Nextcloud/RansomwareProtection: Unterschied zwischen den Versionen

Aus Foxwiki
Keine Bearbeitungszusammenfassung
 
(3 dazwischenliegende Versionen desselben Benutzers werden nicht angezeigt)
Zeile 1: Zeile 1:
== Ransomware protection ==
== Ransomware-Schutz ==
* This app prevents the Nextcloud Sync clients from uploading files with known ransomware file endings.
* Diese App verhindert, dass die Nextcloud Sync-Clients Dateien mit bekannten Ransomware-Dateiendungen hochladen.
* This app does not replace regular backups.  
* Diese App ersetzt keine regelmäßigen Backups.  
* Especially since it only prevents infected clients from uploading and overwriting files on your Nextcloud server.  
* Zumal sie nur verhindert, dass infizierte Clients Dateien auf Ihren Nextcloud-Server hochladen und überschreiben.  
* It does not help in case your server is infected directly by a ransomware.
* Sie hilft nicht, falls Ihr Server direkt von einer Ransomware infiziert wird.
* Neither the developer nor Nextcloud GmbH give any guarantee that your files can not be affected by another way.
* Weder der Entwickler noch die Nextcloud GmbH geben eine Garantie dafür, dass Ihre Dateien nicht auf andere Weise betroffen sein können.


== How the app works ==
== Wie die App funktioniert ==
When a known sync client is uploading a file with a file name matching the pattern of a ransomware (see [https://github.com/nextcloud/ransomware_protection/blob/master/resources/extensions.txt this list of patterns]), uploading of the file is blocked.
Wenn ein bekannter Sync-Client eine Datei mit einem Dateinamen hochlädt, der dem Muster einer Ransomware entspricht (siehe [https://github.com/nextcloud/ransomware_protection/blob/master/resources/extensions.txt diese Liste von Mustern]), wird der Upload der Datei blockiert.


The user receives a notification with 2 options:
Der Benutzer erhält eine Benachrichtigung mit 2 Optionen:


==== File “foobar.txt” could not be uploaded! ====
==== Die Datei "foobar.txt" konnte nicht hochgeladen werden! ====
* The file “foobar.txt” you tried to upload matches the naming pattern of a ransomware/virus “*.txt”.  
* Die Datei "foobar.txt", die Sie hochladen wollten, entspricht dem Namensmuster einer Ransomware/Virus "*.txt".  
* If you are sure that your device is not affected, you can temporarily disable the protection.  
* Wenn Sie sicher sind, dass Ihr Gerät nicht betroffen ist, können Sie den Schutz vorübergehend deaktivieren.  
* Otherwise you can request help from your admin, so they reach out to you.
* Andernfalls können Sie Ihren Administrator um Hilfe bitten, damit er sich mit Ihnen in Verbindung setzt.


' '[ Pause protection ] [ I need help! ]
' '[ Schutz pausieren] [ Ich brauche Hilfe!]


If you want to exclude the problematic pattern, you can copy it from this notification and ask your admin to add it to the exclude list.  
Wenn Sie das problematische Muster ausschließen möchten, können Sie es aus dieser Benachrichtigung kopieren und Ihren Administrator bitten, es in die Ausschlussliste aufzunehmen.  
  '''Hint:'''  
  '''Tipp:'''  
  You can find the apps admin settings in the security tab of your Nextcloud instance. Admins can also see the pattern in the log when it is set to level Warning or lower.
  Die Einstellungen für den App-Admin finden Sie auf der Registerkarte Sicherheit Ihrer Nextcloud-Instanz. Admins können auch das Muster im Protokoll sehen, wenn es auf Stufe Warnung oder niedriger eingestellt ist.


If the user presses "I need help!" admins of the instance receive the following notification:
Wenn der Benutzer auf "Ich brauche Hilfe!" drückt, erhalten Admins der Instanz die folgende Benachrichtigung:


==== User Tester may be infected with ransomware and is asking for your help ====
==== User Tester ist möglicherweise mit Ransomware infiziert und bittet um Ihre Hilfe ====
' '[ I will help ]
' '[ Ich werde helfen ]


Pressing the button will delete the notification for all administrators.
Durch Drücken der Schaltfläche wird die Benachrichtigung für alle Administratoren gelöscht.


