18 berichten aan het bekijken - 1 tot 18 (van in totaal 18)
  • Q:
    Bijdrager
    OMT-fan

    Ransomware en cryptoware

    Is er ergens iets zinnigs te lezen over ransom- en cryptoware?
    Het is inmiddels in de pers een hot item, maar er lijken nogal wat indianenverhalen te zijn.
    Hoe groot is het risico voor Macgebruikers?
    Wat zijn de mogelijke problemen bij externe Timemachine schijven, NAS en/of externe CCC-schijven in een thuisnetwerk etc, etc.
    Maar vooral, hoe bescherm je je het best en kun je door bijvoorbeeld gewoon een bootable externe Backupschijf te hebben zeker zijn van een herstelmogelijkheid?

    Bijdrager
    Shmoo

    Bangmakerij in komkommertijd.. Negeren!

    Bijdrager
    friesappeltje

    Neemt niet weg dat het een goede vraag is. Ik ben ook benieuwd. Eigenlijk ben ik er altijd vanuit gegaan dat je het OS opnieuw kunt installeren en dan je externe Time Machine terug kunt zetten maar twijfel nu ook wel een beetje. Die TM kan toch ook geïnfecteerd zijn?

    Bijdrager
    renato

    Ja klopt.

    Het probleem met dit soort ransomware is dat je backups mede encrypted kunnen worden.

    De ransomware is effectief als hij:
    – toegang heeft tot je schijven (dus ook samba/cifs/afp shares die je mounted op je desktop hebt zijn in gevaar)
    – de bestanden kan identificeren (dis als ze ‘gewoon’ als docx, mp3, etc. op de backup staan)

    TimeMachine backups zijn niet helemaal veilig, omdat de schijf vaak gemount is en je toegang hebt tot de ‘gewone’ bestanden. Er wordt gezegd dat er varianten zijn die TM kunnen infecteren.

    Alle online tools die iets ‘mounten’ of ‘syncen’ zijn ook niet veilig (Dropbox, Onedrive, Sugarsync, Box, …).

    Wat je kunt doen, in een notendop:
    – backups maken met tools die een tijdelijke verbinding maken naar een externe machine (bv. sftp)
    – de tooling encrypt de bestanden en laat ze in een onherkenbare vorm achter (bv. btsync doet dit)
    – probleem blijft dat je altijd moet kunnen ‘tijdreizen’ in je bestanden, omdat je natuurlijk ook je geïnfecteerde bestanden ooit een keer vrolijk mee backupt…

    Best lastig.

    Ik gebruik een combi van tools, waarbij een belangrijk wapen is dat de tool die het naar buiten sftp’t eigenlijk niet zo vaak een backup maakt.

    Ik doe het nog niet maar ik zou het volgende doen:
    – TM naar een server (NAS, OSX Server)
    – Af en toe een backup van de TM schijf naar een externe sftp server (doe ik nu met Transmit, maar dat is eigenlijk niet voldoende)

    en/of:
    – btsync met encryptie naar andere machine
    – af en toe een backup met sftp van die andere machine (als boven)

    En dan eigenlijk een backup tool gebruiken die echt verschillende backup strategieën voor je kan uitvoeren (dus niet Transmit gebruiken:-)

    Maar ik denk dat anderen al lang betere strategieën hebben bedacht.

    Ik hoor graag betere ideeën!

    Groet en succes.
    R.

    Bijdrager
    renato

    O ja, ik heb nog een mogelijke strategie, maar die heb ik nog niet in applicaties of tools gezien – dat wordt dan scripten: gewoon backups maken, maar de kopie read-only maken. Dan kan een infecterend stuk ransomware weliswaar de bestanden misschien zien, maar niet veranderen.

    Iemand die dit al operationeel heeft?

    Groet,
    R.

    Bijdrager
    iMac Lover

    Ik las @renato Het probleem met dit soort ransomware is dat je backups mede encrypted kunnen worden.

    Geldt dit ook als mijn externe schijven versleuteld zijn met FileVault? Hoe staat het met bestanden, die ik zelf versleutel heb? De meeste Microsoft Word en Microsoft Excel bestanden heb ik met een 256 AES versleuteld. Dus met een wachtwood. Deze zijn niet te openen.
    Ik maak mij ook geen zorgen over ransomware. De meeste rommel / advertenties krijg ik binnen via mijn GMail account. Mijn GMail wordt geopend in de Fluid app.
    Microsoft Outlook 2011 op mijn Mac Mini gooit automatisch alle phishing mail in spam folder.
    Dus mijn belangrijkste documenten zijn door mij zelf versleuteld met een wachtwoord. Deze zijn dus niet te openen en te wijzigen

    Gr.
    Henk

    Bijdrager
    Jakko Westerbeke

    Een versleuteld bestand is niet veilig tegen dit soort malware, want dat kan het bestand gewoon nóg een keer versleutelen. Vergelijk het met zipbestanden: je kunt een zipbestand inpakken in een ander zipbestand, zodat wanneer je dat tweede uitpakt, het eerste zipbestand weer tevoorschijn komt, maar (nog) niet de bestanden die erin zitten.

    Bijdrager
    iMac Lover

    Op mijn Mac Mini gebruik ik een aantal apps, die mijn bestanden Synchroniseren.
    Google Drive en Microsoft One Drive.
    In dit geval lijkt mij het beste om deze synchronisatie apps uit te zetten of te verwijderen.
    Hierdoor blijven mijn cloud bestanden dus veilig op internet.
    Iemand een idee!

