Ransomware und das verschlüsseln verschlüsselter Daten

[Muessigwalker]

Guten Morgen zusammen,

ich habe gestern einen Artikel auf Zeit Online zum Thema Ransomware gelesen und da gingen mit ein paar Fragen durch den Kopf, vielleicht hat ja hier im Forum jemand eine Antwort darauf. Wie man sich am besten schützt und das ein gewisses Maß an Vorsicht angebracht ist, wird allgemein bekannt sein und vermutlich auch von den meisten hier beherzigt. Selbiges gilt für das Thema Backups, die vermutlich auch die meisten von uns anlegen. Am Ende des Artikels, es ist in der Tat der letzte Satz, heisst es "…- und (die eigenen Daten) am besten noch verschlüsseln.". In der Tat nutze ich FileVault nicht, und die Frage die sich mir stellte war: würde mich eine Verschlüsselung meiner Daten in diesem Fall wirklich schützen? Oder kann Ransomware verschlüsselte Daten weiter verschlüsseln? Bezüglich FileVault habe ich mich dann auch noch gefragt: wieviel "Geschwindigkeit" verliere ich, wenn ich meine Daten verschlüssle? Und verschlüsselt FileVault (2) nur meinen Benutzerordner (die Angaben auf der Apple-Seite sind da nicht ganz eindeutig finde ich)? Wäre interessant darüber etwas zu erfahren, viele Dank für eure Antworten!

 

[Tobich]

Hallo
Ich hatte einmal auf meinem MBA 2014 FileVault 2 aktiviert 128 Gb SSD Das aktivieren Dauert eine weile 2 - 5 H ( ich weis es nicht mehr genau) Jedoch Performance Einbrüche hatte ich nie.
Auf der US Wikipedia Seite steht ein bisschen mehr sie das :

Security
FileVault uses the user's login password as the encryption pass phrase. It uses the AES-XTS mode of AES with 128 bit blocks and a 256 bit key to encrypt the disk, as recommended by NIST.[11][12] Only unlock-enabled users can start or unlock the drive. Once unlocked, other users may also use the computer until it is shut down.

Quelle:https://en.wikipedia.org/wiki/FileVault

Das Problem an dem ganzen ist natürlich folgendes:
Bei dem Start also vor dem Boot Vorgang musst du dich jetzt anmelden mit deinem User Passwort. damit nun OSX Booten kann somit ist die Verschlüsslung "inaktiv" Diese wird erst bei dem Shutdown wieder aktiviert.
Folglich ist es Theoretisch möglich wen du dir so ein Beast einfängst, das er die Verschlüsselten Daten Lesen und Schreiben kann da du ja auch diese Rechte hast und das OSX mein du arbeitest an dieser Datei.
Somit hilft dir da FileVault nix. ( ich lasse mich gerne eines besseren belehren )
Somit Hilft eigentlich nur ein Regelmäßiges TM Backup Etwas das evtl auch verschlüsselt ist.

Ich wies jetzt nicht wie Komplett diese Bister sind und ob diese auch angebundenen Netzlaufwerke verschlüsseln können.. dies wäre natürlich fatal.

Das sagt apple support dazu

Ich würde jetzt auch behaupten das solche Software nur auf schlecht gesicherten Server Lauert also evt. "PORN", Tauschbörsen, Nette FB Links usw. Und mit einem Wachsmanen Auge Sollte eigentlich nichts passieren.

 

[Muessigwalker]

Ich hatte einmal auf meinem MBA 2014 FileVault 2 aktiviert 128 Gb SSD Das aktivieren Dauert eine weile 2 - 5 H ( ich weis es nicht mehr genau) Jedoch Performance Einbrüche hatte ich nie.

Hi,

vielen Dank für die ausführliche Antwort. Was die Nutzung von FileFault angeht wäre ich da doch durchaus motiviert das mal auszuprobieren.

Das Problem an dem ganzen ist natürlich folgendes:
Bei dem Start also vor dem Boot Vorgang musst du dich jetzt anmelden mit deinem User Passwort. damit nun OSX Booten kann somit ist die Verschlüsslung "inaktiv" Diese wird erst bei dem Shutdown wieder aktiviert.
Folglich ist es Theoretisch möglich wen du dir so ein Beast einfängst, das er die Verschlüsselten Daten Lesen und Schreiben kann da du ja auch diese Rechte hast und das OSX mein du arbeitest an dieser Datei.
Somit hilft dir da FileVault nix. ( ich lasse mich gerne eines besseren belehren )
Somit Hilft eigentlich nur ein Regelmäßiges TM Backup Etwas das evtl auch verschlüsselt ist.

