Crypto-Trojaner

Es gibt sie und sie sind sehr ärgerlich: Schadcode, der Dateien nicht löscht, sondern verschlüsselt, oft verbunden mit einer Forderung einen Betrag per Bitcoin o.ä. zu überweisen um vielleicht die Dateien wieder entschlüsseln zu können. Dran glauben würde ich aber nicht. Also sollte man eher überlegen, wie das Risiko begrenzt werden kann. Denn irgendwann wird ein Anwender so einen Schadcode bekommen und ausführen.

Feedback und Verbesserungen werden gerne angenommen.
Beachten Sie dazu auch die Seiten CryptoProtect und Applocker

Einfallstore

Die Verschlüsselung erfolgt durch eine Software, die auf dem Zielbetriebssystem ausgeführt wird. Dort muss sich erst mal drauf kommen und drei Infektionswege sind hier wie bei allen anderen Schadcodevarianten üblich:

  • Mail mit Anlage
    Der einfachste und direkteste Link ist der Versand einer Mail mit einem bislang unbekannten Schadcode. Die Erkennung mit Pattern-Dateien der verschiedener Virenscanner scheint kein probates Mittel gegen solche immer wieder veränderten Schädlinge zu sein. Wir sollten alle davon ausgehen, dass Schadcode als Anlage an einer Mail nicht zuverlässig erkannt wird. Eine Besserung lässt sich erreichen, indem ausführbare Anlagen komplett unterbunden werden. Damit sollte z.B. eine "angebot.pdf.exe" o.ä. verhindert werden. Aber eine Excel-Datei mit einem Makro, welches vom Anwender trotz aller Warnungen in Excel gestartet wird, kann dennoch "durch"
  • Mail mit Link
    Anstelle einer Anlage, werden natürlich immer wieder Mails mit Links auf Webseiten gesendet. Sie kommen dann angeblich von Amazon, Postbank, DHL etc. Und da die Firmen es nicht schaffen, ihre Mails per SMIME zu signieren, kann der Empfänger nie sicher sein, ob die Mail authentisch ist. Aber selbst eine Signatur ist keine Garantie. Vielleicht kauft sich ein Hacker schon morgen "postbamk.de" samt Signatur und hofft drauf, dass der Empfänger den kleinen unterschied im Buchstaben nicht bemerkt. Über den Link lädt der Benutzer dann die angeblich "Anlage" herunter und startet diese versteckte "EXE".
  • Download "unbekannter Software" von unbekannten oder korrumpierten Quellen
    Zählen Sie sich auch zur den Anwendern (oder Administratoren) die viele Tools aus dem Internet herunterladen und nutzen? Ich gebe gerne zu, dass ich auch immer wieder auf Tools von Sysinternals aber auch Open Source wie 7-ZIP, Audacity, Notepad++ und andere zurückgreife und natürlich diese von den "Originalseiten" herunter lade. Aber letztlich muss ich auch "vertrauen", das diese Quellen "sauber" sind und auch die Autoren nicht plötzlich "böse" werden. Selbst digitale Signaturen sind keine Garantie und verschiedene Download-Portale (z.B. SourceForge) verändern teils ohne Wissen der Open Source Entwickler die Installationsquelle. Schließlich kann jeder aus dem öffentlichen Sourcecode seine eigene Version erstellen.
  • Speicherstick
    Wer es wirklich auf eine Firma gezielt abgesehen hat, wird auch andere Wege finden, eine Datei in die Firma zu schmuggeln. Lassen Sie einfach mal einen USB-Stick mit etwas Schadcode (z.B. den EICAR-Testvirus) in der Kantine liegen und warten Sie darauf, bis er an einem PC wieder auftaucht.

Die Nutzung einer "Sicherheitslücke" von Extern ist natürlich auch eine Option, aber es ist viel schwerer durch das Haupttor einer Burg zu kommen, als einen Brief an die Prinzessing zu schreiben.

