myCSharp.de - DIE C# und .NET Community
Willkommen auf myCSharp.de! Anmelden | kostenlos registrieren
 
 | Suche | FAQ

» Hauptmenü
myCSharp.de
» Startseite
» Forum
» FAQ
» Artikel
» C#-Snippets
» Jobbörse
» Suche
» Regeln
» Wie poste ich richtig?
» Forum-FAQ

Mitglieder
» Liste / Suche
» Wer ist wo online?

Ressourcen
» openbook: Visual C#
» openbook: OO
» Microsoft Docs

Team
» Kontakt
» Übersicht
» Wir über uns

» myCSharp.de Diskussionsforum
Du befindest Dich hier: Community-Index » Diskussionsforum » Gemeinschaft » Smalltalk » Wie kann ich erkennen, ob eine Datei durch Ransomware verschlüsselt wurde?
Letzter Beitrag | Erster ungelesener Beitrag Druckvorschau | Thema zu Favoriten hinzufügen

Antwort erstellen
Zum Ende der Seite springen  

Wie kann ich erkennen, ob eine Datei durch Ransomware verschlüsselt wurde?

 
Autor
Beitrag « Vorheriges Thema | Nächstes Thema »
pollito pollito ist männlich
myCSharp.de-Mitglied

avatar-3521.gif


Dabei seit: 26.02.2010
Beiträge: 177
Entwicklungsumgebung: VS2019, Team Developer 6.2


pollito ist offline

Wie kann ich erkennen, ob eine Datei durch Ransomware verschlüsselt wurde?

Beitrag: beantworten | zitieren | editieren | melden/löschen       | Top

Hallo!

Ich brauche einen Denkanstoß – daher das Thema in dieser Rubrik.

Welche Möglichkeiten gibt es, zu erkennen, ob eine Datei durch Ransomware verschlüsselt wurde? Hierbei handelt es sich u. a. um VHDX, XML, VEEAM-Backups usw.

Ich möchte wissen, bevor ich einige Sicherungen auf externe Medien kopiere, ob diese verschlüsselt wurden. Ich dachte, die Dateianfänge zu interpretieren bzw. die Dateierweiterungen.

Gibt es bessere Möglichkeiten in Form einer Bibliothek, die das erkennen könnte?

Für eure Ideen im Voraus vielen Dank!

René
Neuer Beitrag 02.10.2020 12:17 E-Mail | Beiträge des Benutzers | zu Buddylist hinzufügen
Abt
myCSharp.de-Team

avatar-4119.png


Dabei seit: 20.07.2008
Beiträge: 14.300
Herkunft: BW


Abt ist offline

Beitrag: beantworten | zitieren | editieren | melden/löschen       | Top

Dazu gab es auf Reddit vor gar nicht all zu langer Zeit eine Art Studie, die die Dateien behandelt hat; leider finde ich das Thema gerade nicht.

Da Verschlüsselung, die oft auf RSA basiert, durchaus auch legitim sein kann, kannst Du daran alleine nichts erkennen.
Oft werden die Dateien auch nicht umbenannt oder bekommen eine eigene Endung; kenne nur .encrypt bei einem spezifischen Trojaner, der das macht.

Das Fazit war daher auch bei Reddit, dass auf Datei-Ebene keine wirkliche Erkennung möglich ist; oder dass Du eben Annahmen treffen musst wie "Wenn es eine PDF ist, dann kann der Inhalt niemans SHA / RSA sein".
Da wird das nächste Problem sein, dass Du bei vielen Verschlüsselungen vom Inhalt nicht auf die Art Rückschlüsse ziehen kannst.
Neuer Beitrag 02.10.2020 12:31 Beiträge des Benutzers | zu Buddylist hinzufügen
pollito pollito ist männlich
myCSharp.de-Mitglied

avatar-3521.gif


Dabei seit: 26.02.2010
Beiträge: 177
Entwicklungsumgebung: VS2019, Team Developer 6.2

Themenstarter Thema begonnen von pollito

pollito ist offline

Beitrag: beantworten | zitieren | editieren | melden/löschen       | Top

Danke! Ich dachte es mir schon, dass es nicht einfach sein wird. Allerdings kann ich in meinem speziellen Fall schon Annahmen treffen, da es sich immer um dieselben Dateien handelt – *.vhdx, *.xml, *.vbk usw.

Allerdings, wenn ich ein Gauner wäre, würde ich den Anfang solcher Dateien nicht verschlüsseln, um genau zu vermeiden, dass jemand anhand des Dateibeginns bzw. -kopfes die Verschlüsselung erkennt.

Ich sehe das schon, ganz einfach ist das Thema nicht.

LG
Neuer Beitrag 02.10.2020 13:07 E-Mail | Beiträge des Benutzers | zu Buddylist hinzufügen
T-Virus T-Virus ist männlich
myCSharp.de-Mitglied

Dabei seit: 17.04.2008
Beiträge: 1.657
Entwicklungsumgebung: Visual Studio, Codeblocks, Edi
Herkunft: Nordhausen, Nörten-Hardenberg


T-Virus ist offline Füge T-Virus Deiner Kontaktliste hinzu

Beitrag: beantworten | zitieren | editieren | melden/löschen       | Top

@Abt
Kannst du die mal verlinken?
Würde ich schon für lesenswert halten.