Das wäre natürlich ein Problem und so ganz verstehe ich es auch noch nicht. Bedeutet das, dass die Daten nur bei einem ausgeschalteten Rechner verschlüsselt sind oder starte ich den Rechner, logge mich auf meinem Account ein und dieser mein Benutzeraccount ist dann für die Dauer meines Logins nicht verschlüsselt? Meine Grundannahme war, dass die Daten auch während des Logins verschlüsselt sind was dazu führt, dass jede Datei beim Zugriff separat entschlüsselt und dann wieder verschlüsselt wird. Aber vielleicht habe ich da zu kompliziert gedacht. Ähnliches würde dann aber für ein TimeMachine Backup gelten. Da das Backup während meines Logins erstellt wird sind die Daten im TM-Backup umverschlüsselt, oder? Es sei denn ich speichere auf einem NAS mit separater Verschlüsselung oder einem externen Laufwerk mit ähnlicher Funktion. Aber wie gesagt: erstmal vielen Dank für deine Infos von oben!

 

[TEXnician]

Man kann auch verschlüsselte Daten noch einmal verschlüsseln. Das passiert beispielsweise, wenn du auf einer mit Filevault verschlüsselten Festplatte ein verschlüsseltes Image anlegst.

Filevault selbst sollte nicht zu Geschwindigkeitseinbußen führen, da für die Verschlüsselung AES verwendet wird und moderne CPUs über extra Erweiterungen verfügen, die den Algorithmus schnell und effizient durchführen.

Um das nochmal klarzustellen: Die mit Filevault verschlüsselten Daten sind nach dem Login bzw. der Eingabe des Passworts beim Booten nicht plötzlich entschlüsselt, sie sind weiterhin verschlüsselt auf der Festplatte und du teilst dem Rechner sozusagen nur den Schlüssel mit, mit dem die Daten verschlüsselt sind. Der Rechner kann dann on the fly Daten entschlüsseln (wenn sie gelesen werden) oder verschlüsseln (wenn sie geschrieben werden). Beim Lesen liest der Rechner beispielsweise die verschlüsselten Daten von der Festplatte, entschlüsselt die geladenen Daten dann mit dem Schlüssel und nutzt sie dann. Umgekehrt wird beim Schreiben die zu schreibenden Daten erst verschlüsselt und die verschlüsselten Daten dann auf die Festplatte geschrieben. Gegen Ransomware schützt Filevault also nicht wirklich, denn wenn du mit dem Mac arbeitest und der Ersteller der Randsomware eine Sicherheitslücke kennt oder dich dazu bringt, seine Software zu installieren, kann auch die Software nach Belieben (so weit sie die Rechte hat; da allerdings alle wirklich wichtigen Nutzerdaten im Benutzerverzeichnis des Benutzers liegen, hat er für diese Daten auf jeden Fall alle nötigen Rechte) Daten noch ein weiteres Mal verschlüsseln (mit einem Schlüssel, der dir als Nutzer dann nicht bekannt ist).

 

[kermitd]

Aus dem Artikel, "Wer seine Daten richtig sichert, muss Ransomware nicht fürchten". Insofern sollte das eigentlich spätestens seit 2007 doch eigentlich kein Thema mehr sein?

edit: gerade erst komplett gelesen. Das ist natürlich perfide:

Der Öffentlichkeit wird so nach und nach der Eindruck vermittelt, dass Verschlüsselung in erster Linie nicht dem Datenschutz, sondern der Kriminalität dient.

Und gut, bei Time Machine ist natürlich das Problem, dass die meisten die Platte wohl permanent am Rechner hängen haben...

eine externe, nicht permanent an den Rechner und das Internet angeschlossene Festplatt

 

[Muessigwalker]

Um das nochmal klarzustellen: Die mit Filevault verschlüsselten Daten sind nach dem Login bzw. der Eingabe des Passworts beim Booten nicht plötzlich entschlüsselt, sie sind weiterhin verschlüsselt auf der Festplatte und du teilst dem Rechner sozusagen nur den Schlüssel mit, mit dem die Daten verschlüsselt sind. Der Rechner kann dann on the fly Daten entschlüsseln (wenn sie gelesen werden) oder verschlüsseln (wenn sie geschrieben werden). Beim Lesen liest der Rechner beispielsweise die verschlüsselten Daten von der Festplatte, entschlüsselt die geladenen Daten dann mit dem Schlüssel und nutzt sie dann. Umgekehrt wird beim Schreiben die zu schreibenden Daten erst verschlüsselt und die verschlüsselten Daten dann auf die Festplatte geschrieben. Gegen Ransomware schützt Filevault also nicht wirklich, denn wenn du mit dem Mac arbeitest und der Ersteller der Randsomware eine Sicherheitslücke kennt oder dich dazu bringt, seine Software zu installieren, kann auch die Software nach Belieben (so weit sie die Rechte hat; da allerdings alle wirklich wichtigen Nutzerdaten im Benutzerverzeichnis des Benutzers liegen, hat er für diese Daten auf jeden Fall alle nötigen Rechte) Daten noch ein weiteres Mal verschlüsseln (mit einem Schlüssel, der dir als Nutzer dann nicht bekannt ist).