Ziele

Welche Dateien und Informationen so ein Trojaner verschlüsselt, ist schnell beschrieben. Auch Entwickler sind nicht perfekt und machen das naheliegende, z.B:

  • Verschlüsseln von Datendateien
    Ein "gut geplanter Trojaner wird primär die vom Anwender "erzeugten" Dateien, also DOCX, XLSX, JPG etc.) verschlüsseln und einen Bogen um installierte Programme (Word, Excel) und erst recht das Betriebssystem machen. Sonst würde er sehr schnell auffallen und speziell Änderungen an Programmen werden von Virenscannern und Berechtigungen verhindert.
  • Lokale Dateien
    Zuerst lohnt sich schon die Suche nach lokal gespeicherte Dateien. Das betrifft natürlich insbesondere Privatpersonen mit ihrem einzelnen Computer zuhause. Ein Trojaner kann ja gut erkennen, wenn der Computer nicht in der einer Domäne ist und dann die "Entschlüsselung" zu einem reduzierten Satz anbieten.
  • Datei Server (SMB)
    Firmen aber auch immer mehr Privatanwender haben einen zentralen Ablageplatz. Und der ist für so einen Trojaner natürlich gleich doppelt interessant. Hier liegen meist noch viel wichtigere Daten konzentriert und viele anderen Personen "vertrauen" diesen Informationen. Ein optimaler Weg um sich weiter zu verbreiten. Auf Servern kann ein Admin dann allerdings schon mit Backup und Schattenkopie den Stand recht schnell wieder herstellen, wenn es denn "bemerkt" wird und genug Platz für die "vorherigen Versionen bereitgestellt wurde. Auf dem privaten NAS-Server wird das meist nicht gerade einfacher.
  • OneDrive
    Die wenigsten Anwender arbeiten "direkt" auf einem OneDrive per Browser, sondern replizieren lokale Daten in die Cloud als "Backup". Wenn die lokalen Daten natürlich verschlüsselt werden, dann sind die Cloud Versionen mit etwas Verzögerung auch verschlüsselt. Leider bietet nur OneDrive für Business aktuell eine Versionshistorie an
  • SharePoint, Subversion, Team Foundation Server etc.
    Wenn der Schadcodeentwickler mehr Zeit hat, dann kann er versuchen auch zentrale Repositories anzugehen, die nicht per SMB erreichbar sind. So kann die eine Code-Datenbank wie Subversion sein. In der Regel Checken Benutzer hier Code aus und wieder ein, so dass eine lokale Verschlüsselung her schon schaden bringen kann, aber die Versionierung hier ein Rollback auf die vorherige Version erlaubt. Zeitaufwändig ist es aber immer noch.

Eine Verschlüsselung ihrer Dateien mit Bitlocker oder die Ablage in einem Container mit TrueCrypt ist übrigens kein Schutz. Jedes Programm kann transparent auf diese Dateien zugreifen, wenn Sie das Volume geöffnet haben. Ein Trojaner wird sicher gerne auch eine TC-Datei "unbrauchbar" machen.

Eindämmen und Risiken minimieren

Das Wissen um die Reichweite ist zugleich auch der erste Hebel zum Schutz gegen solche Schädlinge. Die meisten nutzen nämlich keine Software-Lücken sondern die Unkenntnis der Mitarbeiter und arbeiten ganz normal als Prozess im Hintergrund "als Benutzer"

