Ransomware en cryptoware

Is er ergens iets zinnigs te lezen over ransom- en cryptoware?
Het is inmiddels in de pers een hot item, maar er lijken nogal wat indianenverhalen te zijn.
Hoe groot is het risico voor Macgebruikers?
Wat zijn de mogelijke problemen bij externe Timemachine schijven, NAS en/of externe CCC-schijven in een thuisnetwerk etc, etc.
Maar vooral, hoe bescherm je je het best en kun je door bijvoorbeeld gewoon een bootable externe Backupschijf te hebben zeker zijn van een herstelmogelijkheid?

Bangmakerij in komkommertijd… Negeren!

Neemt niet weg dat het een goede vraag is. Ik ben ook benieuwd. Eigenlijk ben ik er altijd vanuit gegaan dat je het OS opnieuw kunt installeren en dan je externe Time Machine terug kunt zetten maar twijfel nu ook wel een beetje. Die TM kan toch ook geïnfecteerd zijn?

Ja klopt.

Het probleem met dit soort ransomware is dat je backups mede encrypted kunnen worden.

De ransomware is effectief als hij:

  • toegang heeft tot je schijven (dus ook samba/cifs/afp shares die je mounted op je desktop hebt zijn in gevaar)
  • de bestanden kan identificeren (dis als ze ‘gewoon’ als docx, mp3, etc. op de backup staan)

TimeMachine backups zijn niet helemaal veilig, omdat de schijf vaak gemount is en je toegang hebt tot de ‘gewone’ bestanden. Er wordt gezegd dat er varianten zijn die TM kunnen infecteren.

Alle online tools die iets ‘mounten’ of ‘syncen’ zijn ook niet veilig (Dropbox, Onedrive, Sugarsync, Box, …).

Wat je kunt doen, in een notendop:

  • backups maken met tools die een tijdelijke verbinding maken naar een externe machine (bv. sftp)
  • de tooling encrypt de bestanden en laat ze in een onherkenbare vorm achter (bv. btsync doet dit)
  • probleem blijft dat je altijd moet kunnen ‘tijdreizen’ in je bestanden, omdat je natuurlijk ook je geïnfecteerde bestanden ooit een keer vrolijk mee backupt…

Best lastig.

Ik gebruik een combi van tools, waarbij een belangrijk wapen is dat de tool die het naar buiten sftp’t eigenlijk niet zo vaak een backup maakt.

Ik doe het nog niet maar ik zou het volgende doen:

  • TM naar een server (NAS, OSX Server)
  • Af en toe een backup van de TM schijf naar een externe sftp server (doe ik nu met Transmit, maar dat is eigenlijk niet voldoende)

en/of:

  • btsync met encryptie naar andere machine
  • af en toe een backup met sftp van die andere machine (als boven)

En dan eigenlijk een backup tool gebruiken die echt verschillende backup strategieën voor je kan uitvoeren (dus niet Transmit gebruiken :slight_smile:

Maar ik denk dat anderen al lang betere strategieën hebben bedacht.

Ik hoor graag betere ideeën!

Groet en succes.
R.

O ja, ik heb nog een mogelijke strategie, maar die heb ik nog niet in applicaties of tools gezien - dat wordt dan scripten: gewoon backups maken, maar de kopie read-only maken. Dan kan een infecterend stuk ransomware weliswaar de bestanden misschien zien, maar niet veranderen.

Iemand die dit al operationeel heeft?

Groet,
R.

Ik las @renato Het probleem met dit soort ransomware is dat je backups mede encrypted kunnen worden.

Geldt dit ook als mijn externe schijven versleuteld zijn met FileVault? Hoe staat het met bestanden, die ik zelf versleutel heb? De meeste Microsoft Word en Microsoft Excel bestanden heb ik met een 256 AES versleuteld. Dus met een wachtwood. Deze zijn niet te openen.
Ik maak mij ook geen zorgen over ransomware. De meeste rommel / advertenties krijg ik binnen via mijn GMail account. Mijn GMail wordt geopend in de Fluid app.
Microsoft Outlook 2011 op mijn Mac Mini gooit automatisch alle phishing mail in spam folder.
Dus mijn belangrijkste documenten zijn door mij zelf versleuteld met een wachtwoord. Deze zijn dus niet te openen en te wijzigen

Gr.
Henk

Een versleuteld bestand is niet veilig tegen dit soort malware, want dat kan het bestand gewoon nóg een keer versleutelen. Vergelijk het met zipbestanden: je kunt een zipbestand inpakken in een ander zipbestand, zodat wanneer je dat tweede uitpakt, het eerste zipbestand weer tevoorschijn komt, maar (nog) niet de bestanden die erin zitten.