Danke, dann lag ich doch nicht so falsch und habe lediglich den Aufwand für das Ent- und Verschlüsseln überschätzt. Daher auch oben meine Frage nach möglichen Performanceauswirkungen von FileVault. Bei der Sicherheit liege ich dafür leider falsch. Aber:

Insofern sollte das eigentlich spätestens seit 2007 doch eigentlich kein Thema mehr sein?
………
Und gut, bei Time Machine ist natürlich das Problem, dass die meisten die Platte wohl permanent am Rechner hängen haben...

Eigentlich sollte TimeMachine auf einem externen Laufwerk ausreichend sein, wenn man das eine oder andere bedenkt...

 

[Porschinger]

Die Ransomware kann schon länger unbemerkt auf dem Rechner sein und dann nützen Backups auch nichts.

 

[kermitd]

...dann nützen Backups auch nichts.

...weil?

 

[TEXnician]

Relativ einfach, der Kriminelle möchte bei jedem Opfer möglichst sicher gehen, dass das Opfer von vielen seiner (wichtigen) Daten keine weitere unverschlüsselte Kopie besitzt. Folglich wäre es nicht optimal, wenn die Ransomware einfach nur den PC verschlüsselt und dann direkt Geld verlangt, denn wenn das Opfer ein Backup hat, wird es nicht zahlen.
Besser ist es, nach der Installation der Software erst mal zu warten und jeden Datenträger, den das Opfer in der Zeit mit dem PC verbindet, im Hintergrund ebenfalls zu verschlüsseln.
Das fällt in der Regel bei einer gut geschriebenen Software nicht auf, denn sie wird in der Zeit, ähnlich wie dies beispielsweise Filevault macht, jede von ihr verschlüsselte Datei on the fly entschlüsseln, wenn das Opfer sie öffnet, und verschlüsselt, sollte das Opfer sie ändern.
Nach ein paar Wochen/Monaten sollte die Software so alle aktuellen Backups verschlüsselt haben und dann erst Geld verlangen (und natürlich nichts mehr ver- oder entschlüsseln, den Schlüssel hat die Software natürlich vorher an einen Server der Kriminellen geschickt und danach den lokal gespeicherten Schlüssel sicher gelöscht).

 

[kermitd]

Relativ einfach, der Kriminelle möchte bei jedem Opfer möglichst sicher gehen, dass das Opfer von vielen seiner (wichtigen) Daten keine weitere unverschlüsselte Kopie besitzt. Folglich wäre es nicht optimal, wenn die Ransomware einfach nur den PC verschlüsselt und dann direkt Geld verlangt, denn wenn das Opfer ein Backup hat, wird es nicht zahlen.
Besser ist es, nach der Installation der Software erst mal zu warten und jeden Datenträger, den das Opfer in der Zeit mit dem PC verbindet, im Hintergrund ebenfalls zu verschlüsseln.
Das fällt in der Regel bei einer gut geschriebenen Software nicht auf, denn sie wird in der Zeit, ähnlich wie dies beispielsweise Filevault macht, jede von ihr verschlüsselte Datei on the fly entschlüsseln, wenn das Opfer sie öffnet, und verschlüsselt, sollte das Opfer sie ändern.
Nach ein paar Wochen/Monaten sollte die Software so alle aktuellen Backups verschlüsselt haben und dann erst Geld verlangen (und natürlich nichts mehr ver- oder entschlüsseln, den Schlüssel hat die Software natürlich vorher an einen Server der Kriminellen geschickt und danach den lokal gespeicherten Schlüssel sicher gelöscht).

