Verschlüsselungs-Trojanern ein Schnippchen schlagen

Gegen die grassierende Seuche der Verschlüsselungs-Trojaner (“Ransomware”) gibt es nur wenige Gegenmittel – abgesehen von extremer Zurückhaltung beim “Klicken” im Internet und beim Öffnen von Mails (bzw. Attachements) hilft eigentlich nur die alte Weisheit:
“Safe early, safe often”.

Da es diese Schädlinge hauptsächlich auf Dateien abgesehen haben, die dem Benutzer lieb und wert sind (bzw. sein Einkommen sichern) kann man die Daten regelmässig auf ein externes Laufwerk sichern und dieses während des normalen PC-Gebrauchs abstecken (bzw. auschalten). Das vergisst man aber immer wieder einmal – und falls in diesem Moment die “Ransomware” zuschlägt ist auch die Sicherung futsch (bzw. verschlüsselt).
Oder man bedient sich einer NAS-Lösung, auf die man die Daten mittels FTP-Upload sichert – allerdings auch etwas umständlich.

Ich habe mir eine Methode ausgedacht, welche die Daten verschlüsselt sichert, (höchstwahrscheinlich) vor dem Zugriff von Ransomware schützt und gleichzeitig die tägliche Sicherung erleichtert:

Ich habe mir eine zusätzliche, grosse Festplatte eingebaut und darauf eine Partition angelegt, ohne diese zu formatieren (die Partition ist notwendig, da sonst Windows immer wieder darauf hinweist, dass die Platte zu partitionieren & formatieren wäre).

Dann installiert man Truecyrpt oder besser dessen Nachfolger Veracrypt; diese Verschlüsselungs-Software ist in der Lage, auch unformatierte Partitionen als Datencontainer zu benutzen. Somit ist während des normalen Betriebs diese Festplatte nur als unformatiertes Laufwerk vorhanden und für das Betriebssystem und in weiterer Folge für eine fallweise eingeschleppte Ransomware nutzlos – auf nicht formatierten Laufwerken kann man normalerweise nichts speichern und eben auch nichts löschen oder verschlüsseln.
Die gesamte (unformatierte) Partition wird nun mittels Truecrypt oder Veracrpyt komplett als Datencontainer “formatiert” (Schnellformatierung reicht hier völlig aus).
Die Verwendung eines einfachen Passworts reicht hier ebenfalls, da dieses später für zusätzlichen Komfort in der Batch-Datei für die halbautomatische Sicherung gespeichert wird.

Um jetzt komfortabel die Daten regelmässig auf diesen (verschlüsselten) “Datencontainer” zu sichern bedienen wir uns eines weiteren gratis erhältlichen Tools – “ROBOCOPY” aus dem “Windows Server 2003 Resource Kit Tools 1.0”. Diese kleine “App” (wie man heute sagen würde) kopiert man vorzugsweise (mit administrativen Rechten) in das Windows\System32-Verzeichnis, da man von überall darauf zugreifen kann.

Dann legt man sich noch eine kleine, feine Batch-Datei an, mittels der man die (unformatierte, verschlüsselte) Partition als virtuelles Wechsellaufwerk mountet, mit Robocopy alle wichtigen Daten(ordner) auf dieses Laufwerk spiegelt und danach das Laufwerk wieder “aushängt”, also dismounted und somit vor dem Zugriff von Ransomware (und anderen Personen 😉 schützt.

Meine Batch-Datei sieht beispielsweise so aus – die entsprechenden Variablen können in den Manuals zu Truecrypt bzw. Veracrypt nachgelesen werden, für das Herausfinden der Volume- bzw. Partition-ID des neuen Laufwerks gibt es mehrere Methoden, ich habe zum Anlegen der leeren Partiton und zum Auslesen der speziellen ID ganz einfach den “Partition Master” von EASEUS verwendet:

"c:\Program Files\TrueCrypt\TrueCrypt.exe" /ls /q /a /c n /m rm /p PASSWORT /v \\?\Volume{aa75cec5-be3b-73da-25aa-ad79f0efeb7f}\

robocopy C:\ORDNER s:\ORDNER /mir /xd $RECYCLE.BIN "System Volume Information"

"c:\Program Files\TrueCrypt\TrueCrypt.exe" /q /ds

Bei “PASSWORT” ist klarerweise das vorher beim Erstellen des verschlüsselten containers verwendete (einfache) Passwort einzutragen, zwischen die geschwungenen Klammern kommt die ID der (unformatierten) Partition. Alternativ kann man hier zB auch “\Device\Harddisk2\Partition2” angeben, die korrekte Bezeichnung findet man in Truecrypt heraus, indem man auf “Select Device…” klickt.
Die Befehlssyntax von Robocopy ist noch einfacher: Quelle, Ziel und den Parameter “/mir” (für Mirror) angeben – fertig. Mit dem Parameter “/xd” kann man eine Reihe von (Unter-)Ordnern angeben, die NICHT mitgespiegelt werden sollen.

Gesichert wird jetzt (zusätzlich zur “normalen” laufenden Sicherung) zwei mal täglich – somit sollte sich bei einem tatsächlich auftretenden Schädlingsbefall der Schaden in Grenzen halten.

Glück auf und immer wachsam bleiben!