Op mijn Mac Mini gebruik ik een aantal apps, die mijn bestanden Synchroniseren.
Google Drive en Microsoft One Drive.
In dit geval lijkt mij het beste om deze synchronisatie apps uit te zetten of te verwijderen.
Hierdoor blijven mijn cloud bestanden dus veilig op internet.
Iemand een idee!

Misschien denk ik te simpel, maar ik maak continu een backup met time-machine, deze zal in theorie dan ook versleuteld zijn. Daarnaast maak ik wekelijks een ccc backup van de hele partitie/installatie. Deze mount ik wekelijks en na de backup gaat deze weer mee naar kantoor.

Op deze manier heb je toch altijd een back up die je terug kunt zetten in het geval dat. (met dan de kanttekening dat deze maximaal 7 dagen oud is natuurlijk in mijn geval)

Je kunt bv een tweede TM backup maken op een andere HD, eens per week of zo.

Maar als ik het zo hoor, zou ik maar offline gaan en nooit meer online komen, vanwege al het gevaar.

Ik vraag me af in hoeverre online-diensten hier “filters”/alarmmeldingen voor hebben… In principe krijgen via ransomware versleutelde bestanden een eigen extensie of bestandsnaamtoevoeging, dus als die tegengekomen wordt zou een backup systeem aan de bel moeten trekken.

Ik heb 2 NASSEN, een QNAP en een Synology standaard in mijn thuisnetwerk draaien, beiden met TimeMachine.
Mijn iMac en Mac mini staan ook altijd aan.

Daarnaast heb ik een externe HD van 4Tb aan de Mac hangen;
2Tb is TimeMachine en
2Tb is een bootable CCC backup van mijn interne schijf.

Ik denk dat ik die voortaan loskoppel en bijv. om de dag aansluit en een TM en een CCC backup maak en dan weer los koppel.

Dan heb ik altijd een bootable backup om te herstellen,…toch…?

Het grote probleem is dat ransomeware vaak niet direct werkt. Je bent wel geïnfecteerd maar pas (enkele) dagen later begint de eigenlijke versleuteling (in etappes). Pas als alle bestanden versleuteld zijn, krijg je een melding dat je Mac is versleuteld en dat je zoveel bitcoins mag overmaken naar een bepaald adres. En eigenlijk is het dan vanuit het oogpunt van backups al VEEL te laat.

De enige hoop is dan nog een incremental backup, zodat je kan teruggaan naar een volledige backup van een datum vóórdat je geïnfecteerd bent geraakt. Je bent dan dus min of meer verplicht om een backup disk te hebben die minimaal 2x (maar liefst veel meer) de grootte van je interne disk is.

CCC en TM zijn toch incrementale backups?

Ik zit nog te broeden op een andere oplossing (die misschien met wat simpele tooling a la Hazel te implementeren is).

De meeste bestanden op je schijven (mp3, films, documenten, etc.) zijn eigenlijk stabiel. Je verandert er zelf niks meer aan. Waarom maak je die dan niet read-only? Dan kan de ransomware die niet versleutelen.

Als je er dan een wil veranderen, dan moet je bij een save actie een password invoeren. OF je laat die gewoon schrijfbeveiligd. Dan is de kans op verlies er nog wel, maar de schade kleiner. Zeker als je ook nog een redelijke backup strategie hebt.

Ik heb even gekeken (ik gebruik mijn spullen zakelijk - consultancy dus veel documenten!) en bij mij is het echt >99% dat stabiel is en waar ik dus nooit meer aan kom behalve inkijken/afspelen.

Groet,
René
PS: Hazel kan nog geen access rights zetten. Misschien maar eens als ‘feature rekest’ bij ze indienen.

Een ik bedoel ‘dan laat je die gewoon schrijfbevoegd’

@OMT-fan:

Ja, TM is een incremental backup, maar die kunnen dus ook geïnfecteerd worden. De bestanden zijn namelijk gewoon ‘vindbaar’ vanuit de Finder als de TM disk gemount is. Ze kunnen dus vrolijk geïnfecteerd worden.

Groet,
René

Ik heb vanmorgen, in de app Microsoft One Drive voor OSX en Google Drive voor OSX de accounts uitgeschakeld. Mijn TM backup wordt op dit moment gescand op adware / spyware en virussen. Dit gaat wel een tijdje duren. Mijn Macintosh HD is getest op virussen door F-Secure en MalwareBytes Anti Malware zonder resultaat. Het lijkt mij dus verstandig om geen programma’s van Internet te installeren, maar alleen uit de app-store van Apple. Het komende weekend, scan ik mijn andere TM back-up. De TM back-ups zijn gewoon te benaderen via Finder.
Ik vind, wie ben ik, dat de telco’s / internet providers veel actiever moeten zijn in het blokkeren van malware en phishing mails. Dit geld natuurlijk ook voor diensten van Google / Yahoo / Microsoft en Facebook.

Gr.

Henk