Ransomware

Sonstiges (nicht kategorisierbar)

Moderator: Moderatoren

Benutzeravatar
azzo
Rekursionen-Architekt
Rekursionen-Architekt
Beiträge: 288
Registriert: So, 28. Mär 2010 19:21

Ransomware

Beitrag von azzo » Mo, 30. Jul 2018 17:17

Hallo,
Ich plane einen einfachen Schutz meiner Daten gegen Ransomware.
Da ich weiß, dass in meinen Datenordnern nur dbf-, ftp- und cdx-Dateien sein sollten, dachte ich, ich könnte beim Start ein FW-Programm laufen lassen und alle Datenordner überprüfen.
Wenn es eine Datei mit einer anderen Dateiendung gibt, wird der Server herunterfahren.

Es wäre gut, wenn das Programm ein Service wäre.
Wie startet man das Programm am besten?

Wie kann man den Server neu starten, dass man nach einem Angriff nicht in einer Schleife läuft?

Vielen Dank für eure Hilfe
Otto

Code: Alles auswählen

#include "FiveWin.ch"
static oWnd, oTimer
//----------------------------------------------------------------------------//

function Main()
   DEFINE DIALOG oWnd FROM 3, 3 TO 20, 50 ;
      TITLE OemToAnsi( "Testing timers" )

   ACTIVATE DIALOG oWnd ;
      ON INIT  StartTimer()

return nil

//----------------------------------------------------------------------------//
function StartTimer()
   DEFINE TIMER oTimer OF oWnd ;
      INTERVAL 300 ;
      ACTION ( check() )

   ACTIVATE TIMER oTimer
return nil
//----------------------------------------------------------------------------//


function check()
   local aDir   := directory( "x:\xwhdaten\DATAWIN\" + "*.*","DHS")
   local I := 1
   local cFilename := ""
   local lFehler := .f.
   local cFehler := ""

   oTimer:Deactivate()

   FOR I := 1 to len( aDir )
      lFehler := .T.

      if    aDir[ I , 1 ]  <>  "."
         if ALLTRIM ( UPPER( cFileExt( aDir[ I , 1 ] ) ) ) = "DBF"
            lFehler := .f.
         endif
         if UPPER( cFileExt( aDir[ I , 1 ] ) ) = "FPT"
            lFehler := .f.
         endif
         if UPPER( cFileExt( aDir[ I , 1 ] ) ) = "CDX"
            lFehler := .f.
         endif
         if lFehler = .t.
            cFehler += aDir [ I, 1 ] + CRLF
            FWLOG cFehler
            winexec( "abmelden.bat" )
         endif

      endif
   next

   oTimer:activate()
return nil




ramses
Programmier-Gott
Programmier-Gott
Beiträge: 1377
Registriert: Mi, 28. Jul 2010 17:16

Re: Ransomware

Beitrag von ramses » Di, 31. Jul 2018 21:47

Hallo Otto

es gäbe da noch eine andere sehr einfache Lösung.
Das ZFS Filesystem. Das verwendete Copy-On-Write erlaubt es, sehr effizient Snapshots zu erstellen, dies geschieht praktisch sofort und das Dateisystem bleibt online. Ein Snapshot friert den aktuellen Dateisystemzustand ein, darauf folgende Schreiboperationen repräsentieren jeweils die Differenzen zum letzten Snapshot. ZFS-Snapshots können zum Lesen gemountet oder auch archiviert werden, des Weiteren gibt es ZFS-Clones, diese entsprechen einem beschreibbaren Snapshot. Oder auch Rollbacks. Das könnte z.B. so eingestellt werden dass alle Stunden ein Snapshot erstellt wird und nach 5 Tagen wieder gelöscht wird, oder jeweils der erste einer Woche für 2 Monate gespeichert bleibt. usw.

Grus Carlo
Valar Morghulis

Gruss Carlo

Benutzeravatar
azzo
Rekursionen-Architekt
Rekursionen-Architekt
Beiträge: 288
Registriert: So, 28. Mär 2010 19:21

Re: Ransomware

Beitrag von azzo » Do, 27. Jun 2019 19:24

Switchable Hub
Hallo,

ich habe heute mein schaltbares USB HUB in Betrieb genommen.
Man kann hier einfach mit einer mitgelieferten Software die Ports ein und ausschalten.
Dies hat den gleichen Effekt wie das physische Verbinden / Trennen eines Geräts mit einem Anschluss eines typischen USB-Hubs.

