Keresés

Egy kis magyarázat a prezentációhoz:...

https://witsec.hu/sites/default/files/WITSEC2018/03_Napi_mentes_30_ora.ppt

Sajnos, az LTO start-stop működését bemutató videó így nem látszik, de majd megkeresem és felteszem a szerveremre...

A TSM (Tivoli Storage Management), ha van hozzá elég szabad lemez munkaterülete, akkor szépen megcsinálja az előkészítést, beleértve a deduplikációt is. Nagyon megéri a Tivolit VTL-lel kombinálni...

Ha egy közbülső lemezpufferben összekészíted az állományokat és összeláncolod egyetlen folyamatos file-ba, akkor lehet kihajtani teljesen a drive-ot. 2018-ban volt erről egy elég részletes előadásom, ha megtalálom, felteszem a linkjét...

És persze nem Windows alól, hanem mindenféle unixokból.

Bocs, azt hittem, backupról beszélünk.

Saját tapasztalatom az volt, hogy akkoriban bármit csináltunk, e célra a Jaguarok voltak a leggyorsabb eszközeink.

Már a robothoz használt szoftver nevére sem emlékszem :(

Valami TSM akármi...(ezt is úgy kellett megkeresni)

Ahhoz, hogy gyors legyen, etetni is kell. Ha nem streaming módban megy hanem start-stopra vált, akkor a sebessége századrészére (!!!) esik vissza, ezt több esetben mértük. A drive akkomodációs tartomány nagyjából 1:3, a Win file-rendszerek ezt nem tudják etetni már 3-szoros mélységű direktorystuktúránál sem tudják kiszolgálni. Ha pedig sok kis file van, akkor a streaming mode felejtős...

Mihez képest lassú?

Anno a Jaguar drive-ok gyorsabbak voltak, mint a 12000RPM-s hdd-k.

Hogy dekódolni nem tudom, az egyértelmű.

Inkább a backup optimalizálás ransomware támadás esetére hagyott bennem kérdőjeleket.

OS-400? zSeries?...

Ha napi mentés van szalagra, akkor azt nem tudja visszamenőlegesen kódolni a vírus. Lehet nyafizni, hogy a szalag lassú meg kényelmetlen, de akkor meg VTL. Ha a mentés VTL-re megy, azt sem tudja bántani, mert kizárólag szalagos parancsokat értelmez...

Linuxra is rég van egy csomó ransomware.

Ha már bekaptad, szinte biztos, hogy nem fogod dekódolni a letitkosított állományokat.

Tehát megelőzés.

Az általam javasolt megoldások azért jók, mert ismeretlen vírus ellen is működik általában.

Szerintem LAMD-re is van ilyesmi, csak ritkább. :D

Ha jól értem, te is inkább a megelőzésben látod a megoldást, nem az utólagos kárelhárításban. ;)

ui: kicsit kapkodva, mobilról íródott a topic-nyitó. Eredetileg valahova oda akartam kilyukadni, hogy manapság mennyire jellemző az, hogy ha bejön egy új zsarolóvírus, amit történetesen a víruskeresők nem ismernek fel, akkor képes sokáig rejtve maradni és olyan hosszú ideig rejtőzködni, hogy ne legyen életképes mentés a fontos állományokról?

Mennyire írható a felelőtlen rendszergazdák/üzemeltetők számlájára egy ilyen esetben bekövetkező, jelentős adatvesztés és mennyire nevezhetjük pechnek, hogy pont "hozzánk" jutott be és sikerült tönkretennie mindent?

Wintel  helyett számítógépet és operációs rendszert kell használni :-)))...

Pl. ne legyen felmountolt hálózati drive-od. A legtöbb zsarolóvírus nem tudja kezelni az UNC fileneveket.

Amellett pl. be kell kapcsolni a ransomware elleni védelmet a Windows Biztonságban. Sokan nem is tudják, hogy van benne ilyen.

Amellett tiltani kell, hogy a felhasználó lokális temp könyvtáraiból programot lehessen elindítani.

Ha a vírusvédelmi szoftverben van application control, akkor be kell állítani, hogy a Word, excel, adobe, stb. (ide tartoznak pl. az sql állományok is) file-okat csak a saját alkalmazása tudja megnyitni, más ne (a Windows Biztonság ransomware védelme is hasonló elven működik).

Lehet figyeltetni az állományok kiterjesztését a vírusvédelmi rendszerrel, és riasztást beállítani rá (sok ransomware úgy kódolja le az állományt, hogy a filename.kiterjesztés után rak még egy kiterjesztést, ami rá jellemző: pl. fontos.docx állományból lesz fontos.docx.locker 

Ez egyértelmű, de mennyit? Hogyan?

Régi emlék, még az első zsaroló vírusok idejéből: hosszú ideig rejtőzködtek, beépültek a windows-ba és on the fly titkosították a diszket.

Ha a fájlrendszert mented, fájlonként, akkor legalább az adatok megmaradnak, de ha a disk image mentődik... Ott már lehet baj.

Van ahol nem olyan nagy gond pár napi adat elvesztése, de a legtöbb cégnél pár órányi adatvesztés is baj.

a "feltörés" is müködhet, bizonyos esetekben, de ki akar erre iszonyu energiát elszarni, format c és vissztaállitani a rendszert egy korábbi mentésre, ez a legegyszerübb és leghatékonyabb

mentést kell csinálni mindenről

Vakcinázás, maszk állítólag hatásos...

Biztonsági mentések, izoláció, fileösszehasonlítás.

Nekem volt 30 napnyi, plusz a nap közben keletkezett ez-az. (Úgy 15 éve)

De mi van, ha hetekig, hónapokig lapít, netán a háttérben úgy kódolgat, hogy kifelé nem látszik?

Nekem ez elég komoly szopásnak tűnik. :(

"Mert ugye mentést csak limitált ideig szokás őrizgetni."

Igen. Addig, amíg a következő mentés át nem veszi a helyét.

Vagy van pölö 3 mentésed, és mindig a legrégebbit törlöd.

https://www.bleepingcomputer.com/news/security/mediamarkt-hit-by-hive-ransomware-initial-240-million-ransom/

Ez a hír indította be a fantáziámat.

Hogy lehet védekezni egy zsarolóvírus ellen?

Eddigi ismereteim szerint megelőzéssel, illetve rendszeres backuppal.

Ez jól hangzik, de ha már bent van a vírus és szorgalmasan kódolja a fertőzött gépekről elérhető állományokat, akkor már késő. 

Ilyenkor ha van rendszeres mentés, akkor vissza kell tölteni a mentésből a már kódolt állományokat, de...

Ezek a szarok nem rejtőzködnek napokig, hetekig, hónapokig?

Mert ugye mentést csak limitált ideig szokás őrizgetni.

Van erre bevált módszer?