Verschlüsselungstrojaner und BackUps

Undertaker

Moin moin,

ich eröffne hier mal einen neuen Diskussionsthread, nachdem die bestehende Diskussion zur Wiederherstellung verschlüsselter Dateien irgendwie aus dem Ruder läuft.
Eine überschaubare Diskussion ist dort kaum mehr möglich.
Gepostete Logfiles, Hilferufe und immer wieder die gleichen Fragen zeigen, dass nur wenige Leute die rund 600 Postings überhaupt noch lesen und damit eine überschaubare Diskussion verhindert wird.
In einem Diskussionspunkt ging es um die Auswikungen des Verschlüsselungstrojaners auf Backupfiles und die Frage, wie man diese schützen kann.
Ich habe dazu einmal einen Versuch gestartet.

Dazu wurde ein Rechner so konfiguriert, dass er mit vielen handelsüblichen Systemen und Notebooks vergleichbar scheint.
Er sollte ein Windows 7-PC, mit HDD-Laufwerk C, HDD-Laufwerk D und DVD-Rom E sein.
Dazu wurde in einen PC mit Intel Core2, 4GB RAM eine 300GB HDD gesetzt, die so partitioniert wurde, dass es auf der HDD ein LW C: (System), ein LW D: (Daten) und einen Rest nicht zugeordneten Speicherplatz gab, zu dem ich später noch komme.

Hier die Partitionierung der Festplatte:



Auf LW C: wurde Windows 7 SP1 32bit installiert. Dazu MS Office 2010, Acronis Backup & Recovery 11, Firefox als Browser, TheBat! als Mailprogramm und noch ein paar Tools zum bequemeren handeln.

Auf LW D: wurden Daten der unterschiedlichsten Form von A wie AVI bis Z wie ZIP gespeichert. Gleichfalls wurden sämtliche Daten des Mailprogrammes auf D: gelegt.



Anschließend wurde mit Acronis Backup & Recovery 11 auf dem nicht zugeordneten Bereich der HDD eine „Secure Zone“ eingerichtet und jeweils ein Backup von LW C: und LW D: in der Secure Zone erstellt. Das Backup von LW C: wurde zusätzlich auf LW D: gespiegelt.



Auf das so vorbereitete System sollte unser Verschlüsselungskünstler losgelassen werden.
Uns ging es hauptsächlich zu erfahren, welche Daten-Dateien werden verschlüsselt, da es hier die unterschiedlichsten Aussagen gibt.
Was tut er mit dem Backupfile auf LW D: und vor Allem, was passiert mit der nicht sichtbaren Secure Zone und den darin befindlichen Backups.

Gestartet wurde der als Registrierung.pif getarnte Trojaner, ein Vertreter der 12k-Verschlüsselung, der die Dateien von 0x0000 bis 0x2fff durcheinander würfelt.



Unmittelbar nach der Ausführung der Datei beginnt der Bursche mit seinem zerstörerischen Werk.
Eine kurze Mitteilung, dass mit der Word-Datei etwas nicht in Ordnung ist, soll vermutlich nur ablenken.



In der bisherigen Diskussion zum Trojaner wurde darüber spekuliert, wie er es wohl schaffe, beim Bootvorgang die große Anzahl der Dateien zu verschlüsseln.
Dem ist nicht so, der Trojaner beginnt unmittelbar nach der Ausführung der Datei.
Wenn hier Betroffene davon berichten, dass manche Daten bzw. ganze Verzeichnisse nicht bgetroffen waren, dann ist das vermutlich nur darauf zurückzuführen, dass man ihm nicht genügend Zeit ließ.
Der Testrechner war vom Datenbestand recht klein.
Das System auf C: war < 100GB und der Datenbestand auf D: < 20GB.
Im Verlauf von ca. 5 Minuten verloren wir immer mehr Kontrolle über die Dateien.
Nach diesen 5 Minuten erschien der bekannte Ucash-Screen und der gesamte Datenbestand war verschlüsselt, von A wie AVI bis z wie ZIP, ausgenommen sich selbst.


















Der Trojaner verschont also keinerlei Daten, egal welchen Formats.

Dieses festzustellen war aber nicht unser Hauptanliegen.
Wir wollten sehen, inwieweit BackUps verschont bleiben und vor Allem, ob sich der Virus auch auf der für Windows unsichtbaren Partition der Acronis Secure Zone ausgetobt hat.
Wir haben uns auch nicht mit der Beseitigung des Trojaners im System aufgehalten, sondern gleich die Acronis Rescue CD eingelegt und den Rechner neu gestartet.
Sicher ist, dass ein Backup auf eine interne, gemountete Partition nichts hilft.
In unserm Fall wurde das Backup auf LW D: durch den Trojaner verändert und konnte von Acronis nicht als Backupfile erkannt werden, selbst bei Anfügen der richtigen Extension.



Als nächstes kam nun die Suche nach den Backups auf der Secure Zone.
Beide Backups, sowohl von C:\ als auch von D:\ wurden erkannt und die Wiederherstellung von Laufwerk C: wurde gestartet.



Die Wiederherstellung dauerte keine 20 Minuten.



Nach dem Neustart hatten wir in weniger als einer halben Stunde wieder ein sauberes, virenfreies System.





Fazit:
Vorbeugen ist besser als heilen.
Zuerst sollte man ein gutes und aktuelles Virenschutzprogamm nutzen.
Weiterhin sollte man ein hohes Maß an Skepsis gegenüber unbekannten Mails mit Anhängen walten lassen.
Zuletzt sollte man aber auch für die Sicherung seines Datenbestandes Sorge tragen.
Das gilt vor Allem bei Selbstständigen, Handwerken und Gewerbetreibenden, die keine Serversysteme mit ausgefeilten Backuproutinen betreiben.
Bei vielen kann die Existenz an den Daten hängen.

Wir haben uns erstmal nur mit dem Backup & Restore von Acronis befasst.
Nicht zuletzt, weil es durch die Einrichtung einer Secure Zone, einen relativ sicheren Platz für die Backupfiles bietet und für unter 100 Euro allemal billiger ist, als die Restaurierung des Systems beim Fachmann ohne das man sicher ist, seine Datenbestände wieder zu bekommen.

Als nächstes werden wir testen, was passiert, wenn die Secure Zone auf einem externen USB-Laufwerk eingerichtet wird und inwieweit die Acronis BootCD (Linux) dieses Laufwerk mountet.
Weiterhin werden wir auch einmal testen, was bei einem durch Windows komprimierten Laufwerk passiert, ob man da Backups ablegen kann und was der Virus dazu zu „sagen“ hat.

Wir hoffen, Euch mit diesem Bericht zumindest eine Anregung und einen Anstoß zum Nachdenken gegeben zu haben, auch wenn es den jetzt betroffenen nicht direkt hilft.

Vielleicht kann der Eine oder Andere seine Gedanken und Erfahrungen zu sicheren Backups für Privatanwender und Kleinunternehmen hier äußern.

Gruß Volker