Защита от ransomware (вымогателей - шифровальщиков)

Если Вы никогда не получили письма\файлы 'счастья' как выше, то Вам просто повезло. Как правило везение заканчивается. И очень печально заканчивается, база которую делали 5 лет стОит много, очень много человеко-часов... И люди вынуждены платИть вымогателям $500 - $10 000. Слышал про случай уплаты $1 500 000, хз, вполне допускаю. Иногда инфа просто бесценна.
Вчера обратился чел и сказал, что перестали открываться EXCEL файлы. После обследования его WINDOWS SERVER 2012 R2 я увидел, что все данные пользователей зашифрованы, в том числе и база 1С и бэкапы базы 1C. Заражение было через RDP (тупой подбор пароля, а пароль был 6 цифр), я ему когда ставил сервер - советовал поставить роутер с VPN сервером (ибо он заходил периодически из дома на сервер по RDP), но клиент проигнорировал это - тупо зажмотил $50, ну хозяин-барин. Я как правило адекватно оцениваю угрозы и сразу предупредил, что возможны варианты, чел опять проигнорил. Результат как Вы поняли печальный. Просили в данном случае $500, через 24 часа неуплаты сумма удваивалась.. Сумма конечно не запредельная, но никто ж не гарантирует, что после оплаты все восстановится... Как-то так.
Я принципиально против оплаты вымогателям и в данном конкретном случае все закончилось хорошо. Помог мой вариант бэкапа. Ниже я расскажу что и как позволило восстановить данные. И почему в таком варианте можно спать спокойно и НЕТ СМЫСЛА платить вымогателям.

Кстати пару раз встречал фальшивых ransomware (вымогателей - шифровальщиков). Типа детский сад. Ничего не шифруют, просто пугают пользователя, да и просят копейки - типа 500 грн. Как правило прописываются в MBR или PBR, иногда просто удаляют файлы пользователей. Такие ransomware не есть серьёзными и нормальная работа восстанавливается быстро. А удаленные файлы можно без проблем восстановить, к примеру через R-Studio.
Мы защитимся и от реальных ransomware и от фальшивок.

1. Бэкап должен быть всегда.
2. Бэкап должен быть автоматическим. Только автоматизированный бэкап, выполняющийся по расписанию, дает нам возможность восстановить относительно актуальные данные - например, от вчера, а не от марта месяца.
3. Бэкап нужно хранить отдельно от данных и минимум 2 недели.
4. Бэкап нужно регулярно проверять.
Ну и самое главное.
0. Бэкап должен лежать в недоступном для ОС хранилище. Кто-то не поймет данное требование, кто-то тупо поржет, но практика показывает, что это самое важное. Ниже рассмотрим детальнее это.
Зачем бэкап и когда он поможет. А точнее когда не поможет?
Предположим , что Вы классный админ и бэкап ложим на том-же компе на другой HDD. Эт не гарантирует ничего ибо наш комп можно скомпроментировать.
Предположим , что Вы классный админ и бэкап ложим на RAID 1 на удаленном компе и на входе стоит маршрутизатор и параметрический брандмауэр . Лучше, но опять же эт не гарантирует ничего ибо удаленный комп, да и сам маршрутизатор можно скомпроментировать.
Когда такое понимаешь, то оторопь берет. Что же делать?
Я не буду мутить воду, в которой умные парни с умным видом Вам рассказывают сказки как защитить комп или сервер с помощью волшебной проги\антивируса. Открою истину. Защитить в принципе можно от элементарных вещей, но от всех угроз нереально. Нет такого, даже отключенный от интернета компьютер вполне возможно заразить, типа человеческий фактор никто не отменял.
Ну типа я так и делаю.
Скорее всего Вы делаете не совсем так. Image for Windows\Linux позволяет положить архив в неподдерживаюмую Windows файловую систему, например Ext2/3/4, ReiserFS или HSF+.
Также мы настроим это все дело для планировщика, и автоматом наши данные будут бэкапироваться без вмешательства админа или пользователя. К бэкапу никто не сможет получить доступ. При желании сам бэкап можно зашифровать паролем. А хотя зачем, ведь любимый Predator или Scarab сами аккуратно все зашифруют. Шутка и иногда очень болезненная!
Ну так у меня стоИт антивирус, спецсофт защиты и т.д.
Не будьте наивными. Эт Вам не поможет. Да, от каких то ransomware стареньких наверное, от новых вряд ли...
Антивирусы и спецпроги НЕ панацея, вымогателей слишком много и появляются они каждый день.
Что же делать?
Мы не будем бегать и искать пиджаки, флешки, USB-HDD, а используем простую прогу Image for Windows\Linux. Ссылка на справку PDF. Вряд ли она Вам понадобиться, ну на всякий пожарный.. Конечно я советую ложить бэкап на другой HDD, а лучше на RAID 1, но если такой возможности нет - мы защитим наш комп\сервер от ransomware (вымогателей - шифровальщиков) и на одном HDD. Типа будет бэкап для бедных, но иногда только он и выручит..

