Es gibt keinen besseren Trojanerschutz als regelmäßige Backups — basta! Das Schreckgespenst „Krypto-Trojaner“ oder auch „Erpressungs-Trojaner“ oder „Ransomware“ genannt ist mit tausenden von infizierten Rechnern auf dem Vormarsch und Deutschland scheint nach den USA jetzt das beliebteste Ziel der Erpresser zu sein. Immer neue Schlagzeilen von immer perfideren Schädlingen machen die Runde und die c’t widmet dem Thema in Ihrer aktuellen Ausgabe 7/2016 gleich mehrere Seiten, u.a. das lesenswerte Editorial.
Schlagzeilen-Montag-28-März-2016 © auf heise.de
Das hinterlistige an diesen Trojanern ist, das es eigentlich nur 3 wirklich wirksame Schutzmethoden gibt ausser denen, die eigentlich schon der ganz normale Menschenverstand gebietet.
-
Kein Öffnen von E-Mail Dateianhängen aus unbekannten Quellen
-
Alle Makro-Funktionen in MS-Officeprogrammen deaktivieren oder nur nach Bestätigung ausführen lassen
-
Dubiose Webseiten komplett meiden
Das hört sich natürlich etwas leichter an als getan, denn was nützt es wenn man die obigen Regeln selbst beherzt und verinnerlicht hat, der Ehemann/die Ehefrau, der WG-Mitbewohner oder womöglich sogar der eigene Nachwuchs aber durch einen unbedarften Klick die Erpresser quasi ins heimische Netzwerk einlädt? Die besten 3 Schutzmechanismen heißen daher immer noch: Backups, Backups und Backups!
Kostenpflichtige und kostenlose Backuptools für Windows gibt es schon länger wie Sand am Meer. Ich selbst benutze seit ca. 1 Jahr das kostenlose Veeam Endpoint Backup FREE auf allen meinen Windows Rechnern (nachdem jede neue Acronis True Image Version einfach nur schlechter wurde) und kann es guten Gewissens (gerade auch nach einigen kompletten Systemwiederherstellungen) uneingeschränkt für Win7, 8, 8.1 und Win10 empfehlen.
Veeam-Endpoint-Backup-Konsole
Fairerweise muss man an dieser Stelle unbedingt darauf hinweisen, das ein regelmäßiges Backup leider nur die halbe Miete gegen diese fiesen Schädlinge ist. Die Trojaner gehen nämlich relativ intelligent vor und versuchen auch alle Backup-Dateien derer sie habhaft werden können zu verschlüsseln. Wenn alle original Daten und auch noch die Backups verschlüsselt sind, bleibt oft als einziger Ausweg nur die Brieftasche zu öffnen und zu hoffen das die Erpresser ihr Wort halten und man wieder an seine Daten herankommt.
Besser ist es daher wenn das Backupziel (externe USB Festplatte, Netzwerkfreigaben, etc.) offline, also nicht permanent mit dem befallenen Rechner/Windows-Konto verbunden ist, bzw. wenn Netzlaufwerke nur durch vorherige Anmeldung mit einem anderem Benutzer/Passwort erreichbar sind. Gerade für das wohl oft gültige Szenario „Backup auf externe USB-Platte“ bietet Veeam Endpoint seit der Version 1.5 eine gute Hilfestellung an, es kann nämlich nach erfolgreichem Backup die verbundene Festplatte gleich „auswerfen“. Die Platte ist entsprechend offline und nicht mehr per se erreichbar.
Veeam-Endpoint-Backup-USB-Laufwerk-auswerfen
Findige Geister werden einwenden das man ja jetzt daran denken muss die USB-Platte wieder einzuhängen, wenn das nächste Backup ansteht. Nun, dem habe ich argumentativ nicht viel entgegenzusetzen, bis auf die Tatsache das es wesentlich weniger schlimm ist mal einen der täglichen Backuptermine zu verpassen, als das restlos alle Backups wertlos und in den Händen von Erpressern sind. Persönlich mache ich es im Übrigen momentan so: Tägliches inkrementelles Backup aller Windows-Clients auf eine externe Festplatte die permanent an meinem Windows Heimserver hängt. Dieser Pfad ist im Netzwerk nicht sichtbar (Freigabe mit $) und nur mit Windows-Konto des Servers freigegeben/erreichbar ansonsten würde auch Veeam nicht dorthin sichern können. Ein- bis zweimal die Woche Veeam vollständiges Backup auf externe USB-Platte die nach dem Backup wieder abgehängt wird und meist ausser Haus ist.
Nach meinem Kenntnisstand können die Krypto-Trojaner (noch) keine Daten innerhalb von versteckten Freigaben erreichen. Wer da aktueller ist oder wer nicht weiß wie man eine Freigabe verschleiert, bitte einfach kurzen Kommentar — ich werde den Artikel dann gerne sofort per Update/Erklärung aktualisieren.
Eine andere Möglichkeit wären AES-verschlüsselte Backups in die Cloud (Google Drive, Dropbox, OneDrive etc.) via Duplicati o.ä, wenn es nur um wirklich wichtige Dokumente, Fotos etc. geht. Ich überlege gerade noch ein sinniges Szenario um auch die freigegebenen Daten meines Heimservers in Sicherheit zu wiegen. Das sind momentan gute 6TB an Musik, Videos und Fotos und die einzige plausible Lösung die ich gerade parat habe, wäre 220 Euronen für eine weitere 8TB Platte (in einem externen USB-Gehäuse) zur Datensicherung auszugeben. Im Angesicht des Schreckens vielleicht immer noch eine gut angelegte Investition!
Veeam-Endpoint-Backup-auf-versteckte-Freigabe-vom-Heimserver
Wie sieht Eure Backup-Strategie gerade in Bezug auf die neuen kriminellen Machenschaften der Erpressungs-Trojaner aus?
Viel Spaß bei der täglichen Datensicherung
Tägliches inkrementelles Backup aller Windows-Clients auf eine externe Festplatte die permanent an meinem Windows Heimserver hängt.
>>und was machst du, wenn du dir den trojaner an dem rechner einfängst, an dem deine usb platte hängt`? die wird doch dann mit verschlüsselt…
Hallo Rudi,
valide Frage, aber da ich an meinem Heimserver weder surfe noch Mails lese ist die Gefahr hier doch eher gering. Aber auch wenn es so wäre, dann hätte der Trojaner die Backups meiner Windows Rechner gekapert, mir ziemlich schnurz. Er kommt aber von da nicht auf die Rechner selbst.
Das ist eine echt gute Idee mit der Netzwerkfestplatte
Jedoch hast du bei mir eine Frage geweckt:
Wie ist es möglich, eine Netzwerkfestplatte per PW zu schützen?
Wäre dies nicht viel einfacher, als sie nur auszublenden? Dabei entsteht doch zusätzlicher schutz, oder?
Jedoch müsste dann doch die ganze Festplatte verschlüsselt sein, oder irre ich mich da?
Hallo Floh,
die Festplatte hängt an einem ganz anderen Rechner, der auch ein ganz anderes Anmeldekonto hat. Der Pfad zu dieser Festplatte ist nicht per Heimnetzwerk freigegeben, ergo muss man um auf diese Festplatte zuzugreifen, den Anmeldenamen und das Passwort dieses Kontos benutzen. Das kann der Trojaner aber ja nicht wissen.