Ich denke, dass dies eine zusätzliche Sicherheit ist.

Mit freundlichem Gruß
Otto


Bild

-d down / -u up / -g get status

Bild

Bild

Bild

Benutzeravatar
Hans Zethofer
Rekursionen-Architekt
Rekursionen-Architekt
Beiträge: 271
Registriert: Fr, 27. Jan 2006 8:29
Wohnort: 2700 Wiener Neustadt
Kontaktdaten:

Re: Ransomware

Beitrag von Hans Zethofer » Fr, 28. Jun 2019 9:11

von wo hast du das Modul bezogen?
_____________
lg
Hans

Benutzeravatar
brandelh
Foren-Moderator
Foren-Moderator
Beiträge: 14779
Registriert: Mo, 23. Jan 2006 20:54
Wohnort: Germersheim
Kontaktdaten:

Re: Ransomware

Beitrag von brandelh » Fr, 28. Jun 2019 9:19

Das klingt ja wirklich interessant.
Hast du da eine Vertriebsadresse / Produktbeschreibung dazu ?
Gruß
Hubert

Benutzeravatar
azzo
Rekursionen-Architekt
Rekursionen-Architekt
Beiträge: 288
Registriert: So, 28. Mär 2010 19:21

Re: Ransomware

Beitrag von azzo » Fr, 28. Jun 2019 9:39

Hallo,
Ich habe das Teil hier bestellt.
Es gibt nun auch ein USB 3.1 HUB.

https://www.yepkit.com/products/ykush

Ich bin gespannt, ob die WINDOWS SERVER SICHERUNG heute problemlos auf die - über Timer freigegebene - 2. Platte sichert.

Man kann auch über die Seriennummer mehrere HUBs ansteueren.



LG
Otto

Benutzeravatar
Hans Zethofer
Rekursionen-Architekt
Rekursionen-Architekt
Beiträge: 271
Registriert: Fr, 27. Jan 2006 8:29
Wohnort: 2700 Wiener Neustadt
Kontaktdaten:

Re: Ransomware

Beitrag von Hans Zethofer » Fr, 28. Jun 2019 9:48

Danke für die Info - ein passendes Gehäuse gibt es nicht dazu - oder?
Beim Kunden sollte es nicht so frei herumliegen.
_____________
lg
Hans

Benutzeravatar
brandelh
Foren-Moderator
Foren-Moderator
Beiträge: 14779
Registriert: Mo, 23. Jan 2006 20:54
Wohnort: Germersheim
Kontaktdaten:

Re: Ransomware

Beitrag von brandelh » Fr, 28. Jun 2019 9:59

Schau mal hier, sieht auch interessant aus, habe ich aber nur so im Internet gesucht (nach der Anregung oben)

https://www.mcd-elektronik.de/produkte/ ... ltbar.html
Gruß
Hubert

Benutzeravatar
azzo
Rekursionen-Architekt
Rekursionen-Architekt
Beiträge: 288
Registriert: So, 28. Mär 2010 19:21

Re: Ransomware

Beitrag von azzo » Fr, 28. Jun 2019 10:06

Hallo,
ein Plan zum Drucken eines Gehäuses liegt bei. :-)
LG
Otto

Benutzeravatar
Hans Zethofer
Rekursionen-Architekt
Rekursionen-Architekt
Beiträge: 271
Registriert: Fr, 27. Jan 2006 8:29
Wohnort: 2700 Wiener Neustadt
Kontaktdaten:

Re: Ransomware

Beitrag von Hans Zethofer » Fr, 28. Jun 2019 10:09

=D>
_____________
lg
Hans

Benutzeravatar
azzo
Rekursionen-Architekt
Rekursionen-Architekt
Beiträge: 288
Registriert: So, 28. Mär 2010 19:21

Re: Ransomware

Beitrag von azzo » Fr, 28. Jun 2019 10:11

Hubert,

danke. Schaut sehr interessant aus, ist aber etwas teuer.

