Kann Ransomware ungemappte Netzlaufwerke befallen?
Hi zusammen,
wenn ich ein Netzlaufwerk unter Windows mappe, dann nutzt man doch meistens SMB dafür, oder? Dieser kann vom Ransomware angegriffen werden wenn er es erstmal auf den lokalen Rechner schafft, das weiß ich.
(habe auch zusätzlichen Schutz: Antivirus, Backups, Brain 2.0, etc.)
Aber was ist mit ungemappten Netzlaufwerken? Wenn ich mein QNAP/NAS (Storage) also ausschließlich jedes Mal mit dem Windows-Explorer mit z.B. der Eingabe "\\Archiv" öffne und mein Login für Vollzugriff eingebe, kann Ransomware den ebenfalls verschlüsseln?
2 Antworten
Solange das Netzlaufwerk absolut nicht an den Rechner angebunden ist (sodass diese Verbindung bei jedem Start von Windows neu aufgebaut werden kann) und du andere Zugänge (anders im Sinne von deinen Windows-Anmeldedaten unterscheidend), sowie ein sicheres Passwort verwendest, sollte da im Normalfall nichts passieren.
Ich sag das extra so leicht vorsichtig, da ja nicht klar ist, wie die jeweilige Ransomware sich weiter ausbreitet. Also ob sie einen Exploit oder eine Zero-Day Lücke in Windows oder der NAS nutzt. Außerdem kann es sein, dass in Windows deine Login-Daten für das Netzlaufwerk ge"cached" werden, damit du bei innerhalb der Windows-Sitzung nicht mehrfach die Daten eingeben musst, wenn du dich auf das Netzlaufwerk verbindest. Das kann dann unter Umständen gefährlich sein!
Danke sehr, da hast du wahrscheinlich recht. Gerade, weil der Zugang nach einmaliger Kennworteingabe ja wirklich für die Dauer der angemeldeten Windows-Sitzung offen bleibt. Vor dieser Ransomware ist man im laufenden Betrieb anscheinend niemals 100% sicher.
Grundsätzlich ja.
Es kommt aber drauf an ob der Programmierer diesen Fall bedacht hat oder nicht und ob er eine entsprechende Sicherheitslücke ausnutzen kann um in das NAS einzubrechen.
Ja nur ist die Frage wie das Passwort gecached ist. Wenn das gut gemacht ist, ist es auch sehr schwer möglich das Passwort auszulesen.
Für die Übernahme der Usersitzung muss die Ransomware eben auch entsprechend geschrieben werden.
Zudem muss wie gesagt der Programmierer diesen Fall eben auch bedacht haben. Wenn das Programm diese Möglichkeit nicht unterstützt wird es auch das Netzkaufwerk so nicht infizieren.
Danke. Es handelt sich dabei wahrscheinlich lediglich um eine Abfrage mehr oder weniger, zumal wie von markN angedeutet, das Kennwort für die Dauer der Sitzung "ge-cached" wird und man ja selbst auch beim erneuten Eingeben der \\-Zeile ohne Kennwort wieder darauf zugreifen kann.