  • Benutzer schulen
    Ich kann es nur immer erneut wiederholen: Alle Benutzer mit PC-Umgang sollten immer wieder auf die Gefahren hingewiesen werden. Nicht nur einmal, sondern immer wieder, quasi wie eine Sicherheitsunterweisung und Erste Hilfe Kurs. Sie können auch gerne regelmäßig im Intranet oder als Mail auf aktuelle Themen hinweisen um so das Thema "Sicherheit" immer warm zu halten. Viele Anwender sind auch froh über solche Tipps für den privaten Einsatz. Glauben Sie, dass ihr Anwender die gängigen Computerzeitschriften und RSS-Feeds liest?
    Übrigens bin ich auch immer wieder überrascht wie sorglos Administratoren mit ihren privilegierten Rechten umgehen
  • User Account Control (bedingt tauglich)
    Die Schutzfunktion von Windows (UAC) und Unix (SUDO) sind im Bezug auf die Verschlüsselung von Nutzdaten kein Schutz. Sicher kommt so eine Rückfrage, ehe sich ein Trojaner als Systemdienst einnistet aber viel effektiver ist es für solch einen Schädling doch mit den Berechtigungen des Anwender dessen Daten und alle gemeinsame Daten auf Dateiservern zu verschlüsseln. Er bekommt ja über die "Most recently used" Liste der verschiedenen Programme die üblichen Arbeitsbereiche auf dem Präsentierteller serviert.
  • Makroschutz und Signierung
    Solange Anwender Programme einfach ausführen, ist das Risiko vorhanden. Es gibt mittlerweile aber Lösungen, dass eine Firma eine Positiv-Liste der erlaubten Programme pflegt. Dies kann schon viel helfen, aber ist natürlich Arbeitsintensiv, da im schlimmsten Fall jedes Office-Update, und Windows Update neue DLLs und EXE-Dateien bringen kann. Auf der anderen Seite kann eine Firma so schon sicher sein, dass eben nur "bekannte" und lizenzierte Programme genutzt werden. Makros und PowerShell-Skripte könnten z.B. mit einer Signatur versehen werden. Das "kann" auch ein Code Signing Zertifikat einer internen PKI sein. dann aber muss ein AutoEnrollment verhindert sein.
  • Admin und Programme
    Der Schwachpunkt ist natürlich auch hier der Administrator. Er hat die weitreichendsten Zugriffsrechte und jongliert mit vielen Programmen. Er sollte sich sehr sicher sein, dass die verwendeten Programme "sauber" sind. Ich weiß, dass dies einfach gesagt ist und ich selbst bin hier nicht immer konsequent. Ich lade zwar alle Programme immer von den "offiziellen" Seiten herunter, aber eine Garantie ist dies dennoch nicht, dass diese nicht verändert wurden. Sourceforge (http://sourceforge.net/) ändert z.B. Installer ab, um "Mehrwertprogramme" zu addieren. Und nicht jede Seite nutzt SSL. Manchmal ist es auch gar nicht einfach, die autoritative Quelle zu finden.
  • Versionierung
    Die Ablage der Dateien in mehreren Versionen unterstützen ja nicht nur SharePoint und Subversion. In gewisser Weise sind Schattenkopien auch eine Versionierung. Solche Lösungen helfen sehr gute bei solchen Schädlingen. Lässt sich doch meist die vorherige Version wieder herstellen und auch der Zeitpunkt der Änderung und der Anwender sind zu ermitteln und damit die betroffenen Dateien zu spezifizieren. Allerdings muss sichergestellt sein, dass im schlimmsten Fall eine Änderung aller Dateien wieder rückgängig gemacht werden kann und der Schadcode nicht die älteren Versionen löschen kann. Bei Schattenkopien ist das relativ einfach möglich.
  • Backup .. ist nur bedingt hilfreich
    Ein Backup hat das Ziel, durch einen Defekt oder Löschung verlorene Dateien möglichst schnell wieder herzustellen. Hier werden aber die Dateien selbst verändert und es kann Tage dauern, bis Sie das "Wirken" erst bemerken. Ich frage mich eh, warum so ein Trojaner gleicht versucht alles zu verschlüsseln und nicht erst mal die Dateien mit den ältesten Zugriffen startet. Dann könnte er viel mehr Schaden anrichten, da er viel später erkannt wird.
  • Schattenkopien
    Windows selbst kann ja verschiedene "Versionen" von Dateien als Schattenkopien anlegen. Dieses "Feature" wäre natürlich ideal aber es gibt zwei Dinge, die hier versagen:
    • Trojaner kann Schattenkopien löschen. Das machen die Trojaner natürlich auch
    • Viele Änderungen sprengen den reservierten Bereich von 10% (Default)

Das hilft natürlich nur, wenn möglichst alle Clients mit Zugriff auf die Daten auch entsprechend geschützt wird. Das kann bei dem Thema "Bundestag" durchaus ein Problem sein, wenn es selbstorganisierte Einheiten gibt.

Meine 30 Tage Regel

Wie vermutlich viele Firmen und Personen organisiere ich meine Dateien aktuell "noch" in Verzeichnissen auf einem Dateiserver. Wenn ich mir die Daten aber genau anschauen, dann trifft auf quasi alle Dateien folgende Regel zu

  • Am Anfang steht die Erzeugung
    Mit Word, Excel, PowerPoint, Visio o.ä. erstelle ich eine Datei und speichere sie ab.
  • Überarbeitung
    Einige Dokumente werden über mehrere Tage weiter geschrieben, geändert, versendet, gedruckt.
  • Major Version
    Nach einigen Überarbeitungen erreicht die Datei einen "fertig"-Status und wird zum Kunden versendet, gedruckt oder anderweitig veröffentlicht. Die Datei hat dann einen gewissen Status der Stabilität und Version erhalten. Wenn ich danach wieder etwas ändern möchte, dann lege ich in der Regel eine Kopie der Datei an, damit ich den Zwischenstand als Version habe
  • Lesezugriff/Suchen aber kein Schreibzugriff mehr auf die älteren Dateien
    Auf diese "älteren Versionen" brauchen meine Kollegen und ich natürlich Lesezugriff aber eine Veränderung ist in der Regel nicht mehr erforderlich.

