Gegen RansomWare: Backup auf USB-Stick

Sind Sie gegen RansomWare abgesichert? Erstellen Sie ein regelmässiges Backup? Ich zeige Ihnen eine einfache Möglichkeit.

RansomWare ist ja die Art Virus, welche Ihnen unbemerkt Ihre Festplatte verschlüsselt. Danach müssen Sie ein Lösegeld zahlen und hoffen, dass die Hacker Ihre Festplatte wieder entschlüsseln.

Nun, welche Möglichkeiten haben Sie, sich zu schützen?

  • Ein Antivirus-Programm, das aktuell ist, ist schon mal nicht schlecht
  • Ein regelmässiges Backup auf unterschiedliche Medien noch besser

Aber wie soll dieses Backup aussehen? Was macht da Sinn?

Das Problem von RansomWare ist, dass diese Viren sämtliche Ihre angeschlossenen Festplatten und USB-Sticks und auch Netzwerkspeicher wie NAS verschlüsseln kann.

Grundsätzlich bringt es also nichts, wenn Sie Ihre externe Festplatte ständig an Ihrem Computer angeschlossen haben, und darauf regelmässig ein Backup erstellen. Wenn Sie einen Verschlüsselungs-Virus einfangen, dann sind die Backups auf der externen Platte auch hinüber.

Nun gibt es u.a.zwei Ansätze, die Sinn machen:

1. Backup des NAS

Am NAS lassen sich auch Festplatten anschliessen. Erstellen Sie einen Backup-Task auf dem NAS, welcher auf eine externe Festplatte sichert. Wichtig ist hier, dass der User, der das Backup erstellen darf, ein User vom NAS sein muss. Windows darf keinen Zugriff auf die Festplatte vom NAS kriegen. Und, ganz wichtig: nach erfolgtem Backup ziehen Sie die Festplatte wieder aus.

2. Backup auf eine externe Festplatte oder auf einen USB-Stick

Aber ich habe doch vorhin gesagt, das sei Blödsinn? Ja, wenn Sie die Festplatte stecken lassen. Deshalb: ein Backup sollte so laufen:

  1. Festplatte (oder USB-Stick) einstecken
  2. Backup machen
  3. Festplatte wieder ausziehen

Die Überlegung ist hier eben, dass der Virus nicht zugreifen kann, wenn nichts eingesteckt ist. Eigentlich einfach. In Firmen werden täglich Backups auf LTO-Tapes gemacht. Das ist prima, weil nach dem Backup wird das Tape entfernt und am nächsten Tag kommt ein neues rein. Im übrigen hat Windows in der Regel keinen direkten Zugriff auf das Tape. Dazu braucht es eine spezielle Software. Also ist die Chance hier gering, dass der Virus zuschlagen kann.

Backup-Strategie

Bevor wir zum eigentlichen Thema kommen: fahren Sie immer doppelt oder dreifach. Sichern Sie nicht nur ständig auf das NAS und schauen die Backup-Geschichte als erledigt an. Sichern Sie immer mehrfach an unterschiedliche Orte hin, und sorgen Sie auch gelegentlich dafür, dass sich die Backup-Medien nicht alle bei Ihnen zu Hause in der gleichen Schublade befinden...lagern Sie wenigstens ein Medium sonst irgendwo: im Büro, bei der Schwiegermutter, bei der besten Freundin, etc.

Bei mir funktioniert das eine Backup vollautomatisch. Und zwar synchronisiert das Tool Syncovery in mehr oder weniger Realtime eine geänderte Datei auf mein NAS, und zwar als neue Datei. Dies mache ich zumindest bei wichtigen Dateien so. Das heisst, jedes Mal, wenn ich in einem Word-Dokument eine Änderung mache, speichert mir Syncovery die neuste Version wieder ab. Die alte Datei wird umbenannt im Backup-Ordner auf dem NAS (nicht ganz sauber, aber das lassen wir hier mal;-)).

Das ist soweit schon mal gut, aber gegen RansomWare nicht wirklich brauchbar. Drum habe ich noch ein weiteres Backup-Medium, und zwar einen kleinen schnuckeligen USB-Stick mit 256GB, auf welchen ich nur die wichtigsten Daten sichere. Und dies geht wie folgt... 

Backup auf USB-Stick

Beim Einstecken des USB-Sticks wird automatisch ein sog. Differential Backup erstellt. Dazu verwende ich den Open Source Packer 7-Zip, welcher sich auf dem Stick befindet. Ein Differential Backup ist übrigens ein Backup, welches alles sichert seit der letzten Vollsicherung.

Vor zwei Tagen habe ich als Beispiel eine Vollsicherung gemacht. Dann wurde gestern all das gesichert, was gestern neu dazu kam. Bei der heutigen Sicherung wurde wieder das von gestern sowie das von heute gesichert. Die Differential Backups werden natürlich immer grösser, da müssen Sie ein wenig aufpassen betr. Speicherplatz. Die Lösung wäre ein Incremental Backup. Das Incremental Backup von heute würde nur die Daten von heute sichern, die von gestern nicht (weil die ja gestern schon gesichert wurden). 7-Zip kann aber kein Incremental Backup.

