Einfach zu handelnde Backupstrategie für unerfahrenen Nutzer
- Ersteller s0nny
- Erstellt am
purzelbär schrieb:
Ja, aber die externe Festplatte ist dann ja nicht angeschlossen. Die Backups sollen regelmäßig auf der lokalen Platte gemacht werden und die externe Platte soll nur ab und zu angeschlossen werden, um die Backups zu sichern. Klar ist es theoretisch möglich, dass Locky genau dann zuschlägt, aber das ist doch "relativ" unwahrscheinlich und kann in diesem Fall denk ich in kauf genommen werden. Soweit ich weiß verschlüsselt Locky sofort nachdem man sich infiziert hat, wenn man den PC also in dem Moment, in dem man die externe Platte angeschlossen, in ruhe lässt, sollte das Risiko nochmals minimiert sein.
Wie oft die Platte letztendlich angeschlossen wird um die Backups zu sichern, liegt dann natürlich an der jeweiligen Person selbst. Aber ich finde soviel eigeninitiative ist dann doch noch zumutbar.
Und zu den AV Programmen, es gibt von Malewarebytes ein Programm namens "Anti Ransomware", welches sich allerdings noch in der Betaphase befindet. Dieses wird zusätzlich zu bestehenden AV Lösungen installiert, und überwacht, ob ein Prozess innerhalb kürzester Zeit sehr viele Dateien ändert. Habe tests mit TeslaCrypt3 gesehen, wo dieses Programm das verschlüsseln komplett verhindert hat und bei Locky hat es nach ca 20 Dateien interveniert. Wie sehr man sich letztendlich darauf verlassen sollte steht natürlich auf einer anderen Seite aber zusätzlich sicherlich nicht verkehrt.
Ich weiß nicht wie das genau ist mit ikrementell. Aber das heißt doch dass nur die Veränderungen gespeichert werden, was dann aber wiederum heißt dass ich für Backup2 auch Backup1 brauche um es wiederherzustellen oder nicht?bubu9 schrieb:
Das Locky was es JETZT gibt ja, aber wie gesagt würde mich an solchen Dingen nicht aufhängen die blitzschnell geändert werden können von den Entwicklern. Also man sollte sich darauf nicht verlassen bei einer Backupstrategie denn ändern die Entwickler was, biste dennoch der Gefickte dann wenn du dich eben auf diese eine Eigenschaft verlassen hast
Zuletzt bearbeitet:
Ilsan schrieb:
Ja gut, aber wenn man es so sieht ist es ja unmöglich, 100% geschützt zu sein. Dann müsste ich ja Vollbackups über einen längeren Zeitraum auf verschiedenen Datenträgern bereitstellen was für diesen Anwendungsfall übertrieben wäre.
s0nny schrieb:
Verstehe ich nicht. Ein Vollbackup auf einem niemals an den Computer angeschlossenen Datenträgers reicht doch. Gefährdet sind inkrementelle Backups, weil bei Zerstörung auch nur eines inkrementellen Backups das System nicht mehr wiederhergestellt werden kann. Deshalb ja die FTP-Idee, auf die Locky praktisch keinen Zugriff hat. Wenn man keine NAS zur Verfügung hat mit FTP, die das ganze automatisiert, könnte man ja auch per Hand auf verschiedenen USB-Datenträgern differentielle Backups machen. Dann ist es völlig egal, wenn eines der Backups von Locky verschlüsselt wurde.
Zuletzt bearbeitet:
purzelbär
Admiral
- Registriert
- Feb. 2012
- Beiträge
- 8.764
Ich hab in 2 Foren von 2 jeweils verschiedenen aber erfahrenen Usern gelesen das EAM bzw Hitman pro Alert jeweils Locky komplett stopten und dieser nichts verschlüsseln konnte. Ausserdem ist das Tool von Malwarebytes noch Beta, sollte nicht auf einem Produktiv System verwendet werden.
purzelbär schrieb:
Als Administrator würde ich beides kombinieren. Brauchbaren Schutz und eine gute Backup Strategie. Wer weiß, was noch kommt. Ich bin leider für etwa 1000 Rechner zuständig. Um Mittel für neue kostenpflichtige Software genehmigt zu bekommen dauert es Monate. Trotzdem Danke für den Tipp.
bubu9 schrieb:
Klar könnte man das machen, aber das widerspricht der Anforderung, dass es für einen absoluten Laien machbar sein soll. Und auch wenn man jetzt vll sagt, son Backup auf nen Datenträger zu kopieren sollte jeder hinkriegen - NEIN!
Hab da schon so einiges gesehen...s0nny schrieb:Klar könnte man das machen, aber das widerspricht der Anforderung, dass es für einen absoluten Laien machbar sein soll. Und auch wenn man jetzt vll sagt, son Backup auf nen Datenträger zu kopieren sollte jeder hinkriegen - NEIN!
Traurig aber wahr.
purzelbär
Admiral
- Registriert
- Feb. 2012
- Beiträge
- 8.764
Kann ja wohl nicht sein oder:rolleyesdu bist in deiner Firma zuständig für 1000 Rechner und suchst Hilfe in einem Forum wo überwiegend Heimanwender sind? Dein Chef muss da aktiv werden und bei Bedarf Profis kommen lassen und bezahlen die die Rechner in eurer Firma absichern und für die genannten Schutzlösungen gibt es so weit ich weiß auch Firmenversionen bzw Firmenlizenzen. Wenn dein Chef zu geizig ist in Sachen Schutz vor Locky aktiv zu werden, dann sind wir hier machtlos.bubu9 schrieb:
purzelbär
Admiral
- Registriert
- Feb. 2012
- Beiträge
- 8.764
Tut mir leid das ich das schreibeaber dazu fällt mir nur ein pruch ein: "Schlimmer geht immer"Trotzdem: Dein Chef hat sich darum zu kümmern oder will er Russisch Roulette spielen und hoffen das eure Einrichtung oder was auch immer verschont bleibt? ein Klick eines Mitarbeiters von euch der einen Mail Anhang öffnet als Beispiel wird verheerende Folgen haben wenn Locky aktiv wird.