Interessant ist, dass eine Suche auf verschiedenen Dateiservern nach einem "Alter" recht schnell raus kommt, dass der Abstand zwischen "Creation Date" und "last Modified Date" gar nicht so weit von einander abweicht.

# Anzeige 
Get-ChildItem -Recurse -File `
   | %{ `
      [int](($_.lastwritetime - $_.creationtime).totaldays / 30)`
   } `
   | sort `
   | group -NoElement 

Hinweise: Es können durchaus negative Werte entstehen, da bei einem "Copy" das CreationDate aus dem aktuellen Datum abgeleitet wird während "LastWrite" das reale Datum bleibt. Interessant ist aber zu sehen, dass wirklich sehr viele Dateien lange Zeit eben nicht mehr verändert wurden. Daraus lässt sich eine in vielen Fällen geeignete Schutzstrategie aufbauen, z.B.:

  1. Definition der "unveränderlichen Dateien"
    Ich könnte mir vorstellen, dass eine Firma alle Office-Dateien (DOCX, XLSX, PPTX etc.), die sich seit z.B. 30 Tagen nicht mehr geändert haben (LastWrite) als statisch angesehen werden und nicht mehr verändert werden dürfen.
  2. Schutz der Dateien
    Diese Dateien werde per ACLs entsprechend geschützt. Man könnte auf dem Server per Skript die Berechtigungen auf diese Dateien ändern, z.B. Vererbung abschalten und noch noch "lesen" zulassen. Das wirkt deutlich besser als z.B. ein "ReadOnly"-Attribut, welche der Anwende entfernen kann.
  3. "Entsperrung" über Provisioning
    Sollte jemand eine Datei doch wieder verarbeiten, umorganisieren oder Löschen wollen, muss natürlich ein passender Prozess bereit gestellt werden, z.B. eine Webseite als SelfService zum temporären Entsperren oder ein Administrator muss helfen.

Sicher macht so eine Sonderfunktion das Arbeit etwas mühseliger aber es betrifft ja nur Dateien, die sie seit mehr als der definierten Zeit nicht mehr geändert haben.

  • Alternative: Everyone:DENY WRITE
    Ich hatte zuerst an "Everyone:DENY WRITE" gedacht, was aber auch den Administratoren das Leben erschwert.
  • Alternative: Auslagern
    Wie ein Aktenordner mit einem abgeschlossenen Vorgang könnte man natürlich auch Dateien "archivieren", d.h. den Ordner auf einen anderen Speicher auslagern, der nicht mehr überschrieben oder verändert werden kann. So wie sie einen Aktenordner vom Schrank in ihrem Office in das Archiv im Keller verlagern. Der Zugriff darauf ist dann aber auch ein anderer Weg und von den Kosten und Abhängigkeiten können ihnen viele Archiv-Betreiber etwas erzählen.
  • Selektive Berechtigungen
    Natürlich könnten Sie auch die Berechtigungen noch granularer vergeben, d.h. dass Mitarbeiter nur genau auf den Daten Rechte bekommen, die sie für ihre aktuelle Arbeit benötigen und alles andere blockieren. Das funktioniert Abteilungsübergreifend noch gut, aber innerhalb einer Abteilung ist es ja gerade von Vorteil, wenn man sich vertreten oder auf Informationen früherer Tätigkeiten anderer Personen zurückgreifen kann. Und damit haben doch wieder "viele" Personen (Schreib-)Zugriff.

Insofern finde ich den Ansatz durchaus überlegenswert, ältere Dateien per Automatismus mit NTFS-ACLs zu versehen, um eine Überschreiben oder Ändern durch einen Crypto-Trojaner zu minimieren.