LG
Otto

Benutzeravatar
brandelh
Foren-Moderator
Foren-Moderator
Beiträge: 14779
Registriert: Mo, 23. Jan 2006 20:54
Wohnort: Germersheim
Kontaktdaten:

Re: Ransomware

Beitrag von brandelh » Fr, 28. Jun 2019 10:13

Wie sieht das eigentlich mit Überspannungen aus ?

Mein Elektriker meinte, dass ein direkter Treffer nur durch viel Technik im Hausverteiler überlebt werden kann ... ok war mir zu aufwändig,
alle Häuser im Umkreis sind höher und 2 Bäume auch noch.

Der Rechner hängt an einer geschützen Steckerleiste, das Netzteil dürft den ersten Schlag abbekommen ... reicht der Rest für HUB und angeschlossene USB Platten ?
Gruß
Hubert

Benutzeravatar
azzo
Rekursionen-Architekt
Rekursionen-Architekt
Beiträge: 288
Registriert: So, 28. Mär 2010 19:21

Re: Ransomware

Beitrag von azzo » Fr, 28. Jun 2019 11:33

Hallo Hubert,
in meinem Kundenkreis ist praktisch die RANSOMWARE das Problem.
Ich denke bei dieser Lösung hauptsächlich an eine zusätzliche Zwischendurchsicherung.
LG
Otto

Benutzeravatar
Manfred
Foren-Administrator
Foren-Administrator
Beiträge: 18742
Registriert: Di, 29. Nov 2005 16:58
Wohnort: Kreis Wesel

Re: Ransomware

Beitrag von Manfred » Fr, 28. Jun 2019 12:02

Hubert,
dürfte da nicht eine halbwegs vernünftige USV viel mehr abfangen?
Gruß Manfred
Mitglied der XUG Leverkusen
Mitglied der XUG Osnabrück
Schatzmeister des Deutschsprachige Xbase-Entwickler e.V.
großer Fan des Xbaseentwicklerwiki https://wiki.xbaseentwickler.de/index.p ... Hauptseite

Benutzeravatar
azzo
Rekursionen-Architekt
Rekursionen-Architekt
Beiträge: 288
Registriert: So, 28. Mär 2010 19:21

Re: Ransomware

Beitrag von azzo » Fr, 28. Jun 2019 17:14

Hallo,

bei meinen Kunden habe ich mit 32 GB genug Speicherplatz für die Datensicherung.
Kosten für diese Einheit unter 100€.
LG
Otto

Bild

Benutzeravatar
HaPe
Foren-Moderator
Foren-Moderator
Beiträge: 718
Registriert: So, 15. Nov 2015 17:44
Wohnort: 71665 Vaihingen-Enz

Re: Ransomware

Beitrag von HaPe » Sa, 29. Jun 2019 10:01

Hallo Zusammen !

Ich verstehe Ottos Lösung so, dass man die am Modul eingesteckte Hardware (Stick) vor der Sicherung "mountet" und nach der Sicherung wieder automatisch "dismountet". Und das alles vollautomatisch.
Habe ich das so korrekt verstanden?

Wenn ja, dann habe ich mit DiskPart eine (kostenfreie) Lösung:
Festplatte, Stick, USB-Festplatte usw.
Entmounten geht mit folgendem Skript setDVD_M_Off.dskpr:
SELECT VOLUME 0
REMOVE LETTER=M

Mounten mit diesem in Datei setDVD_M_On.dskpr:
SELECT VOLUME 0
ASSIGN LETTER=M

Dann als Batch dieses ausführen:
diskpart -s setDVD_M_Off.dskpr
oder
diskpart -s setDVD_M_On.dskpr

Ferddisch :D

Wie von Geisterhand ist das Laufwerk M weg oder wieder da ...

Bischen Info zu diskpart:
https://www.disk-partition.com/de/windo ... enden.html
--
Hans-Peter

Organisator der XUG Stuttgart
Beisitzer des Deutschsprachige Xbase-Entwickler e. V.

Benutzeravatar
azzo
Rekursionen-Architekt
Rekursionen-Architekt
Beiträge: 288
Registriert: So, 28. Mär 2010 19:21

Re: Ransomware

Beitrag von azzo » Sa, 29. Jun 2019 11:19

Hallo Hans-Peter,

so macht es eigentlich auch die WINDOWS SERVER SICHERUNG.
Du kannst dann aber einfach mit list volume | select volume| assign letter wieder einen Laufwerksbuchstabe zuordnen.
Und dann kann die RANSOMWARE wieder werkeln.