After 5 "infected" uploads within 30 minutes, the clients of the user get blocked automatically to prevent further damage to the data. After the problem has been solved, the clients can be re-allowed in the personal settings of the user.
Nach 5 "infizierten" Uploads innerhalb von 30 Minuten werden die Clients des Benutzers automatisch gesperrt, um weiteren Schaden an den Daten zu verhindern. Nachdem das Problem behoben wurde, können die Clients in den persönlichen Einstellungen des Benutzers wieder zugelassen werden.


== Configuration settings ==
== Konfigurationseinstellungen ==
* Configuration is managed on the '''Settings » Security''' page under the heading '''Ransomware protection'''.
* Die Konfiguration wird auf der Seite '''Einstellungen " Sicherheit''' unter der Überschrift '''Ransomware-Schutz''' verwaltet.
* You can choose to ignore extensions from the [https://github.com/nextcloud/ransomware_protection/blob/master/resources/extensions.txt resources/extensions.txt file] by entering the pattern into the 'Exclude extension patterns' field.  
* Sie können Erweiterungen aus der Datei [https://github.com/nextcloud/ransomware_protection/blob/master/resources/extensions.txt resources/extensions.txt] ignorieren, indem Sie das Muster in das Feld "Erweiterungsmuster ausschließen" eingeben.  
* You must enter patterns ''exactly'' as found in the extensions.txt file; entering something that is not a line in that file has no effect.
* You must enter patterns ''exactly'' as found in the extensions.txt file; entering something that is not a line in that file has no effect.


Zeile 58: Zeile 58:
* Typically ransomware will leave note files (e.g. "you've been hacked, here's how to pay me to get your files back...").  
* Typically ransomware will leave note files (e.g. "you've been hacked, here's how to pay me to get your files back...").  
* The ransomware protection app can look out for these note files based on their file names [https://github.com/nextcloud/ransomware_protection/blob/master/resources/notes.txt see resources/notes.txt].  
* The ransomware protection app can look out for these note files based on their file names [https://github.com/nextcloud/ransomware_protection/blob/master/resources/notes.txt see resources/notes.txt].  
* The ''Include note files with non-obvious names'' option adds in an [https://github.com/nextcloud/ransomware_protection/blob/master/resources/notes-biased.txt additional file of patterns].  
* Die Option ''Notizdateien mit nicht offensichtlichen Namen einbeziehen'' fügt eine [https://github.com/nextcloud/ransomware_protection/blob/master/resources/notes-biased.txt zusätzliche Datei mit Mustern] hinzu.  
* These additional files are rarely used in a general office files environment, but are fairly common in other sectors, so review these for your environment before checking this option.
* Diese zusätzlichen Dateien werden in einem allgemeinen Büro nur selten verwendet f
[[Kategorie:Nextcloud/Sicherheit]]

Aktuelle Version vom 3. Juli 2023, 10:51 Uhr

Ransomware-Schutz

  • Diese App verhindert, dass die Nextcloud Sync-Clients Dateien mit bekannten Ransomware-Dateiendungen hochladen.
  • Diese App ersetzt keine regelmäßigen Backups.
  • Zumal sie nur verhindert, dass infizierte Clients Dateien auf Ihren Nextcloud-Server hochladen und überschreiben.
  • Sie hilft nicht, falls Ihr Server direkt von einer Ransomware infiziert wird.
  • Weder der Entwickler noch die Nextcloud GmbH geben eine Garantie dafür, dass Ihre Dateien nicht auf andere Weise betroffen sein können.

Wie die App funktioniert

Wenn ein bekannter Sync-Client eine Datei mit einem Dateinamen hochlädt, der dem Muster einer Ransomware entspricht (siehe diese Liste von Mustern), wird der Upload der Datei blockiert.

