[domy_os]

Citiraj:

Autor Sinac

Samo za info, tamo gdje je potrebna visoka sigurnost poslovanja, diskovi se vade iz zaraženih računala i spajaju na jedno računalo koje ima antivirusni program s najnovijim definicijama, kopiraju se datoteke (samo datoteke, ne programi !!!) uz antivirusnu provjeru. Diskovi se brišu i ide reinstalacija OS-a i programa. Ista procedura primjenjuje se i za USB stickove pa čak i sve optičke medije snimljene od određenog trenutka u odnosu na zarazu kojima se poskidaju datoteke i presnime na drugi medij a ovaj sumnjivi uništava.
Naravno da se na početku rada gasi mreža i prekontroliraju sva mrežno dostupna mjesta na koje se zaraza mogla proširiti.
Ono što sam ja kolegama tvrdio da je veliki zez u cijeloj priči da se ne smije ostaviti otvorena konekcija ili automatsko povezivanje na mrežno dostupna mjesta bez ukucavanja lozinke što je došlo do izražaja pri jednom napadu kriptolokera kada je srećom stradalo samo jedno računalo ali je ono uspjelo uništiti backup svih ostalih računala na backup mrežnom mjestu. Naravno da smo odmah morali provrtiti backup na svim računalima. Tu se otvorila rasprava da je bolje kreirati backup lokalno na računalima a onda da server sam pokupi backup sa svakog računala jer u tom smjeru računala niti ne trebaju imati pristup serveru već obrnuto.

Ništa to ne vrijedi ako AV ne detektira ransomware, a takvih slučajeva je jako puno, treba ti SRP na domeni, pogasiti SMB 1.0 i ostale nepotrebne servise, pisao sam već negdje.

Citiraj:

Autor mann

Ajmo reci da im onda samo jos fali odvojeni backup za nas na nesto sto je ili cloud ili datastore koji nije dostupan nikome. Ako su tako mali i to je ok.

Za ovakve stvari je dosta neki NAS sa ZFS-om i odvojenim backup accountom. Za spriječiti SPoF dodati još offline backup na drugoj lokaciji i to je to, ali sad već odlazimo izvan teme.