Cloud-Dienste

Sie haben sicher schon gelesen, dass eine Datensicherung und eine Kopie der Daten die beste Versicherung gegen eine unliebsame Verschlüsselung oder Löschung ist. Nur wie sichern Sie die Daten in der Cloud? Die meisten Anbieter machen in der Cloud schon gar keine "Sicherung mehr, sondern verlassen sich lieber auf eine Kombination von Replikation. So erreicht Microsoft über die Exchange Database Availability Group (DAG) gleich drei Ziele:

  • Datenverlustminimierung durch Replikation
    Werden die Daten auf mehrere Server repliziert, kostet dies zwar mehr Plattenplatz aber der Ausfall eines Servers oder einer Disk stellt keinen totalen Datenverlust oder ein Rückfall auf den Stand des letzten Backups mehr dar.
  • Hochverfügbarkeit durch mehrere Instanzen
    Wenn die Daten schon auf mehreren Server liegen, dann kann jeder (s)einen aktiven Teil davon den Clients anbieten und im Falle auch noch die Last eines anderen Server übernehmen. So geht Hochverfügbarkeit mit Replikation.
  • Lastverteilung
    Zudem haben alle Server im Verbund etwas zu tun, was der Performance zugute kommen kann

Die gleichen Ansätze kann man mit SQL Mirroring, DFS-Replikation etc. erreichen. Aber das ist immer noch keine Antwort für die logische Zerstörung der Daten durch ein "Löschen" oder Überschreiben bzw. Verschlüsselung.

Stellen Sie sich vor ein Crypto-Trojaner hat es nicht auf ihre Dateien abgesehen, sondern greift über ihr Mailprogramm auf ihr Postfach zu und löscht die Mails? Elemente in einem Postfach sind nämlich keineswegs "unveränderlich". Das Gleiche gilt natürlich für Cloud-Laufwerke, auf die Sie per WebDAV zugreifen oder deren Daten sie replizieren. Auch diese Daten sind relativ einfach für so einen Schädling erreichbar.

Nun wissen wir aber auch alle, dass Office 365 keine klassisches Backup mehr macht. Microsoft stellt sicher, dass die Daten, die dort abgelegt werden, nicht durch Verschulden von Microsoft verloren gehen. Dafür sorgt die Replikation auf mehrere Server und Storage Systeme um keinen "Single Point" zu haben. Das ist aber kein Schutz dagegen, dass Sie selbst nicht diese Informationen löschen. Und das ist durchaus eine Gefahr. Gegen "Löschen" gibt es teilweise noch Hilfen aber gegen überschreiben muss man schon genauer hinschauen

Erkennen

Das Lesen und Schreiben von Datendateien ist die ureigene Funktionsweise von Anwendungen, die von Anwendern gestartet werden. Insofern ist es für Antiviren-Programme eigentlich nicht möglich, hier zu erkennen, was schief läuft. Eventuell könnte ein Malware-Scanner noch prüfen, welcher Prozess auf eine Datendatei zugreift. So wird der normale Anwender eine DOCX-Datei immer mit "winword.exe" starten. Aber wie will eine Virenscanner auf dem Dateiserver wissen, welcher Prozess auf dem Client den Zugriff ausübt? Ich sehe aktuell nur wenige Möglichkeiten:

  • IO-Betrachtung
    Wenn der Schadcode möglichst schnell möglichst viel Schaden anrichten will, dann muss er "schnell" sein und viel Dateien in kurzer Zeit ändern. Das sollte einfach zu erkennen sein, wenn ein Prozess deutlich mehr IOPS und MBit anfordert., als üblich. Solche Analysen könnte man per HTTP oder SMB auf dem Netzwerk machen, auf den Disks erkennen oder auf dem LAN-Kabel sehen. Problem hier: Ich habe noch kein Programm gesehen, welches dies zuverlässig macht und im Betriebssystem ist es natürlich nicht drin. Die meisten Anwender und Firmen wären aber schon damit überfordert, wenn so ein Schadcode nur die ersten Bytes "dreht" um die Datei unbrauchbar zu machen Dann fällt es deutlich schwerer eine legitime Änderung von einer schädlichen Änderung zu unterscheiden.
  • VSS-Auswertung und Überschreibschutz.
    Wenn auf dem Massenspeicher die Funktion "Schattenkopien" aktiv sind, dann wird man hier sehen, dass der Bereich sich schnell füllt oder die enthaltenen Versionen nicht mehr allzu weit zurück reichen. Leider kann Windows hier keine "Mindesthaltezeit" definieren, d.h. wie lange eine vorherige Version mindestens wieder herstellbar sein müsste.
  • Validierung der geschriebenen Dateien
    Ein Zwischenschritt könnte die Überprüfung geschriebener Dateien auf dem Storage durch einen unabhängigen Prozess sein. Solange Crypto-Trojaner einfach nur die Datei "kaputt machen, könnte eine Kontrolllesung durch einen anderen Prozess sehr früh erkenne, dass eine Datei korrupt ist. Aber sicher werden Trojaner bald auch Office Dateien einfach öffnen und mit Kennwort speichern. Dann läuft dieser Ansatz schon wieder ins Leere.

