Verfahrensanweisung: Ransomware Befall

tiermutter

Well-known member
Ich hab da nochmal einen, ist mir gerade nebenbei in den Sinn gekommen.

Ransomware stellt eine immer größer werdende Gefahr dar, von der ich ein ähnlich mulmiges Gefühl bekomme, wie von einem AKW in der Nachbarschaft.
Auch wenn man alle erdenklichen Präventionsmaßnahmen ergreift, kann es einen immer erwischen. Nicht zuletzt deshalb habe ich etliche, teils versionierte Backups, die den Schaden (auch in anderen Fällen) minimal halten sollen.
Wie ich das Backup wiederherstelle ist erprobt und bekannt, das ist ultimativ wichtig, klar.
Bei einem Ransomware Befall (oder allgemein Virenbefall) ist die Vorgehensweise auch eindeutig und klar... Ja... Klar... Oder doch nicht?

Ich kann von Glück reden, dass ich erst einmal "übel" erwischt wurde, und das auch noch ziemlich bewusst, aber darauf will ich nicht näher eingehen. In diesem Fall war ein vom Netzwerk isolierter PC mit Internetzugriff betroffen, den habe ich kurzerhand formatiert und neu aufgesetzt. Mehr Gedanken musste ich mir dank Isolation ja auch nicht machen.
Randnotiz:
Auf dem PC waren dummerweise doch Daten vorhanden, die nicht gesichert waren, was ich bei der "gefährlichen Aktion" nicht bedacht hatte; ich konnte die verschlüsselten Daten aber sichern und einige Wochen später wiederherstellen.


Im üblichen Umfeld, wo ein PC wenigstens mit einem zentralen Datenspeicher vernetzt ist, sieht das aber anders aus. Hinzu kommt, dass so eine Ransomware auch gerne Informationen (gespeicherte Logindaten zB) an die Drahtzieher überträgt. So war es auch in meinem Fall, nur dass ich hier (auf diesem PC) nichts zu befürchten hatte. Ich konnte also ruhig und gemütlich Informationen sammeln. Meist ist aber Gegenteiliges der Fall: Panik!
Wo Panik ist reagiert niemand so selbstverständlich und abgeklärt wie sonst. Wäre ich auf anderem Fuße erwischt worden, hätte ich sicherlich blöd da gestanden und wahrscheinlich unüberlegte Handlungen ausgeübt.
Aber was ist schon unüberlegt? PC/ Gerät ausschalten klingt absolut sinnvoll, hat bei der letzten Angriffswelle auf QNAP aber bewirkt, dass die Wiederherstellung nicht möglich ist.

Grundlegend muss für den Ransomware Befall also eine Arbeits-, Verfahrens- bzw. Handlungsweisung her, ob für Betrieb oder privat; für Backups habe ich sowas ja auch. Aber wie soll das in diesem Fall aussehen?
Wie sieht euer Plan für so einen Fall aus und wie stellt man so einen Plan allgemeingültig zusammen, um für sämtliche "Features" der Ransomware gewappnet zu sein?
 

Mavalok2

Well-known member
Fenster auf, PC / NAS raus. Alles gut. Nicht dass sich die Viren noch über Luft übertragen. :D

Eigentlich hast Du das Zauberwort schon gesagt: Backup. Und zwar aktuelle Backups. Genau genommen gibt es bei einem Malwarebefall nur eine Möglichkeit: Das oder die kompromittierten Geräte sind komplett platt zu machen, neu aufzusetzen und mittels sauberen Backup wieder mit Daten zu bestücken. Irgendwelche Bereinigungsversuche sind eigentlich tunlichst zu unterlassen. Das System und die Daten werden niemals wirklich mehr sicher sein. Man weiß nie richtig, ob nicht irgendwo irgendwas übrig geblieben ist. Im privaten Bereich wird häufig noch irgendwie herumgedoktert. Im geschäftlichen Umfeld ist so etwas ein absolutes No-Go.