Mal ehrlich, das hört sich ein wenig konstruiert und schon gar nicht "einfach" an über Monate hinweg unentdeckt, transparent für Nutzer&System die Nutzerdaten inkl. der Backups zu verschlüsseln so dass von diesen auch gar nicht mehr gebootet werden kann (sonst könnte man ja zu einem Zeitpunkt zurückkehren zu dem der Schlüssel noch nicht gelöscht ist). Jedenfalls ein (überprüft) bootbares Backup, möglicherweise in zweifacher Ausführung zu einem Zeitpunkt zu dem offensichtlich noch Zugriff auf die Daten bestand, sollte den fortwährenden Zugriff darauf sicherstellen können.

 

[cifera]

… Jedenfalls ein (überprüft) bootbares Backup, möglicherweise in zweifacher Ausführung zu einem Zeitpunkt zu dem offensichtlich noch Zugriff auf die Daten bestand, sollte den fortwährenden Zugriff darauf sicherstellen können.

Vielleicht konstruiert, aber auch Kriminelle müssen sich neue Methoden zur Umsatzgenerierung suchen. Und was nutzt ein startbares System, wenn die Bilder und Dokumente verschlüsselt sind? Es muss ja nicht ewig gewartet werden, bis keine unverschlüsselten Dateien mehr im Backup sind, einfach alle Backups der relevanten Dateien verschlüsseln, das geht viel schneller

 

[TEXnician]

Mal ehrlich, das hört sich ein wenig konstruiert und schon gar nicht "einfach" an über Monate hinweg unentdeckt, transparent für Nutzer&System die Nutzerdaten inkl. der Backups zu verschlüsseln so dass von diesen auch gar nicht mehr gebootet werden kann (sonst könnte man ja zu einem Zeitpunkt zurückkehren zu dem der Schlüssel noch nicht gelöscht ist).

Da kann man auch ein festes Ablaufdatum setzen, das die Software mit Hilfe eines Severs der Kriminellen regelmäßig kontrolliert. Das Ablaufdatum wird dann einfach auf 2 Monate nach dem Installationsdatum gesetzt und fertig. Um ganz sicher zu gehen, wird die letzte Phase automatisch eingeleitet, sollte die Software sich längere Zeit nicht mehr mit dem Server verbinden können. Die Kommunikation mit dem Server erfolgt natürlich verschlüsselt, sodass man hier auch nicht mal eben einen Server fingieren kann.
Perfekt muss das ganze übrigens nicht sein. Jemand, der keine Backups hat, wird nämlich ohnehin nichts mitbekommen. Und jemand, der an Hand eines verschlüsselten Backups, von dem er nicht mehr booten kann, misstrauisch wird, hätte man ohne den Aufwand ohnehin nicht erpressen können. Als Krimineller kann man also nur gewinnen. Und wenn die Software Beträge im Bereich >0,1 M€ einbringt und ich durch diese Maßnahme die Erfolgschance verdoppeln kann (also nochmal >0,1 M€ ergaunern kann), kann man sich diese Mühe durchaus machen.
Und wenn man Angst vor Virenscannern hat, hilft obige Strategie sogar unentdeckt zu bleiben. Denn wenn das erste Opfer die Geldforderung auf dem Bildschirm sieht, besteht die Gefahr, dass Antivirenspezialisten auf die Jagd gehen. Mit der Verzögerungstaktik kann man die Software erst mal ein paar Monate möglichst weit verbreiten, um dann alle gezielt innerhalb kurzer Zeit zu erpressen.

 

[gooseFaust30]

Nach dem Angriff Cerberus ransomware - machte ich zwei Sicherungskopien aller wichtigen Dateien. Auf dieser Seite viele Informationen
http://soft2secure.com/knowledgebase/decrypt-my-files-cerber

 

[pmau]

Ein Dateisystem mit echter Versionierung würde da helfen, aber Apple arbeitet ja leider nur noch an high-level Unfug.

Mal was anderes: Apple hat ja die OpenSSL libraries gegen ihr tolles Security Framwork getauscht.
Das Problem was ich hier sehe ist, dass JEDER der OpenSSL benutzt wenigstens die in den letzten Monaten gefunden Schwachstellen auch veröffentlicht.

Welche lustigen Angriffe es auf Apple's Security Framework gibt werden wir nie erfahren.
Das ist das Problem. OpenSource macht zwar das Entwickeln von Angriffen einfacher, aber ClosedSource wird uns wohl irgendwann den Super GAU bescheren.

 

[PeterSmile]

wie kann ich meine Dateien nach diesem Virus wiederherstellen? Ich habe bereits diesen Leitfaden benutzt, aber ich bin mir nicht sicher über meine Dateien .. http://www.2-spyware.com/remove-cerber-virus.html

 

[AgentMax]

Kannst du nicht. Wenn du kein Backup hast sind die Daten futsch. Steht auch in dem Artikel.