Bezahlen oder auf den Zustand vor der Verschlüsselung zurückspringen. Diese beiden Möglichkeiten haben Betroffene bisher nach einem erfolgreichen Ransomwareangriff. Leider kommt eine dritte Möglichkeit hinzu. Der Grund: Ransomware ändert Ihr Verhalten nach einer Infektion.

Ein typischer Ransomware-Angriff besteht normalerweise aus vier Phasen:

  • Infektion
  • Ausbreitung,
  • Verschlüsselung,
  • Entdeckung

In der Vergangenheit haben die meisten Angreifer direkt nach der Infektion damit begonnen erreichbare Verzeichnisse auf der lokalen Festplatte oder Netzwerklaufwerken zu verschlüsseln.

Dieses Verhalten ändert sich gerade. Die Angreifer gehen dazu über im Rahmen der Ausbreitung zuerst Dateien zu verschlüsseln die weniger genutzt werden um damit einer vorzeitigen Entdeckung zu entgehen. Erfolgt diese Ausbreitung jetzt über mehrere Wochen kann es sein, das sich bereits verschiedene Verzeichnisse nur noch verschlüsselt in den Backups befinden.

Es reicht dann also nicht einfach nach einem Angriff das “letzte gute” Backup zu restaurieren. Es könnte sein das hunderte von Verzeichnissen aus unterschiedlichen Backups zurück gesichert werden müssen. Dies kann Zeit kosten die Betroffene im Fall der Fälle nicht haben.

Es ist also an der Zeit sich neben den klassischen Backupmethoden auch über Snapshot Ansätze vertraut zu machen. So bietet zum Beispiel das ZFS Filesystem Snapshots an. Es handelt sich um eine schreibgeschützte Kopie des Dateisystems zu einem bestimmten Zeitpunkt, die minimalst zusätzlichen Speicherplatz beansprucht. So können dann Terrabyte an Daten in Sekunden restauriert werden. Das ist nur ein Aspekt wie ZFS helfen kann eine klassische Backupstrategie zu verbessern.

Aber dieses neue Verhalten der verzögerten Verschlüsselung von Daten bei Ransomware sollten Sie unbedingt in Ihrer Backupstrategie berücksichtigen.

Festplatten