Ach ja: Anzeige bei den Behörden / Polizei nicht vergessen. So etwas ist zur Anzeige zu bringen. Im geschäftlichen Umfeld wäre auch noch eine Meldung bei den Datenschutzbeauftragten fällig, sollten entsprechende Daten betroffen gewesen sein. Könnte auch bei einem Verein durchaus möglich sein.
 

tiermutter

Well-known member
... Und wenn man nicht weiß, welche Systeme noch kompromittiert wurden?
Nur weil auf einem Gerät nichts verschlüsselt wurde, bedeutet es js nicht, dass da nichts lauert und wartet oder ggf weiterhin anderen Schaden anrichtet.
Nur weil ein Virenscanner nichts feststellt ist das auf unbestimmte Zeit ja noch kein Garant dafür, dass da nichts schlummert.
 

Mavalok2

Well-known member
Gut, im Prinzip weiß man ja nie zu 100% ob ein System nicht doch schon infiziert ist. Und es kommt auch häufig vor, dass Systeme Schadsoftware enthalten, die nur auf Lauerstellung sind. Dazu kommt, dass Stealth-Schadware und Root-Kits nur sehr schwer bis gar nicht erkannt werden können, im privaten Umfeld erst recht nicht. Aber ein System, welches Symptome zeigt und / oder die Security Software anschlägt, ist meiner Meinung nach ganz klar platt zu machen.
 

rednag

Well-known member
Ich bin bisher zum Glück verschont geblieben.
Noch nie einen Virus oder Verschl.-Trojaner gehabt.
Weder auf dem PC noch auf den NAS. Wobei meine QNAP auch nur per VPN erreichbar ist.
Und bei der Synology überlege ich auch schon eine ganze Weile ob ich nicht Dienste zurückbauen soll.
Mail,- Webserver wären so Kandidaten.
Läuft jahrelang ohne nennenswerte Probleme, aber so einen richtigen Nutzen hab ich nicht.
 

Mavalok2

Well-known member
Ich bin bisher zum Glück verschont geblieben.
Tja, das kann ich vom mir leider nicht behaupten. Ist zwar zum Glück schon viele Jahre her, aber die Erfahrungen sind prägend.

Vor vielen vielen Jahren hat es meinen privaten PC erwischt. Beim Hochfahren hat mich mein PC mit der freundlichen Meldung Format C:\ begrüßt. 98%iger Datenverlust. Leider war da bei mir Datensicherung noch nicht so ein Thema. Gut, waren auch nicht so wichtige Daten bei. Ärgert aber trotzdem.

In der Firma hatten wir auch Zwischenfälle. Ebenfalls viele viele Jahre her, ganz zu Beginn der E-Mailzeiten in unserer Firma. Lehrgeld zahlen gehört eben auch dazu. Im einen Fall wurden Spam-Mails verschickt. Heute würde sich niemand Gedanken darüber machen, aber damals waren Spam-Mails noch etwas ganz Neues. Und leider waren die Spam-Mails Werbung für Porno-Seiten. Kam bei der Kundschaft nicht wirklich so gut an.
 

the other

Well-known member
Moinsen,
Ja, so eine ähnliche Situation hatte ich auch schon privat. Ebenfalls Jahre her und ausser nem blauen Auge noch überschaubare Verluste.
Auf Arbeit tauchen immer wieder Emails auf, bekannter Absender aus dem Fimennetz, plausible Betreff...dann aber ein Anhang und Situation unplausibler Text. Die IT reagiert da idR schnell drauf.

