Und dennoch lassen sich die verschlüsselten Dateien bei einigen der Erpressungstrojaner wieder entschlüsseln, ohne das Schutzgeld zu zahlen, weil die Programmierer Fehler gemacht haben.

z.B. bei diesem:

http://www.heise.de/security/meldung/Erpressungs-Trojaner-fuer-Linux-stuempert-noch-2915224.html

Wenn ja, wie könnte ich meine Netzwerkkonstellation dahingehend verbessern, dass das Backup vor Locky bzw. Zepto sicher ist?

Neben dem schon Gesagten gilt, dass Backups nicht von den eventuell infizierten Arbeitsrechnern aus gestartet werden dürfen, weil so – auch für die Erpressungssoftware – schreibender Zugriff auf das/die Backuplaufwerk(e) bestünde. Nicht nur, dass ein Backup der verschlüsselten Dateien erfolgte, auch für schon vorhandene Backups bestünde so die Gefahr der Verschlüsselung. Das Backup muss also von einem nicht infizierten Rechner aus erfolgen. Auf den Arbeitsrechnern besteht so nur lesender Zugriff und die Arbeitsrechner selbst, die wohl am ehesten der Infektionsgefahr ausgesetzt sind, sind dabei nur passives Element ohne Zugriff auf irgendwas.

Momentan sind die Nutzdaten auf dem NAS. Von dort werden sie, ausgehend vom Arbeitsrechner mit Hilfe von BiT (inkrementell) auf ein anderes Laufwerk, welches ebenfalls fest in den Arbeitsrechnern gemounted ist, gesichert.

Mir fallen zwei pratische Lösungen ein:

Lösung 1:

Ich möchte das nun dahingehend ändern, dass die Sicherung zukünftig nichtmehr ausgehend von den Arbeitsrechnern sondern stattdessen ausgehend von einem weiteren alten Rechner angestoßen wird. Die Arbeitsrechner hätten dann keine Netzlaufwerkverbindung mehr zum Sicherungsverzeichnis sondern nur noch zum NAS. Der alte Rechner hätte sowohl Zugriff auf den NAS als auch auf die Sicherungsplatte. An die Sicherungsplatte kämen die Trojaner aber nicht ran, weil die Arbeitsrechner ja keinen Zugriff mehr auf die Sicherungsplatte haben. Die Trojaner könnten die Daten auf dem NAS zerstören aber nicht auf der Sicherungsplatte. Ich würde die Daten von der NAS nicht einfach von NAS zur Sicherungsplatte spiegeln (wenn ich das tun würde würden die guten Daten ja durch die zerstörten ersetzt) sondern ein zweites BiT von NAS nach Sicherungsplatte auf dem alten Rechner ausführen. Weil die Daten inkrementell auf der Sicherungsplatte vorliegen und im 15 Minuten Takt aktualisiert werden würde ich höchstens Daten von 15 Minuten verlieren. Funktioniert das so in der Praxis?

Lösung 2:

Dann noch eine andere Idee. Angenommen ich stecke eine USB Festplatte an das NAS auf welche ich z.B. einmal täglich aufgehend von der NAS spiegle. Ich behalte immer ein Backup im Wochenrythmus. Wenn ich nun infiziert werde dann gehen mir maximal die Daten von einer Woche verloren. Klappt das so?