LG
Otto

Benutzeravatar
HaPe
Foren-Moderator
Foren-Moderator
Beiträge: 718
Registriert: So, 15. Nov 2015 17:44
Wohnort: 71665 Vaihingen-Enz

Re: Ransomware

Beitrag von HaPe » Sa, 29. Jun 2019 17:57

Hallo Otto !
Du kannst dann aber einfach mit list volume | select volume| assign letter wieder einen Laufwerksbuchstabe zuordnen.
Und die Ransomware kennt das und weiss damit umzugehen?
--
Hans-Peter

Organisator der XUG Stuttgart
Beisitzer des Deutschsprachige Xbase-Entwickler e. V.

Benutzeravatar
azzo
Rekursionen-Architekt
Rekursionen-Architekt
Beiträge: 288
Registriert: So, 28. Mär 2010 19:21

Re: Ransomware

Beitrag von azzo » Sa, 29. Jun 2019 18:24

Hallo Hans-Peter,
leider.

Mit besten Grüßen
Otto

ramses
Programmier-Gott
Programmier-Gott
Beiträge: 1377
Registriert: Mi, 28. Jul 2010 17:16

Re: Ransomware

Beitrag von ramses » Sa, 29. Jun 2019 22:36

Wenn du Opfer eines gezielten Angriff bist hilft vermutlich auch der USB Switch nicht unbedingt weiter ..... Jedenfalls besteht da ein gewisses Risiko.
Weil es gibt auch Angriffe da wird zuerst explizit nach Versteckten Laufwerken, auf Hinweise auf die benutzen Sichungstaktiken gesucht um möglichst eine umfassende Wirkung/Schaden zu erzielen. Sogar Daten auf angeschlossenen Bandlaufwerken wurden schon gekillt.
Als einzige Sicherung würde ich das nicht benutzen und mich schon überhaupt nicht darauf verlassen. Auch USB-Sticks haben nicht unbedingt eine gute Lebensdauer. Besser sind noch SSD Festplatten oder gar normal Festplatten. Den besten Schutz und Sicherheit bieten noch immer Bandlauftwerke mit genügend Medien und einem Backupplan und natürlich Disziplin mit täglichem wechsel der Kassette....... Leider ist dies nicht die günstigste Variante.
Valar Morghulis

Gruss Carlo

Benutzeravatar
azzo
Rekursionen-Architekt
Rekursionen-Architekt
Beiträge: 288
Registriert: So, 28. Mär 2010 19:21

Re: Ransomware

Beitrag von azzo » Di, 02. Jul 2019 14:40

Hallo,
ich habe in der Zwischenzeit noch beim Hersteller nachgefragt, ob man das HUB auch mit einem Passwortschutz erhalten kann.
Ich denke es wird möglich sein.
Dann wäre diese Art zum Sichern noch besser und sicherer.
LG
Otto

D
ies kann durch Ändern der Firmware implementiert werden. Es gibt zwei Szenarien.
1. Bei Verwendung von YKUSH-Karten ist das Passwort statisch und werkseitig programmiert. Dieses Passwort kann nicht geändert werden und ist für diese Karte eindeutig.
2. Bei Verwendung von YKUSH3-Karten werden die Karten mit einem Standardkennwort ausgeliefert, und der Client kann das Kennwort nach Erhalt ändern. So kann der Benutzer mit dem Passwort das Passwort jederzeit durch ein neues Passwort ersetzen. Die Änderung des Passworts erfolgt über einen neuen Befehl auf ykushcmd, der das aktuelle Passwort erfordert und dann die Eingabe des neuen Passworts fordert.
Dies erfordert die Entwicklung der geänderten Firmware, verursacht jedoch keine zusätzlichen Kosten. Trotzdem kann es einige Wochen dauern, bis es fertig ist.