Ich denke auch, am Ende hängt es an den vorhandenen backups. Also, sofort alles runtergehen im Netzwerk. Dann laut das Fakalienwort des Monats schreien, Kaffee trinken und plan machen. Um ein plattmachen der Geräte kommt Mensch heutzutage vermutlich nicht drum rum. Aber da ist es eben wichtig, strategisch vorzugehen, um eine re-Infektion zu vermeiden. Und natürlich bei der Neueinrichtung neue Passwörter bzw credentials vergeben.
Ich habe vor einigen Ausgaben den heise ct Artikel dazu gelesen. Selbst die altehrwürdige ct bzw deren Verlag war von Malware (emotet) hart getroffen. Zur Aufarbeitung gab es dann mal ne größere Artikelserie.
 

tiermutter

Well-known member
[...] und plan machen.
Aber da ist es eben wichtig, strategisch vorzugehen, [...]
DEN Masterplan kann es ja nicht geben... offensichtlich betroffene Systeme platt machen: keine Frage! Andere Systeme auf Auffälligkeiten mindestens beobachten: keine Frage!

Aber anhand welcher Gesichtspunkte würdet ihr den Plan schmieden, um strategisch vorzugehen?

In meinem Fall (zum Riesenglück war das System ja von anderen isoliert) hatte ich ja ausreichend Zeit mich darüber zu informieren, was ich mir da eingefangen habe und wusste, was das Ding anstellt. Ich hatte aber auch das Glück, dass das Ding nicht der neuste Schrei war und überhaupt entsprechende Infos vorlagen. Ich stand also nicht im dunklen auf weiter Flur /im gesamten Netzwerk.
 

Mavalok2

Well-known member
Ein Masterplan für alles wird es nicht geben können. Die Entwicklung der Schadsoftware dürfte fast noch schneller sein als bei normaler Software. Hier unflexible einem veralteten Schriftstück zu folgen dürfte wohl eher kontraproduktiv sein. Ja genau Schriftstück, denn wenn der Notfallplan in digitaler Form auf den betroffen Systemen vorliegt nutzt der so ziemlich gar nichts. Am Besten ist es, man hat ihm im Kopf. Das ist er immer und überall abrufbar. ;) Gute alte Neuraltechnik, die älteste Form der Datenverarbeitung.
 

Stationary

Active member
Die IT reagiert da idR schnell drauf.
Bei uns hat die IT vor dem Sommer selbst mal so eine e-mail verschickt. Die wollten testen, wie die Leute reagieren und ob sie das richtige machen. Also e-mail an die IT melden und sonst nichts anfassen.
Das Resultat war insofern ernüchternd, als daß gerade die Chefs darauf reingefallen sind.
 
Zuletzt bearbeitet:

Mavalok2

Well-known member
Das Resultat war insofern ernüchternd, als daß gerade die Chefs darauf reingefallen sind.
:ROFLMAO::ROFLMAO: Musste eben so laut lachen, dass ich hoffe nicht die Nachtbar geweckt zu haben.

Die Idee ist gut, aber das Resultat würde bei uns genau gleich aussehen. Wer hatte zuletzte ein infiziertes Handy: Big-Boss. :rolleyes: Nicht dass sich hier eine Schadsoftware durch einen Anhang oder so installiert hätte. Die hat sich der Boss durch Phishing schön manuell selbst installiert. Und mit so einer plumpen Masche. **Kopf gegen Wand**
Muss ich erwähnen wer immer reklamiert, dass die Security Policies zu streng seien. Hmm, wenn ich so überlege, seit dem Vorfall hatte er nichts mehr zu reklamieren. :)
 

rednag

Well-known member
Meine Schwester hatte mal eine Rechnung per Mail bekommen. Unaufgefordert. Und bestellt hat sie auch nichts.
Hat mich dann angerufen weil sie die Mail nicht öffnen konnte. Also sie hat zwar draufgeklickt und so aber passiert ist offensichtlich nichts.
Habs mir dann kurz per Teamviewer angesehen. Die angebliche Rechnung war eine Rechnung.exe. Mein Schwager durfte dann den Rechner neu installieren. :p
Ist aber auch schon Jahre her.

