine externe Festplatte in der Betriebsart “Synchronisieren” “Automatisch starten, wenn verbunden” aktiv. Die externe Platte ist dauerhaft über ein USB-Kabel, das in einen anderen Brandabschnitt führt, verbunden. Die Spannungsversorgung schaltet über eine Zeitschschaltung nur zu Zeiten an, wenn denen alle Rechner üblcherweise aus sind
Wie sähe das mit einem solchen Angriff in meinem internen Netzwerk (Fritzbox) und mehreren Windowsrechnern aus, wenn so ein Trojane es schafft, einen Rechner zu befallen?
Er könnte dann vermutlich die Daten im Verzeichnis “Public” verändern. Für das Verzeichnis “Backup” habe ich zwar keine Laufwerksbuchstaben vergeben. Über “\WDMCM\Backup” konnte ich aber bislang von überall im LAN / WLAN zugreifen. Dies habe ich nun gesperrt, indem ich meinem einzigen Benutzer “Admin” ein Passwort vergeben habe. ist das Backupverzeichnis somit für einen infizierten Windowsrechner auch nicht mehr erreichbar? Hätte ich somit wenigstens den alten Stand beim letzten Backup vor dem Angriff sicher?
Das Backup auf der externen Platte ginge wohl auch verloren, sobald die Platte verbunden würde, nachdem die Daten auf dem Verzeichnis Public zerstört sind, Hier sollte man also unbedingt den Stecker abziehen, wenn Unregelmäßigkeiten beobachtet werden.
Könnte ein Schädling auch die Firmware des WDMCM dahingehend manipulieren, dass die Daten auf den Platten zerstört werden könnten? Das müsste dann wohl ein sehr speifischer Virus sein, denn, wenn er lediglich die Firmware zerstört, hätte das wohl keinen Einflluss auf meine Daten? Wenn zudem durch eine Manipulation die Backupfunktion auf die exteren Platte deaktiviert würde, würde dort wohl auch der alte Datenstand unverändert bestehen bleiben?
Wenn es zu einem Befall kommen sollte, könnte ich doch eine der beiden Platten meines RAID1 WDMCM ziehen, um einen weiteren Versuch zu haben?
Grüße,
WeinFranke