    Inactief
    Anoniem

    Misschien denk ik te simpel, maar ik maak continu een backup met time-machine, deze zal in theorie dan ook versleuteld zijn. Daarnaast maak ik wekelijks een ccc backup van de hele partitie/installatie. Deze mount ik wekelijks en na de backup gaat deze weer mee naar kantoor.

    Op deze manier heb je toch altijd een back up die je terug kunt zetten in het geval dat. (met dan de kanttekening dat deze maximaal 7 dagen oud is natuurlijk in mijn geval)

    Bijdrager
    GoeieDag

    Je kunt bv een tweede TM backup maken op een andere HD, eens per week of zo.

    Maar als ik het zo hoor, zou ik maar offline gaan en nooit meer online komen, vanwege al het gevaar.

    Sleutelbeheerder
    Night

    Ik vraag me af in hoeverre online-diensten hier “filters”/alarmmeldingen voor hebben… In principe krijgen via ransomware versleutelde bestanden een eigen extensie of bestandsnaamtoevoeging, dus als die tegengekomen wordt zou een backup systeem aan de bel moeten trekken.

    Bijdrager
    OMT-fan

    Ik heb 2 NASSEN, een QNAP en een Synology standaard in mijn thuisnetwerk draaien, beiden met TimeMachine.
    Mijn iMac en Mac mini staan ook altijd aan.

    Daarnaast heb ik een externe HD van 4Tb aan de Mac hangen;
    2Tb is TimeMachine en
    2Tb is een bootable CCC backup van mijn interne schijf.

    Ik denk dat ik die voortaan loskoppel en bijv. om de dag aansluit en een TM en een CCC backup maak en dan weer los koppel.

    Dan heb ik altijd een bootable backup om te herstellen,…..toch…?

    Sleutelbeheerder
    Night

    Het grote probleem is dat ransomeware vaak niet direct werkt. Je bent wel geïnfecteerd maar pas (enkele) dagen later begint de eigenlijke versleuteling (in etappes). Pas als alle bestanden versleuteld zijn, krijg je een melding dat je Mac is versleuteld en dat je zoveel bitcoins mag overmaken naar een bepaald adres. En eigenlijk is het dan vanuit het oogpunt van backups al VEEL te laat.

    De enige hoop is dan nog een incremental backup, zodat je kan teruggaan naar een volledige backup van een datum vóórdat je geïnfecteerd bent geraakt. Je bent dan dus min of meer verplicht om een backup disk te hebben die minimaal 2x (maar liefst veel meer) de grootte van je interne disk is.

    Bijdrager
    OMT-fan

    CCC en TM zijn toch incrementale backups?

    Bijdrager
    renato

    Ik zit nog te broeden op een andere oplossing (die misschien met wat simpele tooling a la Hazel te implementeren is).

    De meeste bestanden op je schijven (mp3, films, documenten, etc.) zijn eigenlijk stabiel. Je verandert er zelf niks meer aan. Waarom maak je die dan niet read-only? Dan kan de ransomware die niet versleutelen.

    Als je er dan een wil veranderen, dan moet je bij een save actie een password invoeren. OF je laat die gewoon schrijfbeveiligd. Dan is de kans op verlies er nog wel, maar de schade kleiner. Zeker als je ook nog een redelijke backup strategie hebt.

    Ik heb even gekeken (ik gebruik mijn spullen zakelijk – consultancy dus veel documenten!) en bij mij is het echt >99% dat stabiel is en waar ik dus nooit meer aan kom behalve inkijken/afspelen.

    Groet,
    René
    PS: Hazel kan nog geen access rights zetten. Misschien maar eens als ‘feature rekest’ bij ze indienen.

    Bijdrager
    renato

    Een ik bedoel ‘dan laat je die gewoon schrijfbevoegd’

    Bijdrager
    renato

    @OMT-fan:

    Ja, TM is een incremental backup, maar die kunnen dus ook geïnfecteerd worden. De bestanden zijn namelijk gewoon ‘vindbaar’ vanuit de Finder als de TM disk gemount is. Ze kunnen dus vrolijk geïnfecteerd worden.

    Groet,
    René

    Bijdrager
    iMac Lover

    Ik heb vanmorgen, in de app Microsoft One Drive voor OSX en Google Drive voor OSX de accounts uitgeschakeld. Mijn TM backup wordt op dit moment gescand op adware / spyware en virussen. Dit gaat wel een tijdje duren. Mijn Macintosh HD is getest op virussen door F-Secure en MalwareBytes Anti Malware zonder resultaat. Het lijkt mij dus verstandig om geen programma’s van Internet te installeren, maar alleen uit de app-store van Apple. Het komende weekend, scan ik mijn andere TM back-up. De TM back-ups zijn gewoon te benaderen via Finder.
    Ik vind, wie ben ik, dat de telco’s / internet providers veel actiever moeten zijn in het blokkeren van malware en phishing mails. Dit geld natuurlijk ook voor diensten van Google / Yahoo / Microsoft en Facebook.

    Gr.

    Henk

18 berichten aan het bekijken - 1 tot 18 (van in totaal 18)

Je moet ingelogd zijn om een reactie op dit onderwerp te kunnen geven.