Wie kann ich erkennen, ob eine Datei durch Ransomware verschlüsselt wurde?
Hallo!
Ich brauche einen Denkanstoß – daher das Thema in dieser Rubrik.
Welche Möglichkeiten gibt es, zu erkennen, ob eine Datei durch Ransomware verschlüsselt wurde? Hierbei handelt es sich u. a. um VHDX, XML, VEEAM-Backups usw.
Ich möchte wissen, bevor ich einige Sicherungen auf externe Medien kopiere, ob diese verschlüsselt wurden. Ich dachte, die Dateianfänge zu interpretieren bzw. die Dateierweiterungen.
Gibt es bessere Möglichkeiten in Form einer Bibliothek, die das erkennen könnte?
Für eure Ideen im Voraus vielen Dank!
René
René
Dazu gab es auf Reddit vor gar nicht all zu langer Zeit eine Art Studie, die die Dateien behandelt hat; leider finde ich das Thema gerade nicht.
Da Verschlüsselung, die oft auf RSA basiert, durchaus auch legitim sein kann, kannst Du daran alleine nichts erkennen.
Oft werden die Dateien auch nicht umbenannt oder bekommen eine eigene Endung; kenne nur .encrypt bei einem spezifischen Trojaner, der das macht.
Das Fazit war daher auch bei Reddit, dass auf Datei-Ebene keine wirkliche Erkennung möglich ist; oder dass Du eben Annahmen treffen musst wie "Wenn es eine PDF ist, dann kann der Inhalt niemans SHA / RSA sein".
Da wird das nächste Problem sein, dass Du bei vielen Verschlüsselungen vom Inhalt nicht auf die Art Rückschlüsse ziehen kannst.
- performance is a feature -
Microsoft MVP - @Website - @AzureStuttgart - github.com/BenjaminAbt - Sustainable Code
Danke! Ich dachte es mir schon, dass es nicht einfach sein wird. Allerdings kann ich in meinem speziellen Fall schon Annahmen treffen, da es sich immer um dieselben Dateien handelt – *.vhdx, *.xml, *.vbk usw.
Allerdings, wenn ich ein Gauner wäre, würde ich den Anfang solcher Dateien nicht verschlüsseln, um genau zu vermeiden, dass jemand anhand des Dateibeginns bzw. -kopfes die Verschlüsselung erkennt.
Ich sehe das schon, ganz einfach ist das Thema nicht.
LG
René
@Abt
Kannst du die mal verlinken?
Würde ich schon für lesenswert halten.
@pollito
In deinem Fall könntest du ggf. durch einbinden/starten der VMs und Testweise Wiederherstellung prüfen können ob diese noch gültig sind.
Eine genaue Prüfung kannst du sonst mit einfachen Mitteln vermutlich nicht umsetzen.
Wenn sich die Dateien nie ändern würden, könnte man ggf. per File Hash arbeiten.
Aber bei Backups von VMs und anderen Dateien, die sich regelmäßig ändern können wird dies nicht sinnvoll sein.
T-Virus
Developer, Developer, Developer, Developer....
99 little bugs in the code, 99 little bugs. Take one down, patch it around, 117 little bugs in the code.
Der Link zur Studie wäre in der Tat super.
Das Einbinden von VHDX-Dateien fällt wahrscheinlich flach, wenn das Prüfprogramm auf Ubuntu unter dotnet core läuft.
LG
René
Wenn ich's finde, verlinke ichs.
Ich frag mich was Dein Ziel ist.
Das einzig wirkliche Mittel gegen Ransomware sind ja eben Backups; und eine moderne Backupssoftware erkennt ja das Diff zwischen Backups - das sollte bei einer großflächigen Änderung, wie es Ransomware macht, sofort zu erkennen sein - an einem Spike der Changes.
Ich hoff nicht, dass Du Backups immer überschreibst und daher die Angst hast, dass eine verschlüsselte Datei die Vergangenheit überschreibt.
Gibt ja nicht umsonst die implizit gesetzliche Pflicht der Revisionssicherheit für Backups bei Unternehmen.
- performance is a feature -
Microsoft MVP - @Website - @AzureStuttgart - github.com/BenjaminAbt - Sustainable Code
Wenn ich's finde, verlinke ichs.
Prima. Ich hoffe, du findest es.
Ich frag mich was Dein Ziel ist.
Einfach die VHDX kurz vor dem Übertragen auf das externe Medium prüfen. Zwischen Windows-Server-Backup und Übertragung ist eine Zeitspanne, in der was passieren könnte.
Das einzig wirkliche Mittel gegen Ransomware sind ja eben Backups; und eine moderne Backupssoftware erkennt ja das Diff zwischen Backups - das sollte bei einer großflächigen Änderung, wie es Ransomware macht, sofort zu erkennen sein - an einem Spike der Changes.
Ist klar. Aber wir haben nun einige Installationen, in denen die Datensicherungen auf einem lokalen Repository abgelegt werden, bevor diese auf das externe Speichermedium übertragen werden. Wenn festgestellt wird, dass unvorhersehbare Änderungen stattfanden, sollte die Übertragung auf das externe Medium nicht mehr stattfinden.
Ich hoff nicht, dass Du Backups immer überschreibst und daher die Angst hast, dass eine verschlüsselte Datei die Vergangenheit überschreibt.
Gibt ja nicht umsonst die implizit gesetzliche Pflicht der Revisionssicherheit für Backups bei Unternehmen.
Nein. Meistens verwenden wir einen Backup-Server mit Veeam, der einen lokalen Speicher für alle Sicherungen bietet. Wenn alle Sicherungen beendet sind, werden diese auf LTO-Kassetten gespeichert. Dazu verwenden wir 24-fach LTO-Storageloader.
Allerdings haben wir auch kleine Installationen mit kleinem Budget mit Windows-Server-Backup und RDX als Externes Speichermedium. Die Funktionsweise ist ähnlich, erst Sicherung auf einem lokalen Repository und danach ab aufs RDX. Gefällt mir weniger, den RDXs sind leicht erreichbar (wie normale Festplatten – was sie auch sind) , nicht so die Bänder.
Also es geht nur um die Zeitspanne zwischen Datensicherungen auf dem lokalen Repository und Übertragung auf das externe Medium. Vielleicht paranoisch, aber ich würde dennoch ein bisschen besser schlafen.
René