Kannst ja mal folgendes Morgen deinem Chef zeigen:
http://www.emsisoft.de/de/business/
http://www.surfright.nl/en/shop/business
Zu Hitman Pro sei gesagt: wenn man sich eine Lizenz für Hitman Pro kauft kann mit dieser Lizenz auch Hitman Pro Alert installiert und aktiviert werden. Ich habe aber in einem anderen Forum gelesen das die Lizenzpolitik von Hitman geändert werden soll/überarbeitet werden soll.
aber dazu fällt mir nur ein pruch ein: "Schlimmer geht immer"Trotzdem: Dein Chef hat sich darum zu kümmern oder will er Russisch Roulette spielen und hoffen das eure Einrichtung oder was auch immer verschont bleibt? ein Klick eines Mitarbeiters von euch der einen Mail Anhang öffnet als Beispiel wird verheerende Folgen haben wenn Locky aktiv wird.Welche Aussage?
Kannst ja mal folgendes Morgen deinem Chef zeigen:
http://www.emsisoft.de/de/business/
http://www.surfright.nl/en/shop/business
Zu Hitman Pro sei gesagt: wenn man sich eine Lizenz für Hitman Pro kauft kann mit dieser Lizenz auch Hitman Pro Alert installiert und aktiviert werden. Ich habe aber in einem anderen Forum gelesen das die Lizenzpolitik von Hitman geändert werden soll/überarbeitet werden soll.
Zuletzt bearbeitet:
purzelbär
Admiral
- Registriert
- Feb. 2012
- Beiträge
- 8.764
Wie ich schon schrieb: du hast Vorgesetzte mit denen du im Gespräch darauf aufmerksam machen musst was für eine Gefahr in dem Fall für die Schulen die du betreust lauert durch Locky und Konsorten. Glaubst du zum Beispiel eine Sekretärin in einer deiner Schulen hat nur ein bisschen Ahnung von PC Sicherheit? vergiss es
s0nny schrieb:
Also ich habe bei mir zuhause meine Daten auf dem NAS liegen. Auf den PCs liegen sowieso nur Kopien, oder man hat die Kopie auf dem NAS, wie mans möchte halt und benutzt das NAS als Backup.
Im NAS laufen 2 Festplatten die als Mirror laufen, Dateisystem ist ZFS das bringt sowas schon direkt mit. Ebenso bringt es Snapshots mit, welche in Windows über "Vorherige Version" sichtbar sind.
Diese Snapshots sind Readonly (unabhängig von den Rechten die man auf die Freigabe hat, selbst bei Vollzugiff sind sie nicht löschbar oder veränderbar). Ich mache täglich einen Snapshot.
Diese Snapshots kann nur der Server/NAS löschen, das dieser sich infiziert ist relativ unwarscheinlich, da es für Solaris eh relativ wenig Viren (leider auch Software lol) gibt. Noch dazu installiere ich da im Grunde nur das nackte OS und das Webinterface, also das allernötigste, keine dubiosen Programme weiter. Das NAS stellt nur Netzwerkfreigaben bereit, nicht mehr und nicht weniger.
Ein Trojaner müsste sich also schon per putty beispielsweise auf das System einloggen. Wer noch einen Schritt weitergehen will führt dann administrative Dinge nur am Server selbst durch und niemals von irgendeiner Client Maschine aus.
Für einen Trojaner dürfte es also in dem Fall quasi unmöglich sein groß was zu löschen. Maximal die Arbeit eines Tages, weil ich nur täglich Snapshots machen, was aber letztendlich mit einer Einstellung verändert werden kann.
Vorteil in meinen Augen: Man kann mit den Netzwerkfreigaben ganz normal arbeiten und muss sich weiter keinerlei Gedanken machen.
Bei einem Befall mache ich die Client Maschine platt und mache am Server einen Rollback der Daten/Verzeichnis falls bei der Freigabe auch Daten zerstört worden sind.
Das wichtigste ist einfach dass das Backup Readonly ist von den Rechnern von den man arbeitet aus. Der Vorteil ging ja verloren als man Backups nicht mehr auf CDs/DVDs gebrannt hat sondern auf Festplatten. Auch der Schalter an den Floppy Disks für Readonly war damals gar nicht so dumm, weil es hier einfach physikalischen Eingreif durch den Mensch bedurfte um das ganze zu ändern.
Zuletzt bearbeitet:
purzelbär
Admiral
- Registriert
- Feb. 2012
- Beiträge
- 8.764
Ilsan, lese mal im Trojaner Board mit, so wie ich da gelesen habe, sind auch NAS nicht vor Locky sicher und ich meine mich zu erinnern das es dort User mit NAS gab, deren NAS Systeme auch von Locky verschlüsselt wurden. Frag dort wenn du magst einfach mal bei einem User des Kompetenz Teams dort deswegen nach.
Hab da noch etwas gefunden:
Hab da noch etwas gefunden:
Quelle: http://www.notebook-doktor.de/2016/02/gefaehrlicher-virus-locky-kann-alle-ihre-daten-verschluesseln
Zuletzt bearbeitet:
