Forebyg datatab i et Ransomware angreb

Ransomware er også dén angrebsform, jeg personligt frygter mest. Men jeg er nok lidt skeptisk overfor løsningen med at have backup i skyen.

I hvert fald de tidligste versioner af ransomware var meget opmærksomme på diverse cloudbackup-løsninger, og virkede derfor ved, at man ventede et stykke tid med at give sig til kende, således at backups langt tilbage i tiden efterhånden også var inficerede. Konkret ved jeg således at man med Dropbox kun kunne hjælpes, hvis man havde købeudgaven. Hvis man kun havde gratis-udgaven, gik backup-historikken ikke langt nok tilbage til, at man kunne finde en ikke-inficeret version.

Om det samme gælder for Mega, ved jeg ikke. Det afhænger jo af, hvor langt tilbage deres historik gælder. Men mit gæt vil i hvert fald være, at man bør gå med en købeudgave, hvis man vil være lidt mere sikker.

Personligt kører jeg med et system, hvor jeg med jævne mellemrum isætter en boot-harddisk, med et helt uafhængigt system, hvor jeg så laver en helt ny backup af mine brugerfiler, som jeg gemmer et antal år. Måske overkill, men det ved jeg jo først, hvis jeg engang bliver angrebet, og det vil jeg helst ikke vente på :-)

Evt. kan man evt. læse lidt om hvordan man sætter nosuid noexec op på /tmp, vha. tmpfs så man i det mindste har kontrol over, at der ikke bliver eksekveret derfra. Og evt. sætter sin umask til 077 både hos brugeren og i systemet. Det hjælper da en lille smule.

#1: Konkret ved jeg således at man med Dropbox kun kunne hjælpes, hvis man havde købeudgaven.
Detr glder også med MEGA, og jeg har så meget data , så jeg har pro versionen. Så jeg skulle være dækket ind.

#1: Konkret ved jeg således at man med Dropbox kun kunne hjælpes, hvis man havde købeudgaven.
Detr glder også med MEGA, og jeg har så meget data , så jeg har pro versionen. Så jeg skulle være dækket ind.

#0: Vores filversions- og gendannelsesfunktioner betyder, at selvom du har automatisk synkronisering mellem dit lokale lager og MEGA, er det muligt at vende filerne tilbage til et øjeblik før ransomware infektionen.

#1: I hvert fald de tidligste versioner af ransomware var meget opmærksomme på diverse cloudbackup-løsninger, og virkede derfor ved, at man ventede et stykke tid med at give sig til kende, således at backups langt tilbage i tiden efterhånden også var inficerede.

Begge dele er vigtige pointer. Men det burde være rimeligt let for backupsoftwaren at advare om et muligt et igangværende ransomwareangreb. For hvis ellers ens filer begynder at ændre sig i stor stil, er der sandsynligvis noget galt, især hvis det er ældre filer. Tag fx ens digitale billeder. Der kommer hele tiden flere til, og nogle bliver slettet. Nyere billeder bliver muligvis også ændret (redigeret mht. lys og farve osv), men mange benytter i dag non-destruktive redigeringsprogrammer som i stedet for at modificere filen gemmer ændringer i noget metadata.

Så hvis adskillige ældre billedfiler begynder at afvige fra backuppen (det skal programmet alligevel undersøge for at afgøre om de skal med), kan programmet komme med en advarsel og spørge om man selv har ændret de pågældende billeder siden sidst.

Det samme gør sig selvfølgelig gældende for de fleste andre filtyper: Generelt ændrer man ikke i større stil gamle filer.

#5: Men det burde være rimeligt let for backupsoftwaren at advare om et muligt et igangværende ransomwareangreb.
Jeg er enig i, at det nok kunne gøres. Men det er i hvert fald ikke alle udbydere der faktisk gør det. Nok også fordi der kunne være en risiko for falske positiver (fx hvis man omorganiserer), og de lever jo netop af, at forstyrre så lidt som muligt. I hvert fald hos flertallet af brugere, tror jeg.