Ich sehe es als wenig Hilfreich an, solche Prüfungen auf jedem Client auszuführen. Das könnte im "SoHo"-Bereich helfen aber in Firmen muss der Schutz auf dem Server erfolgen. Dieser hat einen kompletten Überblick über alle Clients und was diese so tun und nicht tun. Hier sollte auch sehr einfach erkennbar sein, wenn ein Clients sich "unlogisch" verhält.

Aber bislang habe ich noch keine Software gesehen, die solche einen Schutz auch umsetzt.

Praktische Anwendung

Aus verschiedenen Fällen bei Kunden habe ich für mich persönlich folgende Lehren gezogen:

  • Regelmäßiges Backup (wöchentlich oder häufiger) auf "Offline"-Medium
    Das kann ich auch jeden Familienvater nur nahelegen, der z.B. seine Bilder der Digitalkamera auch noch nutzen möchte. Dabei muss das Backup auf ein Medium erfolgen, auf das niemand sonst ohne Rückfrage Zugriff hat. Eine zweite Festpatte im PC, auf die von C: nach D: gesichert ist, ist kein Schutz. Ebenso wenig der SMB-Share auf einem NAS-System, wenn die Authentifizierung "automatisch" erfolgt.
    Relativ wenig Probleme sehe ich, wenn das Backup nur nach expliziter Anmeldung erreichbar ist. Der Einsatz von USB-Festplatten ist natürlich auch eine Option. Hier sollten dann aber mindestens zwei im Wechsel eingesetzt werden.
  • Trusted Source und Testsystem
    Ich versuche möglichst Programme nur aus vertrauenswürdigen Quellen zu nutzen und unbekannte Programme erst in einer VM zu starten. Ich leiste mir den Luxus, mehr als einen Computer zu haben und bestimmte Dinge eben NICHT auf dem Firmengerät zu machen, auf dem auch Buchhaltung und Kundendaten liegen. Das beinhaltet natürlich auch die strickte Trennung, dass Kinder und andere Personen auch nicht "nur mal eben schnell" auf dem Computer etwas nachschlagen. Dafür ist ein kleiner Laptop viel zu billig um das Firmengerät zu gefährden.
  • Daten "verstecken"
    Wir alle arbeiten mit Daten und Dokumenten aber brauchen wir wirklich immer den "Überall-Zugriff" auf alle Daten?. Wenn ich meinen Datenbestand anschaue, dann gibt es schon einige, die ich gerne suche, finde, lese aber nicht immer auch ändern möchte. Ich habe mir so beholfen, dass ich auf einem NAS-System eine Dateifreigabe eingerichtet habe, über die ich "nur" lesen kann. Meine Dateien selbst bearbeite ich lokal und zur Ablage auf dem NAS-Server kopiere ich sie über eine andere Freigabe an den gleichen Platz. Diese zweite "schreibbare" Freigabe nutzt aber ein anderes Benutzerkonto und Kennwort. Die Chance stehen gut, dass ein Trojaner nicht genau darauf "wartet", dann diese Freigabe eingebunden ist.
    Dies entspricht etwa dem Vorgang einen Aktenordner in das Archiv zu bringen, wenn man ihn nicht mehr im dauernden Zugriff benötigt.

Für Firmen muss eine individuelle Lösung geschaffen werden. Sicher sind minimale Rechte hilfreich aber erschweren die Zusammenarbeit. Vielleicht baut doch mal jemand einen Schutz, damit Dateien vor dem Schreiben erst einmal "freigegeben" werden müssen, ehe Sie zurück geschrieben werden dürfen oder ein Weiterschreiben unterbunden wird, wenn der Schattenkopie-Speicher zur Neige geht.

Weitere Links