Ransomware plus überwachter Ordnerzugriff

[PeterTit]

Moin,
durch Zufall bin ich auf Folder Guard gestoßen, durch eine anschließende Recherche auch auf den windowseigenen Schutz vor Ransomware (Rubrik "Windows-Sicherheit -> Ransomware-Schutz-> Überwachter Ordnerzugriff) gestoßen. Ich habe ihn auf "Ein" gesetzt und auch gleich die Reaktion erlebt: Der Zugriff von Lookeen auf einen geschützten Ordner wurde blockiert. Gehe ich jetzt Recht in der Annahme, dass solchermaßen geschützte Ordner auch sicher wären vor eine Ransomware Attacke?

Gruß
Peter

 

[Dr. McCoy]

Das ist sogar prinzipiell die eigentliche Idee dahinter gewesen, als Microsoft dieses Feature in 1709 erstmalig eingebaut hat. Einziger verlässlicher Schutz vor Ransomware sind allerdings nur externe Backups nach klar definierter und konsequent umgesetzter Struktur. Aber genau die fehlen den meisten, die sich dann auf solche Features verlassen.

 

[PeterTit]

Das ist klar; Backups sind generell empfehlenswert nicht nur als Schutz vor Ransomware. Nichtsdestotrotz würde mich interessieren, ob Ransomware bzw. bestimmte Schädlinge diesen Schutz überwinden können?

 

[F4T4L1TYftw]

Spontan würde ich sagen alles lässt sich überwinden 😶

 

[Lee Monade]

Gehe ich jetzt Recht in der Annahme, dass solchermaßen geschützte Ordner auch sicher wären vor eine Ransomware Attacke?

Ich bin kein Ransomware Profi, daher weiß ich nicht mit welchen Rechten Ransomware ausgestattet ist.
Aber wenn ein Ordner geschützt ist und ein Zugriff zb nur mit einem Passwort zugänglich ist könnte das vor einer Verschlüsselung schützen, aber wie gesagt ich bin da kein Profi und würde mich nicht darauf verlassen.

 

[PeterTit]

Wenn ich Malware-Programmierer wäre, würde ich vor dereigentlichen Ransomware-Attacke den Defender deaktivieren, denn dieser schlägt hier Alarm.

 

[0x8100]

aus interesse habe ich das feature mal aktiviert/deaktiviert und beides triggert uac. typische ransomware läuft mit den rechten des users und kann damit den schutz nicht deaktivieren (sonst wäre das feature auch sinnlos ). hat malware die benötigten adminrechte dann hat man sowieso verloren.

ein mögliches szenario wäre noch, dass malware ohne besondere rechte ein anderes (erlaubtes) programm dazu nutzt, eigentlich geschützte dateien zu löschen oder zu überschreiben. k.a. ob microsoft auch den process-tree überprüft, wenn etwas mit einer geschützen datei passiert.

 

[Dr. McCoy]

Backups sind generell empfehlenswert nicht nur als Schutz vor Ransomware.

Zwingend erforderlich, nicht nur empfehlenswert.

Nichtsdestotrotz würde mich interessieren, ob Ransomware bzw. bestimmte Schädlinge diesen Schutz überwinden können?

• Microsoft selbst bietet eine Illustrations-Option:
  • https://learn.microsoft.com/en-us/m...d-folder-access-test-tool?view=o365-worldwide
  • https://demo.wd.microsoft.com/Page/CFA2
• Ziemlich früh gab es schon Überlegungen eines Bypasses.
• Ransomware wird es damit sicherlich erschwert, als ausgeschlossen sehe ich eine Datenverschlüsselung durch Ransomware dadurch aber nicht, zumal es immer wieder Sicherheitslücken gibt, die auch mal an dieser Stelle Ansätze für ein Aushebeln liefern.