@pollito
In deinem Fall könntest du ggf. durch einbinden/starten der VMs und Testweise Wiederherstellung prüfen können ob diese noch gültig sind.
Eine genaue Prüfung kannst du sonst mit einfachen Mitteln vermutlich nicht umsetzen.
Wenn sich die Dateien nie ändern würden, könnte man ggf. per File Hash arbeiten.
Aber bei Backups von VMs und anderen Dateien, die sich regelmäßig ändern können wird dies nicht sinnvoll sein.

T-Virus
Neuer Beitrag 02.10.2020 13:12 E-Mail | Beiträge des Benutzers | zu Buddylist hinzufügen
pollito pollito ist männlich
myCSharp.de-Mitglied

avatar-3521.gif


Dabei seit: 26.02.2010
Beiträge: 177
Entwicklungsumgebung: VS2019, Team Developer 6.2

Themenstarter Thema begonnen von pollito

pollito ist offline

Beitrag: beantworten | zitieren | editieren | melden/löschen       | Top

Der Link zur Studie wäre in der Tat super.

Das Einbinden von VHDX-Dateien fällt wahrscheinlich flach, wenn das Prüfprogramm auf Ubuntu unter dotnet core läuft.

LG
Neuer Beitrag 02.10.2020 13:28 E-Mail | Beiträge des Benutzers | zu Buddylist hinzufügen
Abt
myCSharp.de-Team

avatar-4119.png


Dabei seit: 20.07.2008
Beiträge: 14.300
Herkunft: BW


Abt ist offline

Beitrag: beantworten | zitieren | editieren | melden/löschen       | Top

Wenn ich's finde, verlinke ichs.

Ich frag mich was Dein Ziel ist.
Das einzig wirkliche Mittel gegen Ransomware sind ja eben Backups; und eine moderne Backupssoftware erkennt ja das Diff zwischen Backups - das sollte bei einer großflächigen Änderung, wie es Ransomware macht, sofort zu erkennen sein - an einem Spike der Changes.

Ich hoff nicht, dass Du Backups immer überschreibst und daher die Angst hast, dass eine verschlüsselte Datei die Vergangenheit überschreibt.
Gibt ja nicht umsonst die implizit gesetzliche Pflicht der Revisionssicherheit für Backups bei Unternehmen.
Neuer Beitrag 02.10.2020 17:35 Beiträge des Benutzers | zu Buddylist hinzufügen
pollito pollito ist männlich
myCSharp.de-Mitglied

avatar-3521.gif


Dabei seit: 26.02.2010
Beiträge: 177
Entwicklungsumgebung: VS2019, Team Developer 6.2

Themenstarter Thema begonnen von pollito

pollito ist offline

Beitrag: beantworten | zitieren | editieren | melden/löschen       | Top

Zitat von Abt:
Wenn ich's finde, verlinke ichs.

Prima. Ich hoffe, du findest es.

Zitat von Abt:
Ich frag mich was Dein Ziel ist.

Einfach die VHDX kurz vor dem Übertragen auf das externe Medium prüfen. Zwischen Windows-Server-Backup und Übertragung ist eine Zeitspanne, in der was passieren könnte.

Zitat von Abt:
Das einzig wirkliche Mittel gegen Ransomware sind ja eben Backups; und eine moderne Backupssoftware erkennt ja das Diff zwischen Backups - das sollte bei einer großflächigen Änderung, wie es Ransomware macht, sofort zu erkennen sein - an einem Spike der Changes.

Ist klar. Aber wir haben nun einige Installationen, in denen die Datensicherungen auf einem lokalen Repository abgelegt werden, bevor diese auf das externe Speichermedium übertragen werden. Wenn festgestellt wird, dass unvorhersehbare Änderungen stattfanden, sollte die Übertragung auf das externe Medium nicht mehr stattfinden.

Zitat von Abt:
Ich hoff nicht, dass Du Backups immer überschreibst und daher die Angst hast, dass eine verschlüsselte Datei die Vergangenheit überschreibt.
Gibt ja nicht umsonst die implizit gesetzliche Pflicht der Revisionssicherheit für Backups bei Unternehmen.

Nein. Meistens verwenden wir einen Backup-Server mit Veeam, der einen lokalen Speicher für alle Sicherungen bietet. Wenn alle Sicherungen beendet sind, werden diese auf LTO-Kassetten gespeichert. Dazu verwenden wir 24-fach LTO-Storageloader.

Allerdings haben wir auch kleine Installationen mit kleinem Budget mit Windows-Server-Backup und RDX als Externes Speichermedium. Die Funktionsweise ist ähnlich, erst Sicherung auf einem lokalen Repository und danach ab aufs RDX. Gefällt mir weniger, den RDXs sind leicht erreichbar (wie normale Festplatten – was sie auch sind) , nicht so die Bänder.

Also es geht nur um die Zeitspanne zwischen Datensicherungen auf dem lokalen Repository und Übertragung auf das externe Medium. Vielleicht paranoisch, aber ich würde dennoch ein bisschen besser schlafen.

Dieser Beitrag wurde 2 mal editiert, zum letzten Mal von pollito am 02.10.2020 19:25.

Neuer Beitrag 02.10.2020 19:21 E-Mail | Beiträge des Benutzers | zu Buddylist hinzufügen
Baumstruktur | Brettstruktur       | Top 
myCSharp.de | Forum Der Startbeitrag ist älter als 2 Monate.
Der letzte Beitrag ist älter als 2 Monate.
Antwort erstellen


© Copyright 2003-2020 myCSharp.de-Team | Impressum | Datenschutz | Alle Rechte vorbehalten. | Dieses Portal verwendet zum korrekten Betrieb Cookies. 02.12.2020 19:05