Benutzeravatar
AUGE_OHR
Marvin
Marvin
Beiträge: 11946
Registriert: Do, 16. Mär 2006 7:55
Wohnort: Hamburg

Re: Ransomware

Beitrag von AUGE_OHR » Fr, 12. Jul 2019 1:01

azzo hat geschrieben:
Fr, 28. Jun 2019 11:33
in meinem Kundenkreis ist praktisch die RANSOMWARE das Problem.
Ich denke bei dieser Lösung hauptsächlich an eine zusätzliche Zwischendurchsicherung.
YUP ... lieber eine mehr als zu wenig :!:

Frage :
wie machst die die Datensicherung :?:
was für eine Software :?:
schaltest du dann einen USB-Stick "on" und dann wieder "off" :?:

man hat nun 3 USB Medien im "Magazin" also 3 Tage.
wenn es nach 4 Tagen von vorne los geht dann könnten nach 1 Woche alle 3 USB-Sticks befallen sein.

das "Magazin" sehe ich wie eine USV also für eine kurze Zeit.
Im Grunde müsste man das "Magazin" mit USB-Stick nach 3 Tagen austauschen.

---

ich sicher primär Source Code also ASCI von Projekten und das sind keine GB sondern MB.
dafür reicht auch ein 512 MB USB-Stick "pro Tag" aus. also jeden Tag ein neuer USB-Stick !

solche USB-Stick bekommt man bei eBay aus China für 1-2 € also gut 1 Dutzend für 22,- € (wegen Zoll)
Der Kunde bekommt am Ende des Projekt dann einen Karton mit den USB-Sticks (die er bezahlt hat ...)

wer sich für meine Xbase++ "Backup" App interessiert siehe hier
viewtopic.php?f=16&t=10488&p=122234
gruss by OHR
Jimmy

Benutzeravatar
azzo
Rekursionen-Architekt
Rekursionen-Architekt
Beiträge: 288
Registriert: So, 28. Mär 2010 19:21

Re: Ransomware

Beitrag von azzo » Sa, 13. Jul 2019 11:46

Hallo Jimmy,
du kannst die HUBs gezielt unter Einbeziehung der Seriennummer ansprechen.
Damit kannst du auch mehrere Einheiten steuern.

Wie hast du bei deiner Lösung das Problem mit gesperrten Dateien gelöst.

Ich verwende zum Datensicherung auf die Software Syncovery. Hier kann ich einfach ein Vorher-Nachher"-Script aufrufen.


LG
Otto

Benutzeravatar
AUGE_OHR
Marvin
Marvin
Beiträge: 11946
Registriert: Do, 16. Mär 2006 7:55
Wohnort: Hamburg

Re: Ransomware

Beitrag von AUGE_OHR » So, 14. Jul 2019 2:44

azzo hat geschrieben:
Sa, 13. Jul 2019 11:46
du kannst die HUBs gezielt unter Einbeziehung der Seriennummer ansprechen.
Damit kannst du auch mehrere Einheiten steuern.
das hört sich Super an =D>
azzo hat geschrieben:Wie hast du bei deiner Lösung das Problem mit gesperrten Dateien gelöst.
ich mache damit ja keine "Voll-Sicherung" sondern nur die Daten von einem Project an dem ich arbeite.
---
ich habe noch eine andere Xbase++ App "USE-Auto" was beim einstecken eines USB-Stick "reagiert" und dann "schnell mal" ein Backup der neuen/geänderten Dateien macht.
azzo hat geschrieben:Ich verwende zum Datensicherung auf die Software Syncovery. Hier kann ich einfach ein Vorher-Nachher"-Script aufrufen.
hört sich gut an ... muss ich mir mal ansehen.
gruss by OHR
Jimmy

PatrickRockhill
Rookie
Rookie
Beiträge: 1
Registriert: Mi, 17. Jul 2019 12:49

Re: Ransomware

Beitrag von PatrickRockhill » Mi, 17. Jul 2019 13:06

Another simple technique to reduce the potential effects of ransomware is to use custom file extensions where possible. The common DBF extension along with index extensions and other common file extensions are sought by many of the ransomware programs. Database files used internally by your application could be maintained with an extension invented by you (the developer) for your application. Only files needing access by users (typically those provided as final output or shared by other applications not under your solution's control) may need to continue with the DBF or other such common extension (unless you inform the receiving user that, for example, the ".XYZ" file is actually a standard DBF). Every data file type not expecting use by other applications could have its own extension, which for many Xbase applications may include most of the valuable content. If you use Advantage Database Server, this practice can be applied there, as well.

Antworten