Die sogenannten Krypto- bzw. Erpressungstrojaner existieren bereits seit geraumer Zeit, ihr Auftreten steigt aber mit dem Angebot von „Trojaner-Baukästen“ für Laien mit kriminellen Absichten in ungeahnte Höhen. Dabei wird mit jeder neuen Version eines solchen Trojaners auch die Signatur (sprich der Hash-Wert des eigentlichen Schadcodes) geändert bzw. neu kreiert – demnach besteht keine Chance für Virenscanner, diese frühzeitig zu erkennen. Doch wie kann man sich wirksam dagegen schützen? Der folgende Beitrag soll ein Beispiel für eine korrekt konfigurierte Datensicherung eines Windows-Systems auf Basis des Veeam Agent for Windows sein.
Problem
Wie bereits im Vorwort erwähnt, sorgen die Erpressungstrojaner immer wieder für Schlagzeilen. Dabei sind nicht nur private Anwender sondern auch Firmen betroffen, wie ich aus meiner Erfahrung berichten kann. Hat ein Trojaner einmal „Fuß gefasst“ – ist also zur Ausführung gekommen – verschlüsselt er jede Datei, auf die der Benutzer (in dessem Kontext der Trojaner ausgeführt wird) schreibenden Zugriff besitzt. Für diese Routine werden alle Laufwerke, also lokale Laufwerk und Netzlaufwerke, verwendet. Das eigentliche Problem ist wie so oft: der Anwender. Ein Trojaner befällt kein System, er muss durch eine bestimmte Aktion ausgeführt werden.
Lösung
Zunächst ist es für die im Folgenden beschriebene Lösung notwendig, das eigene Verhalten und damit die Rolle auf dem eigenen System kritisch zu hinterfragen. Benötige ich zum arbeiten tatsächlich administrative Rechte? Muss mein Benutzer in der Gruppe der lokalen Administratoren sein? Die Antwort ist meistens Nein. Für 90 Prozent der Anwender ist es hinreichend, die Rolle des Standardbenutzers zu verwenden. In Kombination mit der Benutzerkontensteuerung (User Account Control, UAC) wird so jeder Prozess, der höhere Rechte anfordert, angezeigt und enttarnt. Ist der Anwender dagegen Administrator und hat womöglich auch die UAC deaktiviert, so ist es für einen ausgeführten Prozess ein Leichtes, unbemerkt den Kontext des SYSTEMs zu erlangen – damit wird gleichzeitig jede Schutzbarriere eines Systems umgangen!
Der erste Schritt zur sicheren Lösung lautet daher: Das eigene Benutzerkonto ist kein administratives Konto! Für administrative Zwecke (z.B. zur Installation von Anwendungen) sollte ein eigener administrativer Benutzer erstellt werden, der bei Aufruf der Benutzerkontensteuerung angegeben wird.
Der zweite Schritt zur sicheren Lösung kann nun im Anschluss umgesetzt werden. Regelmäßige Datensicherungen sind der Schlüssel zur schnellen Wiederherstellung, sollte doch einmal ein Trojaner zur Ausführung gekommen sein. Doch wie schütze ich mich wirksam vor der Verschlüsselung meiner Datensicherungen?
Idealerweise sichert man sein System regelmäßig mit dem Veeam Agent for Windows. Veeam bietet dafür verschieden Optionen an:
- periodische Sicherungen (an bestimmten Tagen)
- bei An- oder Abmeldung
- bei Anstecken eines externen Mediums (USB-Festplatte)
Die Sicherungen sollten immer auf einer externen USB-Festplatte gespeichert werden, hier bietet Veeam die Möglichkeit, den Datenträger nach der Sicherung automatisch auszuwerfen.
Doch was passiert, wenn ein Trojaner genau während der Datensicherung laufen würde? Unter Beachtung der oben genannten Schritte existiert eine ziemlich einfache Lösung. Der Ordner in dem sich die Datensicherungen (auf der externen Festplatte) befinden, enthält immer die Metadaten-Datei, die Vollsicherung und die zugehörigen inkrementellen Sicherungen.
Da der Veeam Agent Dienst immer im Kontext des lokalen Systems (SYSTEM) ausgeführt wird, benötigt nur dieses Konto die entsprechenden Schreibrechte im eben erwähnten Ordner:
Für den Sicherungsordner ist in der erweiterten Sicherheitseinstellung zunächst die Vererbung zu deaktivieren (Einstellungen kopieren). Danach werden allen Benutzerprinzipals – außer dem SYSTEM – die Schreibrechte entzogen. Mit dieser Konfiguration kann der Veeam Agent nach wie vor Sicherungen erstellen (und die Dateien für die Wiederherstellung lesen), alle anderen Benutzer – egal ob Trojaner oder Anwender – können die Dateien nur noch lesen.
Mit dieser Konfiguration und bei regelmäßiger Sicherung besteht ein durchaus hoher Schutz vor Ransomware. Auch komplette Wiederherstellungen sind damit problemlos möglich. Zusätzlich empfehle ich, die komplette Festplatte mit BitLocker zu verschlüsseln, um den Zugriff auf die gesicherten, womöglich sensiblen Daten, durch Fremde wirksam zu verhindern.
Fazit
Die hier beschriebene Lösung habe ich bei einer äußerst gelungenen Veranstaltung von Veeam (VeeamOnTour, Oktober 2017 in Leipzig) aus dem Vortrag von Marco Horstmann entnommen. Da ich von Veeam weder Geld noch sonstige Zuwendungen erhalte, soll dies verdeutlichen, wie überzeugt und zufrieden ich mit den Produkten von Veeam bin. Wie bei allen meinen Beiträgen gilt: Bei Tipps, Vorschlägen sowie Fragen oder Kritiken hinterlasst bitte einen Kommentar.