#6: Nok også fordi der kunne være en risiko for falske positiver (fx hvis man omorganiserer), og de lever jo netop af, at forstyrre så lidt som muligt.
Ja, men det kunne være en valgmulighed.

#5: For hvis ellers ens filer begynder at ændre sig i stor stil, er der sandsynligvis noget galt, især hvis det er ældre filer. Tag fx ens digitale billeder. Der kommer hele tiden flere til, og nogle bliver slettet
Man kan jo som start en gang imellem kigge lidt på filerne i home, f.eks. hvad der blev skrevet de sidste 3 dage - filtreret for de ting der helt sikkert ændrer sig hele tiden:

sudo find $HOME -mtime -3 |grep -v -e .cache -e .firefox -e .config -e .local | more

#8:
Ja man kan da nemt selv finde ændrede filer. Men backupsoftwaren gør det jo alligevel for at afgøre om noget skal sikkerhedskopieres, så den kunne passende holde øje med et muligt ransomwareangreb.

Når man taler om backup, gælder der en tommelfingerregel: Manuel backup = ingen backup.

De fleste får det bare ikke gjort (ofte nok), så det skal gøres automatisk.

#9: Når man taler om backup, gælder der en tommelfingerregel: Manuel backup = ingen backup.

De fleste får det bare ikke gjort (ofte nok), så det skal gøres automatisk.
Det er jeg faktisk ikke uenig i. Men jeg tænker også: Én slags backup = ingen backup. Jeg kører også fuld sky-backup på det, som jeg arbejder med til daglig. Og så supplerer jeg det med en manuelt backup på en frakoblet disk (som jeg placerer forskellige steder i landet).

Eftersom ransomware jo er en infektion, kan man ikke være sikker på, at den ikke også ville inficere backupprogrammet.

#10

Jeg synes, at treenigheden;

1. automatisk snapshot/image af systemet, som altid kan rulles tilbage
2. Skylagring af vigtige filer, gerne krypterede - her taler jeg om Veracrypt eller enkeltvis Picocrypt
3. Offline backup af skylagret af de vigtige filer

Er rigtig god.

På den måde er der flere lag, og hvis en sætter ud, kan man bruge en af de andre som redningskrans. Efter min mening er den eneste backup, der virker, den der ikke står alene.

Meget ransomware kan ydermere undgås vha. Ublock Origin, der er en content blocker, der ikke bare blokerer reklamer, men også malwaredomæner, tracking og andre ting i browseren. Brug af Pihole kan også forbedre situationen meget.
Og får man mails med links, ved vi vel alle, at dem skal vi ikke klikke på, uanset hvad. Det er ikke en 100% løsning, at undgå, at det overhovedet kommer ind, men det er bedre end ikke at have noget 'browserfilter' - og sund fornuft. Er det kommet ind, så hjælper backup kun i det omfang ransomware'en ikke har været omkring endnu. Men personligt ville jeg sørge for, - og det har jeg til dels også sørget for - at mine vigtige filer i skylagret ikke kan tilgås via. en applikation som f.eks. Dropbox på min computer. Så jeg har undgået at installere skylagret som applikation i det hele taget. Jeg bruger så Proton Drive - storage pendanten til den meget sikre og private Protonmail. Men jeg lever så også meget på, at den automatiske cloning af systemet gør sit arbejde, og at der ikke er nogle infektioner i det image.

#11: Meget ransomware kan ydermere undgås vha. Ublock Origin

Jeg bruger også Ublock Origin. Ud over det bruger jeg Adgurd og hblock,

https://snapcraft.io/adguard-home

https://ibb.co/yQ5kVjy

hvor hblock bliver opdateret hver 7 time Hvorfor der står sidst kørt for 24 timer siden, er fordi computeren ike har kørt de sidste 24 timer

https://ibb.co/GngTCwr