Zaštita od CTB lockera

siloman · 19.03.2016., 21:44

U jeku ovih žustrih napada CTB lockera, moram nekako zaštiti file-ove u firmi.
Trazim od vas savjet kako da to bude cim bolje.
Ovo je neka moja ideja za sad:

1) Backup preko Cloudstationa na Synology
2) Slozit backup na synologyu jednom tjedno(dal onda on kriptira taj backup koji stvori?)
3) Offline backup-prijenosni hard koji će se po potrebi kad se netko sjeti uštekat u synology i odvrtit backup.
4) Zapravo bi ovo trebao biti prvi korak. Koji antivirus? Plaćeni naravno, jer nije to neka lova ako te zastiti od problema.

Jel moze locker preko cloudstationa ili google drivea prelazit?

Hvala svima unaprijed.

potemkin.hr · 20.03.2016., 00:07

Ne znam kako cloudstation komunicira sa NAS-om, ali ako ne koristi klasični explorer ili SMB protokol locker ne bi smio biti u mogućnosti kriptirati fajlove koji su već na NAS-u. Niti jedan cloud servis nije siguran od cryptolockera jer isti redovito enkriptira sve do čega dođe u cloudu, ali ako je iole bolji cloud provider ima prijašnje inačice fajlova preko verzioniranja pa se tako mogu vratiti fajlovi.
Offline backup je uvijek dobra opcija ako si siguran da ti fajlovi nisu zaraženi.

Kao AV imamo Symantec Endpoint protection koji se pokazao solidan, u jednoj instanci pred par dana je blokirao jednu locker varijantu koju je jedna tuka pokrenula.

Mi smo u firmi riješili na sljedeći način:

na file storage server implementirali File server resource manager prema ovom guideu
posebni backup server na koji ništa nema write access, isti na dnevnoj bazi sinkronizira fajlove sa file servera sa lokalnim storeom i trpa u komprimirani backup, koji se drže zadnjih XY dana na backup serveru. Ne niti slučajno davati write access backup serveru jer ako slučajno netko pokrene cryptolocker na domain admin accountu sve će otići kvragu.
obavezna edukacija korisnika da ne kupe svakih dana neku *locker varijantu. Možeš iskoristiti moje Upute o prepoznavanju štetnih mailova kao šablonu. Kod nas se striktno drže uputa i barem godinu i pol nismo imali nikakvih problema sa ozbiljnijim zarazama.
ako slučajno tko koristi Outlook Express, izbaci to hitno iz upotrebe. Čim netko previewa mail program automatski strpa attachmente u temp folder i pokreće ih, što je jebena kombinacija sa zaraženim .doc fajlovima.

S vremena na vrijeme izlaze i novije verzije tih crypto sranja pa treba dodavati definicije u file screen. Primjer: prije par dana je izašao novi "bugfix" TeslaCrypta gdje ne dira ekstenzije fajlova što se koristilo za laki monitoring preko file screena (link).

morbid_angel · 21.03.2016., 06:19

Kod mene se radi samo backup dokumenata i jednog racunovodstvenog programa. Svaki dan se sve zipa, kopira na freenas putem SMB-a, zatim freenas interno kopira na store gdje nitko nema pravo pristupa pisanja osim roota koji dobi pravo pristupa pri pocetku skripte i gubi pri kraju skripte. Ako se datastore dovoljno napuni (mislim da sam stavio 80%) tada se stari backupi brisu. Tako da uvijek imam backup zadnjih 100+ dana. Sve se drzi na RAID10 + offline backup u vidu eksternog diska koji se usteka u freenas i na njega se skopiraju zadnji backupi. Takodjer se tu-i-tamo sve przi na par DVD-a, zlu ne trebalo.

Trebao bih jos sloziti da se radi inkrementali backup, ili backup samo kod promjene sadrzaja foldera ali kako je backup u vidu do 100 MB... Jos nije doslo na red.

Ili ako netko ima vec slozenu PowerShell skriptu bio bih zahvalan.

Koristi se Google Apps za mailove pa se ne drze lokalno...

Ovo je sve bilo slozeno za malu firmu, zato nije neki ekstra-uber backup s trakama, dodatnim serverima i slicno. Cijeli storage je dovoljno velik da drzi svakodnevni backup nekoliko godina (sve su dokumenti i male baze, a koristi se kompresija). Kod mene se muzika/filmovi/slike i ostale stvari kaj korisnici znaju skidat ne stavlja na backup. Samo poslovne stvari. Korisnik je sam odgovoran za osobne podatke na tom racunalu, a moj backup za poslovne podatke.

Downtime od dva, tri sata nije nikakav problem pa je i ova opcija u nekim sferama "overkill".

Tako da, u vidu cryptolockera, dost dobro je zasticeno. Jedino ako ima cryptolockera koji ce zaraziti freenas i dobiti kontrolu nad njime. Read-only ZFS Snapshot/offline backup moze spasiti stvar kad se takva gamad nastani kod nekog korisnika.

Za Synology neznam, nisam to koristio, za storage koristim samo FreeNAS ili Windows Server ako bas trebam.

Sve si mislim, kao dodatnu opciju, dodati Dropbox na FreeNAS pa nek se svaki dan salje i tam. Tak i tak bi se slalo po noci kad mreza nije opterecena.

