Auf Verschlüsselungs-Trojaner vorbereitet sein

Auf Verschlüsselungs-Trojaner vorbereitet sein

Auch auf dem Mac ist diese Gefahr nicht von der Hand zu weisen. Selten, und bisher nicht großflächig erfolgreich. Das kann sich aber ändern, und es gilt, darauf vorbereitet zu sein. Der Griff zum Virusschutzprogramm ist ein einfacher, macht das Leben aber komplizierter und ist nicht wirklich hilfreich. Alle Virenscanner leben davon, ihre Ziele zu kennen: Entweder über gelieferte Listen mit Beschreibungen oder die Analyse von verdächtigem Verhalten. Bevor man jetzt zum großen Paket für alles greift, können wir nach einem mehrmonatigen Test eine kleine, intelligente Lösung empfehlen: „RansomWhere“, geschrieben von Patrick Wardle von Objective-See. Das Programm wird installiert und überwacht nur, ob Systemprozesse irgendwelche Dateien verschlüsseln. Ist das der Fall,  ploppt ein kleiner Warndialog auf und weist den User auf die Tatsache und den Verursacher hin. In der Regel kann man diese Warnung einer grade gemachten Aktion zuordnen, manchmal muss man den Hinweis etwas aufmerksamer lesen und wenn es sehr merkwürdig erscheint, abbrechen. Ransomware wie „WanneCray“ verschlüsselt Dateien im Hintergrund, und hier würde das kleine Programm helfen. Kostenfrei hier herunterzuladen, wer will, kann den Entwickler über eine Spende unterstützen.

Neuer Backup-Client für entfernte Sicherung

Im Zuge der losgetretenen Diskussion um Trojaner, die alle erreichbaren (gemounteten) Volumen/Festplatten gleich mit verschlüsseln gibt es einen Lichtblick: Ein Backup-Programm, das verschlüsselt in die Cloud sichert und das auf Wegen, die einem solchen Trojaner nicht zugänglich sind.

Nennt sich „Arq„, grad erschienen in der Version 5. Bei uns seit langer Zeit schon im Einsatz, um wichtige Daten automatisch verschlüsselt zu Amazon S3/Glacier zu sichern.

Das Programm besteht aus zwei Komponenten, einer Oberfläche zum Steuern und anzeigen und einem Agent, der im Hintergrund die automatische Sicherung macht.

Als Sicherungsziele gibt es verschiedene:

ArqZiele

Interessant hierbei ist der Eintrag „SFTP“, eine sichere Variante der FTP-Datenübertragung. Das in Kombination mit einem gängigen NAS, welches einen SFTP-Server erlaubt.

Man richtet auf dem NAS einen User ein, legt ein Verzeichnis für SFTP fest und gibt diese Zugangsdaten dann als Ziel in Arq ein. Bei jedem Ziel muss man ein separates Verschlüsselungs-Kennwort eingeben. Mit diesem nur Ihnen bekannten Kennwort verschlüsselt Arq dann die Daten, BEVOR sie den Rechner verlassen. Selbst, wenn dann der Provider Ihrer Wahl oder das NAS gehackt werden, findet der Angreifer nur krauses Zeug, mit dem er nichts anfangen kann.

Nutzt man als Ziel z.B. Amazon, muss man als zusätzliche Sicherheitsanforderung noch den Speicherort („Bucket“) verschlüsseln.

Das Zurückholen der Daten funktioniert sehr schnell und einfach:

arq

Im Bereich „Restore Files“ des Programmfensters klickt man sich bis zum gewünschten Ordner durch und kann dann aus den verschiedenen Backups die gewünschte Datei(en) auf den Schreibtisch ziehen.

Das Hauptfenster gibt auch einen schnellen Überblick, welche Datei wann zuletzt gesichert wurde, und im Falle von Amazon S3, die nach Gigabyte gespeicherter Daten abrechnen, kann man sich die aktuellen Mengen schnell anzeigen lassen. Will man unangenehme Überraschung auf Kostenseite vermeiden, kann man auch ein Limit eingeben, Arq versucht dann, diese Menge durch Löschen alter Backups nicht zu überschreiten.

Wenn Sie sowas gern nutzen wollen: Wir helfen Ihnen gern dabei!

Ein Trojaner für den Mac…

Doch, tatsächlich.

Es gibt einen. Ein Trojaner für den Mac (und andere Systeme).

Ganz heimtückisch. Hat man kaum eine Chance, sich dem zu entziehen.

(Hinweis: Das war Ironie!)

Auf bestimmten Webseiten, wenn man bestimmte Filme (hüstel, hüstel) ansehen möchte, dann erscheint die Aufforderung, ein angeblich fehlendes Plugin zu installieren.

Erster Fehler: Der Mac kann mit maximal einem zusätzlichen Plugin (Flip4Mac) alle gängigen Videoformate wiedergeben.

Und bei der Installation kommt dann noch die Frage, doch bitte sein Admin-Kennwort einzugeben. Und wer das tut, der hat dann einen kleinen Lauscher an Bord, einen Trojaner, der besuchte Webseiten ausspioniert und angezeigte Webseiten mit Werbung garniert.

Aber, mal im Ernst: Das macht doch niemand mehr, einfach angeblich Videoplayer, Downloadhilfen, etc. zu installieren. Oder?