Rechnung-Kopie.png
 

UdoAA

Active member
Ich für meinen Teil habe daher auf 2 externen HDDs 2 alternierende offline-Backups, die bei nicht Gebrauch schön ohne Strom im Regal liegen.
Ansonsten würde ich mir bei einem Vorfall erstmal einen sauberen Rechner bei einem vertrauenswürdigen Freund / Bekannten oder Familienangehörigen in separater Wohnung organisieren und von dort die OSse neu downloaden.
Ansonsten wie @Mavalok2 und @the other erwähnen vorgehen, für mich aber erstmal eine Nacht drüber schlafen (oder es versuchen...)
 

blurrrr

Well-known member
die bei nicht Gebrauch schön ohne Strom im Regal liegen.
Als kleine Randanmerkung dazu - allerdings bzgl. SSDs... SSDs sind nicht wirklich für Langzeit-Backups geeignet, da diese nach einiger Zeit ohne Strom die Daten verlieren. Eine Backup-SSD mal ein Jahr stromlos im Schrank liegen lassen... keine gute Idee.
 

Stationary

Active member

SSDs als Archiv-Laufwerk​

Für ein Daten-Archiv sollte man nur SSDs mit Flash-Chips kaufen, die den Firmennamen eines Flash-Herstellers wie Samsung, SK Hynix, Toshiba/Kioxia oder WD/SanDisk tragen, um nicht Gefahr zu laufen, Flash-Komponenten geringer Qualität zu erhalten. Genauso wichtig ist es, ein frisches Medium zu verwenden und keine ausrangierte SSD. Die Abnutzung sollte immer deutlich unter 10 Prozent bleiben. QLC-Speicher eignet sich noch nicht zu Archivierung, 2D-MLC wäre sehr gut geeignet, ist aber kaum noch zu bekommen. Folglich bleibt derzeit nur TLC-Speicher.

Auffrischung​

Wegen der möglichen offenen Blöcke sollten die Daten alle 3 Jahre aufgefrischt werden, bei deutlich unter 100 Zyklen Abnutzung spätestens alle 5 Jahre. Nach 15 Jahren ist die Produktlebensdauer überschritten, denn elektronische Bauteile altern auch im abgeschalteten Zustand. Dann sollte man die Daten auf ein größeres Medium der zu diesem Zeitpunkt aktuellen Technologie umkopieren – bevor man irgendwann keine Hardware mehr besitzt, die den Anschluss von SATA-, NVMe- oder USB-SSDs erlaubt.

ll.dataretentiontime.gon_ig_1_.png

 

Mavalok2

Well-known member
Auch HDDs eignen sich nur begrenzt zur längeren Lagerung von Daten bzw. Langzeitarchivierung. Dabei sind hier Lagerschäden - also Standschäden - ein Problem. Wer Daten längerfristig zur Seite legen will kommt um eine Bandsicherung auch heutzutage kaum umhin.
Das sind nicht nur Weisheiten aus dem Lexikon sondern leidgeprüfte eigene Erfahrungen. :(
 

Mavalok2

Well-known member
Mikrofilm wäre auch eine Lösung.

Habe unlängst einen Bericht über Langzeitarchivierung gesehen, also so richtig richtig lange. Die drucken (ätzen?) ausgewählte Informationen auf Keramikplatten. Soll dann mehrere hunderte / tausende Jahren im Bergstollen überdauern.
Ich sehe gerade vor mir, wie manche hier ihre private Photosammlung von 100'000 von Photos auf Keramikplatten verfrachten. Der Fotofamilienabend wird dann eine gewichtige Angelegenheit, wie bei den Flintstones. :)
 

florian78

New member
nur so eine Frage...
Wenn man eine NAS zu NAS Kopie als Backup macht...läuft man dann nicht trotzdem Gefahr das beide Systeme schlussendlich von einer Ramsomware betroffen sind?
Wie müsste man hier vorgehen um das Risiko zu minimieren?
Ich selbst habe mich halbwegs im Griff....aber was mache ich mit der lieben Familie?
 

Zurzeit aktive Besucher

Letzte Anleitungen

Statistik des Forums

Themen
969
Beiträge
14.049
Mitglieder
500
Neuestes Mitglied
McKay1408
Oben