Rotierende interne Festplatten per Script
Ransomware stinkt. Und verschlüsselt i.d.R. alles, was es in die Finger bekommt. Nun ist es ganz schön kompliziert für den Endanwender, in einem Rechenzentrum eine Festplatte zu ziehen und eine andere zu stecken, um eine passive Sicherung zu erzielen. Ein Weg, der zwar nicht sooo sicher ist, allerdings dennoch vorgaukelt, dass man passive Sicherungen hat, ist das ein- und ausbinden von Laufwerken. Ransomware, die nicht mit der Berechtigung zur Verwaltung von Partitionen läuft, hat so zumindest keinen Zugriff.
In unserem Fall haben wir zwei Platten – nutzen können wir theoretisch unendlich viele. Diese Platten sollen nacheinander jeweils den Buchstaben “N:” zugeordnet bekommen.
Grobe Idee: auf jeder Festplatte ist ein Script, welches der aktuellen Platte den Buchstaben “N:” wegnimmt und ihn der nächsten hinzufügt. Die Datei ist jeweils als “diskpart.txt” direkt im Wurzelverzeichnis der Platte.
Wir finden also zuerst einmal heraus, welche Laufwerksbezeichnungen die einzelnen Partitionen haben:
Wir sehen im Screenshot, dass für uns Volume 4 und 5 relevant sind. Hier können natürlich theoretisch unendlich viele Platten genutzt werden. Auf beiden Partitionen erstellen wir nun eine Textdatei.
diskpart.txt auf Volume 4:
select volume 4
remove letter=N
select volume 5
assign letter=N
diskpart.txt auf Volume 5:
select volume 5
remove letter=N
select volume 4
assign letter=N
Direkt in C: erstellen wir den Ordner “SwapDisk” und erstellen dort eine neue Batch-Datei mit folgendem Inhalt:
copy N:\diskpart.txt C:\SwapDisk\
diskpart /s C:\SwapDisk\diskpart.txt
del C:\SwapDisk\diskpart.txt
Führen wir diese Batch nun als Administrator aus, kopiert es sich jeweils die Anweisung zum Wechseln der Partition von dem aktuellen Volume auf C:, führt die Anweisungen aus und hängt damit das nächste Volume ein.
Hinweis zu Veeam B&R: In den Repo-Einstellungen müssen “this repository is backed up to rotated drives” aktiviert werden. Sonst meckert Veeam darüber, dass Backups fehlen.
Weitere Überlegungen: da Ransomware ja dazu tendiert, Daten zu verschlüsseln, wird es vermutlich auch genau diese Text-Datei erwischen, sollte eine Infektion stattfinden. Daher fehlt die Information, wie man nun zum nächsten Volume kommt, da verschlüsselt, und das Script bricht ab. Sollte eine Ransomware auf die Idee kommen, auch mal Laufwerke ohne aktiven Buchstaben einzubinden, ist dieser Mechanismus natürlich hinfällig. Es führt also kein Weg um eine passive Sicherung.