19.03.2016., 21:44	#1
siloman Premium Moj komp Datum registracije: Oct 2009 Lokacija: Otok Krk Postovi: 325	Zaštita od CTB lockera U jeku ovih žustrih napada CTB lockera, moram nekako zaštiti file-ove u firmi. Trazim od vas savjet kako da to bude cim bolje. Ovo je neka moja ideja za sad: 1) Backup preko Cloudstationa na Synology 2) Slozit backup na synologyu jednom tjedno(dal onda on kriptira taj backup koji stvori?) 3) Offline backup-prijenosni hard koji će se po potrebi kad se netko sjeti uštekat u synology i odvrtit backup. 4) Zapravo bi ovo trebao biti prvi korak. Koji antivirus? Plaćeni naravno, jer nije to neka lova ako te zastiti od problema. Jel moze locker preko cloudstationa ili google drivea prelazit? Hvala svima unaprijed. __________________ Gdje se jede jedem,gdje se pije pijem,gdje se radi ne smetam!

20.03.2016., 00:07	#2
potemkin.hr Akutna lijenčina Moj komp Datum registracije: Aug 2006 Lokacija: Fiume Postovi: 1,804	Ne znam kako cloudstation komunicira sa NAS-om, ali ako ne koristi klasični explorer ili SMB protokol locker ne bi smio biti u mogućnosti kriptirati fajlove koji su već na NAS-u. Niti jedan cloud servis nije siguran od cryptolockera jer isti redovito enkriptira sve do čega dođe u cloudu, ali ako je iole bolji cloud provider ima prijašnje inačice fajlova preko verzioniranja pa se tako mogu vratiti fajlovi. Offline backup je uvijek dobra opcija ako si siguran da ti fajlovi nisu zaraženi. Kao AV imamo Symantec Endpoint protection koji se pokazao solidan, u jednoj instanci pred par dana je blokirao jednu locker varijantu koju je jedna tuka pokrenula. Mi smo u firmi riješili na sljedeći način: na file storage server implementirali File server resource manager prema ovom guideu posebni backup server na koji ništa nema write access, isti na dnevnoj bazi sinkronizira fajlove sa file servera sa lokalnim storeom i trpa u komprimirani backup, koji se drže zadnjih XY dana na backup serveru. Ne niti slučajno davati write access backup serveru jer ako slučajno netko pokrene cryptolocker na domain admin accountu sve će otići kvragu. obavezna edukacija korisnika da ne kupe svakih dana neku *locker varijantu. Možeš iskoristiti moje Upute o prepoznavanju štetnih mailova kao šablonu. Kod nas se striktno drže uputa i barem godinu i pol nismo imali nikakvih problema sa ozbiljnijim zarazama. ako slučajno tko koristi Outlook Express, izbaci to hitno iz upotrebe. Čim netko previewa mail program automatski strpa attachmente u temp folder i pokreće ih, što je jebena kombinacija sa zaraženim .doc fajlovima. S vremena na vrijeme izlaze i novije verzije tih crypto sranja pa treba dodavati definicije u file screen. Primjer: prije par dana je izašao novi "bugfix" TeslaCrypta gdje ne dira ekstenzije fajlova što se koristilo za laki monitoring preko file screena (link). __________________

21.03.2016., 06:19	#3
morbid_angel Premium Moj komp Datum registracije: Jun 2008 Lokacija: Tokyo Postovi: 196	Kod mene se radi samo backup dokumenata i jednog racunovodstvenog programa. Svaki dan se sve zipa, kopira na freenas putem SMB-a, zatim freenas interno kopira na store gdje nitko nema pravo pristupa pisanja osim roota koji dobi pravo pristupa pri pocetku skripte i gubi pri kraju skripte. Ako se datastore dovoljno napuni (mislim da sam stavio 80%) tada se stari backupi brisu. Tako da uvijek imam backup zadnjih 100+ dana. Sve se drzi na RAID10 + offline backup u vidu eksternog diska koji se usteka u freenas i na njega se skopiraju zadnji backupi. Takodjer se tu-i-tamo sve przi na par DVD-a, zlu ne trebalo. Trebao bih jos sloziti da se radi inkrementali backup, ili backup samo kod promjene sadrzaja foldera ali kako je backup u vidu do 100 MB... Jos nije doslo na red. Ili ako netko ima vec slozenu PowerShell skriptu bio bih zahvalan. Koristi se Google Apps za mailove pa se ne drze lokalno... Ovo je sve bilo slozeno za malu firmu, zato nije neki ekstra-uber backup s trakama, dodatnim serverima i slicno. Cijeli storage je dovoljno velik da drzi svakodnevni backup nekoliko godina (sve su dokumenti i male baze, a koristi se kompresija). Kod mene se muzika/filmovi/slike i ostale stvari kaj korisnici znaju skidat ne stavlja na backup. Samo poslovne stvari. Korisnik je sam odgovoran za osobne podatke na tom racunalu, a moj backup za poslovne podatke. Downtime od dva, tri sata nije nikakav problem pa je i ova opcija u nekim sferama "overkill". Tako da, u vidu cryptolockera, dost dobro je zasticeno. Jedino ako ima cryptolockera koji ce zaraziti freenas i dobiti kontrolu nad njime. Read-only ZFS Snapshot/offline backup moze spasiti stvar kad se takva gamad nastani kod nekog korisnika. Za Synology neznam, nisam to koristio, za storage koristim samo FreeNAS ili Windows Server ako bas trebam. Sve si mislim, kao dodatnu opciju, dodati Dropbox na FreeNAS pa nek se svaki dan salje i tam. Tak i tak bi se slalo po noci kad mreza nije opterecena. __________________

Oglasni prostor
PC Ekspert Forum Oglas

Oglasni prostor
PC Ekspert Forum Oglas