So funktioniert die Lösung

Die Struktur auf dem USB-Stick sieht wie folgt aus:

2016 11 18 215835

Im Ordner 7-Zip befindet sich das eigentliche Programm 7Zip

Im Ordner Backup werden die Backup-Dateien gespeichert

Im Ordner Logs werden Log-Dateien geschrieben (damit Sie allfälligen Fehlern auf die Spur kommen)

Die Datei 7ZipFull.cmd erstellt ein Vollbackup

Die Datei 7ZipDiff.cmd erstellt ein differentielles Backup

Welche Ordner gesichert werden sollen, geben Sie in der Datei include.txt an

Die Dateien, welche nicht gesichert werden sollen, geben Sie in der Datei exclude.txt an

Include.txt

Diese Datei sieht ganz einfach aus. Da geben Sie einfach pro Zeile einen Ordner an, der gesichert werden soll:

2016 11 15 084145

Passen Sie diese Pfade Ihrem System an.

 Exclude.txt

Diese Datei ist genauso einfach. Da geben Sie entweder Ordner an, welche nicht gesichert werden sollen, oder Dateitypen mit Wildcards:

2016 11 15 084204

Die erste Zeile enthält den Ordner "GIS". Die restlichen Dateien sind unnötige Temp- oder Lock-Dateien. Sie können diese Liste beliebig erweitern.

7ZipFull.cmd

Immer, wenn Sie ein Vollbackup erstellen wollen, dann doppelklicken Sie diese Datei.

Dieser Batch erstellt ein vollständiges Backup und sieht wie folgt aus:

2016 11 15 084609

In den ersten drei Zeilen sind die Pfade für 7-Zip, den Backup- sowie Log-Ordner definiert. Hier müssen Sie nichts ändern, wenn Sie diese Pfade auf dem Stick beibehalten wollen.

Die beiden Zeilen mit dem "for" am Anfang dienen dazu, das aktuelle Datum resp. die aktuelle Uhrzeit in einer Variablen zu speichern. Das brauchen wir, um die Backup-Dateien sauber zu benennen sowie um ins Log-File die aktuelle Uhrzeit zu speichern.

Die Zeile 6 schreibt lediglich die Startzeit in das Logfile.

Die Zeile 7 ist die eigentliche Backup-Routine. Es wird eine 7z-Datei erstellt im Ordner Backup. Und zwar wird diese wie folgt benannt:
2016.11.18_22.33.12_Full.7z
Der Vorteil dieser Schreibweise ist, dass Sie die Dateien sauber nach Backup-Datum auflisten können im Explorer.

Die zweitletzte Zeile speichern nochmals die aktuelle Uhrzeit in der Variable ENDE.

Und ganz zum Schluss wird diese Uhrzeit noch ins Log geschrieben. Das Log sieht dann als Beispiel wie folgt aus:

2016 11 15 085728

Hier erscheinen allfällige Fehlermeldungen. Und zudem sehen Sie aus der ersten und letzten Zeile, wie lange das Backup gedauert hat. Diese Information ist manchmal noch praktisch.

7ZipDiff.cmd

Diese Batch-Datei sieht fast gleich aus.

In Zeile 4 wird jedoch die Datei des letzten Vollbackups gesucht, und in Zeile 8, im eigentlichen 7-Zip-Aufruf, sind einige Parameter anders:

2016 11 15 085937

Backup automatisch starten

Seit einigen Windows-Versionen können Dateien auf einem USB-Stick nicht mehr automatisch ausgeführt werden. Die Geschichte mit der Datei "autorun.inf" ist also vorbei. Und das ist ja auch gut so. Sonst schleppen Sie sehr schnell schädliche Programme ein.

Es gibt aber zumindest für den Heim-PC eine Lösung, und die ist auch recht sicher: AutoRunnerX

Das ist ein deutsches Tool, mit welchem Sie angeben können, welche Datei von welchem USB-Stick automatisch gestartet werden soll. Das Tool muss installiert werden und sieht im Startfenster so aus:

2016 11 15 091936

Finden Sie in der Liste etwas wie ein "01 Challenger Encryption" oder so, löschen Sie das einfach. Danach fügen Sie mit "Hinzufügen" Ihre Batch-Datei auf dem Stick hinzu. Das erscheinende Dialogfenster können Sie einfach mit OK bestätigen. Das Hauptfenster sieht danach wie folgt aus:

2016 11 15 092138

Mit einem Klick auf OK ist das Tool bereit.

Sobald Sie nun den USB-Stick einstecken, wird automatisch der Batch gestartet; in meinem Fall "7ZipDiff.cmd". Sobald das Backup fertig ist, ziehen Sie den Stick wieder raus, und Sie haben ein sauberes differentielles Backup.

USB-Stick automatisch auswerfen

Noch besser gegen Ransomware abgesichert sind Sie, wenn Sie den USB-Stick automatisch auswerfen. Dies kriegen Sie mit dem Tool USB_Disc_Ejector hin. Das ist soweit gut, aber denken Sie dran, dass Sie sich dabei selbst aussperren. Sobald der Batch fertig ist, ist auch der USB-Stick nicht mehr erreichbar. Wollen Sie im Windows Explorer auf den Stick zu greifen, müssen Sie den Batch vorgängig unterbrechen.

Um den Stick auszuwerfen, fügen Sie am Schluss des Batches einfach die folgende Zeile ein:

%prog%\USB_Disk_Eject.exe /REMOVELABEL "USB-DAHO"

Die Datei "USB_Disk_Eject.exe" müssen Sie im 7-Zip-Ordner ablegen.

Download der Backup-Lösung

Backup-mit-7Zip.zip

Einfach die Zip-Datei auf einen Stick extrahieren, die Dateien include.txt und exclude.txt anpassen und schon sollte das Backup funktionieren.

MCTMOSM MOS2013small