Kann man sich vor dem Crypto Virus schützen, wenn man NAS und interne HD mapping trennt?
 

Hallo zusammen,
Ich mache auf meinem NAS eine Sicherung.
Wenn ich die NAS Laufwerkverknüpfung trenne, würden die Crypto Virus das Laufwerk nicht verschlüsseln?
Auch mache ich noch eine Sicherung auf einer internen SATA Platte.
Wenn ich das jetzt jeweils softwaremässig trennen würde (mit HotSwap zum Beispiel hxxp://mt-naka.com/hotswap/index_enu.htm), könnte der Crypto Virus die Festplatte trotzdem finden und die Daten verschlüsseln?
Es ist mühsam wenn ich meine externe Festplatte jedes mal ausbauen müsste.
Auch mache ich noch eine Sicherung über das Internet.
Sollte ich mir doch noch eine externe USB Platte besorgen und jedes mal abhängen?
Danke in Voraus für eine Antwort.
Liebe Grüsse,
Elena

Hallo Elena, Cryptotrojaner wie Locky oder Teslacrypt würden Daten auf deinen Laufwerken von dir verschlüsseln die in deinem Netzwerk angezeigt werden. Dazu zählt auf alle Fälle deine interne Sata Festplatte, dann zum Beispiel Daten in der Cloud und auch Daten auf dem NAS. Wie es jetzt ausschaut wenn du die Sata Festplatte und das NAS Softwaremässig trennst, weiß ich nicht aber es wäre schon ratsam das du dir eine USB Festplatte zulegst, auch darauf Datensicherungen machst und diese dann abklemmst wenn du mit Datensicherung fertig bist. Die USB Festplatte muss ja dann nicht weggeräumt sein sondern einfach nur getrennt werden von der USB Verbindung und ausgeschaltet werden wenn die ein eigenes Netzteil hat so wie es bei vielen 3,5 Zoll USB Festplatten der Fall ist.

Hi Elena, meine erste Frage waere, benutzt Du einen Benutzeraccount oder einen Adminaccount?

@purzelbär
Ja das ist mir klar, aber es nimmt mich doch wunder ob man das NAS und die Sata HD abklemmen kann. Online werden Daten in einer History gespeichert. Auf alten Daten kann ich immer zugreifen. Ich kann bis unendlichkeit wählen wie viel Versionen online gesichert werden.

@bombinho
Immer als Admin, ich möchte aber das mit den Benutzer mal umsetzen.
Ein Benutzer erstellen mit selben Einstellungen und als User degradieren.

Ja, einen neuen Benutzer erstellen sollte der einfachste Weg sein.
Der bisherige Account wuerde dann zwingend ein Passwort benoetigen.

Wenn das Umfeld es erlaubt, dann nehme ich gerne Benutzeraccounts ohne Passwort.
Dann ist aber zum Beispiel Kindersicherung nur sehr schwierig umzusetzen.
Klingt moeglicherweise unsicher aber etliche Dienste koennen nicht von aussen genutzt werden, wenn kein Passwort gesetzt ist.

Lt. heise/bleeping computer versuchen die heutigen ransoms auch auf nicht per Laufwerksbuchstaben gemappte shares alles zu verschlüsseln => Krypto-Trojaner Locky wütet in Deutschland: Über 5000 Infektionen pro Stunde | heise Security

Ob du User oder Admin an deinem Windows-PC bist ist für das NAS egal d.h. die Daten auf dem NAS sind NICHT sicherer, nur weil du von deinem Windows aus keine Adminrechte hattest. Das NAS sicherst du im Prinzip nur dadurch ab, indem du spezielle Freigaben nur für Backupzwecke einrichtest und die auch nur ein backup-user mit eigenem Kennwort erreichen darf. Alle anderen maximal lesenden Zugriff auf dieses backup share.

Im Prinzip ist die Einrichtung der Dateizugriffsrechte auf dem PC ganz aehnlich der Methode, die Cosinus fuer das NAS beschrieben hat, nur dass man da noch ein wenig feiner regulieren kann wer was darf. Da ist es dann allerdings nicht egal ob man Admin ist oder nicht.

Elena, wenn du das wirklich umsetzen moechtest, bin ich gerne bereit, dir mit meinen Erfahrungen weiter zu helfen. Einfach fragen.

Egal ist das zwar nicht, das stimmt, aber im Zweifel kann ein ausgeführter Kryptotrojaner auch erheblichen Schaden verursachen wenn keine Adminrechte da waren. Die Schattenkopien können nicht alles auffangen, grade neue Dateien, die noch nicht in den Schattenkopien aufgenommen wurden, wären dann weg.

Und wie schonmal gesagt, beim NAS gibt es keine Schattenkopien, da helfen nur spezielle Backupfreigaben oder offline/extern auf USB-Platten gelagerte Backups. Externe/Offline Backups sind aber eh zu empfehlen für den Fall eines Brandes...wenn alle Rechner und Server verbrennen, bringt es nix, das Backup auch beim Feuer gelagert zu haben :(

Dann muss man die Backupplatte aber mit nach Hause nehmen oder in einen feuer- und wasserfesten Tresor sperren.

Genau, oder in ein Bankschließfach...Möglichkeiten gibt da viele und was man will hängt davon ab wie wichtig die Daten sind.

Mapping ist egal. Ist ein Laufwerk im Netzwerk erreichbar und sichtbar, wird verschlüsselt. Hier hilft nur abklemmen.

Oder entsprechende Rechte...wobei ein read-only NAS ja auch rel. sinnfrei wäre :blabla:

Also frueher konnte man noch fuer jeden Ordner einzeln Rechte vergeben und zum Beispiel einen Backup-Nutzer anlegen, welcher als Einziger Schreibrechte auf den Backup-Ordner hat.

Und damals konnte man der Backupsoftware auch noch die Zugriffsrechte dediziert zuteilen.
So dass auf allgemeine Verzeichnisse via anonymen Zugriff frei und frank zugegriffen werden konnte aber das Backupverzeichnis, falls ueberhaupt, nur lesend.

Das ist dann die hohe Schule des Verschluesselungstrojaners, die Anmeldung abzufangen und selbst zu nutzen.

Wobei ich generellen Schreibzugriff auf Musik- und Fotoorder fuer unnoetig halte. Allerdings braucht es dann leider einen alternativen Dateimanager fuer bequemen Schreibzugriff. Jedenfalls habe ich es noch nicht bequem via Explorer hinbekommen, da dieser keine Instanzen zulaesst.

Also ich habe auch ein NAS und meine Idee ist:

a) Die zu sichernden Verzeichnisse im Netz freigeben
b) Auf dem NAS läuft ein Script, dass sich die Dateien holt.

Nach meiner Auffassung müsste das dann gehen.

Wer soll da was holen? Und was würde dann gehen? :confused: