Anti-Ransomware?
Hallo!
Eines vorweg, mir muss man nicht von klein auf erklären was Ransomware ist, ich wurde selbst schon Opfer und weiß ganz genau was das ist und was das macht und ich weiß auch wie man vorbeugen und seine Daten in Sicherheit bringen kann. Datenrettung will ich das nicht nennen, zu retten wird es da wohl nicht mehr viel geben (wenn man nicht zufällig den passenden Decryptor mit dem richtigen Online Schlüssel hat). Selbst eine professionelle Datenrettungsfirma kann da nicht mehr viel machen. "Wir sichern die Volumenschattendateien", werden die vielleicht sagen um den Kunden zu ködern. Die sind aber auch verschlüsselt! Genauso wie alle Dateiversionsverläufe, die im Vorfeld natürlich niemand angelegt hat, aber egal, die sind jetzt auch verschlüsselt oder gelöscht.
Was ich aber nicht verstehe, warum gibt es kein Anti-Ransomware Tool, das sagen wir mal 80 % Schutzwirkung bietet? So ein Tool baut eigentlich nur eine zusätzliche Schutzebene ein. Ransomware jüngste Generation wird diese Schutzebenen aber alle aushebeln! Das einzige was wirklich wasserdicht ist, ist das Backup im Safe. Aber ist das wirklich so wasserdicht? Vielleicht ist das ja auch schon kontaminiert? Ransomware hat ja eine Inkubationszeit! Der PC kann ja so auch schon infektiös sein ohne dass die "Krankheit" ausgebrochen ist!
Warum gibt es keine Möglichkeiten eine Datei einfach nur sicher gegen Verschlüsseln/Überschreiben/Löschen zu machen? So ein Programm könnte man ja auch passwortsichern. Das wäre doch viel einfacher! Oder anders gefragt, wie macht das die Ransomware an die RECHTE zu kommen? Solche Rechte habe ich ja noch nicht einmal als Administrator!
Könnte Ransomware, wenn sie wollte, denn auch den ganzen Hauptprozessor umschreiben? Ich meine noch tiefer als die Root Rechte und noch tiefer als das BIOS. Den Master Boot Record umschreiben, das kann Ransomware definitiv, das weiß ich.
In meinem Fall hat sich die Ransomware noch nicht einmal die Mühe gemacht den Antivirus auszuschalten! Der ging sogar an und hat "Ransomware" gemeldet! Damals war ich mir der Gefahr aber nicht bewusst. Ich dachte das ist im Prinzip auch nur irgendein (Fake) Virus. Mein Antivirus wurde mit der Ransomware auch ganz schnell fertig. Ja, nachdem bereits ALLES verschlüsselt war! Ich hätte Verdacht schöpfen müssen, als Windows eine halbe Stunde lang wie festgefroren schien und vor allem das WLAN ausfiel! Warum fiel das WLAN aus? Wollte mich die Ransomware von der Außenwelt abschneiden?
Heute würde ich bei Verdacht auf Ransomware sofort den Stecker ziehen, alle externen Datenträger entfernen und Antivirus Rettungsstick starten.
3 Antworten
Was meinst du mit „hauptprozessor umschreiben“? was genau soll da umgeschrieben werden? du kannst schreibrechte (somit auch das recht auf löschung) für dateien definieren. die bringen dir gegen malware nur nichts weil du
- mit deinem normalen user-account die fähigkeit verlierst diese dateien zu bearbeiten (wenn du das so einrichtest dass nur ein anderer account die dateien bearbeiten kann) - ist also nicht praktikabel
- weil die malware mit den user-rechten oder admin rechten arbeitet. ergo bringt dir diese zugriffssicherung auch nichts wenn sie so eingerichtet ist dass nur dein user account darauf zugreifen kann.
Zudem gibt es auch ransomware die gar nicht dateibasiert verschlüsselt sondern direkt die daten (also die bits) auf deinem speichermedium verschlüsselt.
Entweder sind deine aussagen fachlich falsch oder ich verstehe sie falsch. bitte erläutere die folgenden aussagen:
was meinst du mit „ransomware hat ja eine inkubationszeit“?
was für ein programm soll man mit einem passwort sichern können?
welche rechte haben nicht einmal admins bzw auf welche rechte beziehst du dich genau?
die antwort auf die frage wie malware sich die notwendigen recht beschafft ist zu komplex für diese Plattform und wahrscheinlich auch zu komplex für dich. nicht böse gemeint aber du wirkst nicht als hättest einen technischen hintergrund. falls du dich dennoch einlesen willst dann kannst du „mitre att&ck privilige escalation“ googlen
ah ja du bist „überdurchschnittlich bewandert“… ich glaube eher nicht xD
erstens: du hast es so dargestellt als wäre diese inkubationszeit immer da. das ist falsch.
zweitens: bios und betriebssysteme sind komplett unterschiedliche konzepte die nicht so viel miteinander zu tun haben. Gaaaanz stark vereinfacht: das bios lässt deinen pc starten und dein betriebssystem lässt deinen pc laufen.
drittens: kann es sein dass du nicht weißt was root rechte sind? admin=root=superuser.
viertens: ich verstehe nicht was du in der maschinensprache modifizieren willst. du hättest dadurch keine vorteile und es würde nur zu problemen führen weil die befehle hardcoded in der cpu sind
fünftens:
deine idee von einem „file protector“ ergibt keinen sinn.
Dann sind Root Rechte unter Windows was anderes als unter Android. Gut, das wusste ich jetzt nicht so genau. Ich meinte das so, Ransomware kann Sachen machen, die ich auf keiner Windows Schaltfläche machen kann. Ransomware kann den Master Boot Record überschreiben/verschlüsseln. Macht das nicht der Petya?
Russische Hacker werden von Putin gesponsert. Die müssen nicht immer auf ihre Vorteile dem Kunden gegenüber (Lösegeld) bedacht sein. NotPetya entschlüsselt keine Daten (was aber theoretisch möglich wäre). Der GermanWiper verschlüsselt nicht, der löscht einfach nur. Wer nur auf Zerstörung aus ist, dem würde es vielleicht gefallen die Maschinensprache in eine Nonsensesprache umzuwandeln.
Den File Protector gibt es tatsächlich, kostet 50 US Dollar.
https://www.chip.de/downloads/File-Protector_12992097.html
FileProtection gibt es gratis.
https://www.reuschtools.com/de/products/fileprotection.html
Letzteren benutze ich übrigens auch. Ich kann leider nicht sagen, ob das einem Ransomware Angriff der neuesten Generation standhält. Vielleicht würde ich nur 10 Sekunden gewinnen, das kann natürlich sein. 10 Sekunden mehr um den Stecker zu ziehen.
Naja. Wie hieß denn der Antivirus, der zwar Alarm geschlagen hat, aber die eigentliche Schadroutine nicht gekillt hat?
Ich habe das auch schon im Unternehmensumfeld erlebt, dass ein User mit normalen Userrechten im Active Directory eine E-Mail, die durch den Spamfilter gelangt war, geöffnet hat, den Anhang geöffnet hat und das blöde Makro gestartet hat. Damit ging der Verschlüsselungstrojaner zu Werke, aber der auf dem Client installiert teure Trend Micro Worry-Free Business Security hat nicht einmal gezuckt! Und fröhlich verschlüsselte der Verschlüsselungstrojaner eine halbe Stunde lang fleißig die Dateien in den Ordnerfreigaben auf den Fileservern. Mehrere Hunderttausend Dateien. Bis dann endlich einer gegen den PC getreten hat und das Stromkabel rausgerissen hat! Dann war Ruhe. Dann wurde das Backupsystem auf dem Backupserver gecheckt, alles fein, und dann begonnen, die verschlüsselten Daten wieder mit den unverschlüsselten Daten zu ersetzen.
Auch jetzt, neun Jahre nach dem Vorfall, gibt es für diese Verschlüsselungsmethode keinen Decryptor. Hätte also das mit dem Backupsystem nicht funktioniert, wäre das eine Katastrophe gewesen.
Der Rechner wurde neu aufgesetzt, der Vertrag mit dem Antivirushersteller/Distributor nicht verlängert und stattdessen Sophos gekauft. Seitdem ist nie wieder irgendetwas passiert, auch wenn es immer wieder mal Fehlklicks und Fehlbedienungen gab.
Ransomware braucht überhaupt keine anderen Rechte als der User, um Userdateien zu verschlüsseln und die Dateien im Netzwerk, auf die der User Schreibrechte hat!
die ganzen AV systeme bringen nichts wenn dumme menschen am rechner sitzen.
dass es für die ransomware keinen decryptor gibt liegt daran das verschlüsselungsalgorithm so konzipiert sind dass sie nicht (in einer realistischen zeit) gebrochen werden können. halbwegs professionelle ransomware ist deswegen irreversibel
Avast Antivirus war das. Die anderen sind aber auch nicht besser! Der hat schon was gekillt, aber nur Dateien, die die Ransomware wollte, dass die gekillt werden!
Prinzipiell gibt es im Windows Defender schon den überwachten Ordner Schutz der Programmen die keine Berechtigung auf den Ordner haben blockiert werden(dass das kein 100% Schutz ist und auch erst eingerichtet werden muss ist mir bewusst bevor jemand kommentiert).
Desweiteren kann dein AV Programm nicht wissen was Malware ist und was nicht(ich gehe jetzt mal nicht deep Dive wie ein AV Programm Schadware erkennt). Wenn die randomware verschlüsselt weiß dein AV Programm nicht ob das gewollt ist oder nicht da einige User ihre Daten selbst verschlüsseln zur Sicherheit und wenn erst nachm verschlüsseln was genutzt wurde das für dein AV Programm suspekt ist dann ist das zwar schese für dich aber was will man dann noch machen.
Die Regel lautet kein Backup kein Mitleid und klar kann aufm Backup auch die randomware sein aber es gibt auch da Möglichkeiten.
Also im Prinzip sind gute Maßnahmen (die ich kenne, bin aber nicht mehr top aktuell was das angeht)
Low priv User nutzen.
Backups.
Berechtigungen des Ordners einstellen.
Um 3 bsp zu nennen
Die Firmware könnte vielleicht verändert werden oder noch tiefer bis in die Maschinensprache. Das meinte ich mit Hauptprozessor.
Ransomware kann schon lang drauf sein und nur auf den richtigen Zeitpunkt warten. Das meinte ich mit Inkubationszeit.
Einen File Protector meinte ich mit passwortsichern.
Admins kommen auf Windows nicht in das BIOS und haben auch keine Root Rechte.
Mein technischer Hintergrund? Nun ja, zum Kaffee kochen reicht's noch :-P. Im Ernst, ich bin überdurchschnittlich bewandert was jetzt Einstellungen und Security Tools betrifft, aber auch Windows Anwendungen. Alles im Vergleich zu einem ganz gewöhnlichen User, der einfach nur seine Mails checken will.