Der Benutzer erhält eine Benachrichtigung mit 2 Optionen:

Die Datei "foobar.txt" konnte nicht hochgeladen werden!

  • Die Datei "foobar.txt", die Sie hochladen wollten, entspricht dem Namensmuster einer Ransomware/Virus "*.txt".
  • Wenn Sie sicher sind, dass Ihr Gerät nicht betroffen ist, können Sie den Schutz vorübergehend deaktivieren.
  • Andernfalls können Sie Ihren Administrator um Hilfe bitten, damit er sich mit Ihnen in Verbindung setzt.

' '[ Schutz pausieren] [ Ich brauche Hilfe!]

Wenn Sie das problematische Muster ausschließen möchten, können Sie es aus dieser Benachrichtigung kopieren und Ihren Administrator bitten, es in die Ausschlussliste aufzunehmen.

Tipp: 
Die Einstellungen für den App-Admin finden Sie auf der Registerkarte Sicherheit Ihrer Nextcloud-Instanz. Admins können auch das Muster im Protokoll sehen, wenn es auf Stufe Warnung oder niedriger eingestellt ist.

Wenn der Benutzer auf "Ich brauche Hilfe!" drückt, erhalten Admins der Instanz die folgende Benachrichtigung:

User Tester ist möglicherweise mit Ransomware infiziert und bittet um Ihre Hilfe

' '[ Ich werde helfen ]

Durch Drücken der Schaltfläche wird die Benachrichtigung für alle Administratoren gelöscht.

Nach 5 "infizierten" Uploads innerhalb von 30 Minuten werden die Clients des Benutzers automatisch gesperrt, um weiteren Schaden an den Daten zu verhindern. Nachdem das Problem behoben wurde, können die Clients in den persönlichen Einstellungen des Benutzers wieder zugelassen werden.

Konfigurationseinstellungen

  • Die Konfiguration wird auf der Seite Einstellungen " Sicherheit unter der Überschrift Ransomware-Schutz verwaltet.
  • Sie können Erweiterungen aus der Datei resources/extensions.txt ignorieren, indem Sie das Muster in das Feld "Erweiterungsmuster ausschließen" eingeben.
  • You must enter patterns exactly as found in the extensions.txt file; entering something that is not a line in that file has no effect.
Example: 
if you entered .lock in the Exclude extension patterns configuration field, then files that end in .lock will be allowed to sync without suspicion. i.e. you will no longer be protected from attacks that rename/create files called <anything>.lock.

You can also choose to use 'Additional extension patterns'.

Example
  • if you entered the pattern .oh-no then any files that end with .oh-no will be considered suspicious and blocked.
  • Regular expressions are supported here, identified by patterns that begin with ^ or end with $ (or both), so you are not limited to files ending with a certain string.
  • The pattern ^.*-evil-ha-ha- would match any file names with -evil-ha-ha- anywhere in their name.
When compiling the list of patterns, first the extensions.txt is loaded, then exclusions are removed, then additions added.

This is an important feature as it allows specific exceptions to be made for certain files.

Example
  • Say your files include some composer.lock and package.lock files (these are common files in programming projects) and you wish to allow these to sync, but you don't want to allow any other .lock files, as that is a commonly used extension by ransomware.
  • You can achieve this by:* Add .lock to the Exclude extension patterns configuration field. This will remove protection for .lock files, but then...
  • Add the regular expression (?<!composer|package)\.lock$ to the Additional extension patterns configuration field.
  • This pattern matches all .lock except composer.lock and package.lock, so will allow those files to be uploaded but still block other files ending in .lock

Note files

  • Typically ransomware will leave note files (e.g. "you've been hacked, here's how to pay me to get your files back...").
  • The ransomware protection app can look out for these note files based on their file names see resources/notes.txt.
  • Die Option Notizdateien mit nicht offensichtlichen Namen einbeziehen fügt eine zusätzliche Datei mit Mustern hinzu.
  • Diese zusätzlichen Dateien werden in einem allgemeinen Büro nur selten verwendet f