Ху эс ху?
Image_for_Windows.7z - прога Image for Windows (для 7 и выше) с доп. плюшками, будет использоваться для бекапа Windows и\или данных, запускать Start_IFW.cmd.
Image_for_Linux_GUI.7z - загрузочная флешка\CD для Legacy\UEFI с прогой Image for Linux с доп. плюшками, будет использоваться для восстановления бекапа, пока не нужна - постучал 'по дереву', дай бог чтоб не пригодилась. Если вдруг нужна - запускать для создания загрузочного носителя makedisk.exe.
EXT4.TBI - бекап раздела EXT4 (20 GB), будем юзать для создания раздела с файловой системой EXT4 прямо из Windows.

1. Освобождаем место под будущий раздел для файлов бэкапа.
2. Создаем и форматируем раздел для файлов бэкапа. Собственно мы, как я уже писал выше, можем использовать EXT4, ReiserFS или HFS+. В данном примере будем юзать EXT4.
Конечно, можно было б загрузиться в какой-нибуть LiveCD, например Ubuntu или тот же Image for Linux и оттуда отформатировать свой новый раздел, но эт лишние телодвижения. Мы просто восстановим бэкап EXT4.TBI на свободное место диска и получим желаемый результат. Причем без перегрузки, ибо бухгалтерА как правило не любят когда админ перегружает сервер ;) Ну и замечу, что при восстановлении EXT4.TBI раздел EXT4 мы можем сделать любым по размеру, НО не менее 20 GB. Более можно, менее нет.
3. Далее просто запускаем Image for Windows и создаем полный бекап диска\раздела и ложим его на раздел EXT4. Если Вы хотите делать бэкап не всего раздела, а отдельных папок - см. документацию для Image for Windows\Linux.
4. И настраиваем в планировщике создание дифференциального или инкрементного ежедневного бекапа с сохранением его на раздел EXT4..

Небольшое отступление. На средней фирме (около 100 компов) начал гулять в сети ransomware. Поверьте мне нА словО - там стояли корпоративные антивирусы, параметрический брандмауэр, даже стоял Snort, ClamAV, SquidGuard и другие плюшки. Ничего не сработало! Карл, даже Snort не пискнул! Я был в шоке.. Сработал только SECURE BOOT. Все компы БЕЗ включенного SECURE BOOT были скомпроментированы. Я восстановил нормальную работу фирмы за 3 часа! Это очень круто, если учесть, что было скомпроментировано 15 компов. Даже не знаю, чтоб было, если б все заразились, эт был бы просто абзац.
Поэтому закроем доступ вирусняку к ОС на уровне загрузчика. Не пренебрегайте таким уровнем защиты!
Если комп поддерживает UEFI - ОБЯЗАТЕЛЬНО включите SECURE BOOT.
Если комп поддерживает UEFI и CSM - ОБЯЗАТЕЛЬНО отключите CSM и включите SECURE BOOT.
Если комп поддерживает UEFI и CSM и ОС уже давно установлена и стоИт в MBR, то крайне советую перевести диск в GPT. Пример. Делается эт одной командой из TBOSDT в WinRE\PE c Image for Windows или из TBOSDT в Image for LinuxПосле перевода MBR - > GPT - отключите CSM и включите SECURE BOOT.
Если здоровья хватит - то напишу отдельный пост что такое Shim, PreLoader, MOKManager, HashTool и т.д. Этот вопрос требует отдельного поста или даже темы. Отложим пока..

Обязательно при бэкапе используйте флаг Validate Byte-for-Byte. Если он включен, то ошибки исключены.
Validate Byte-for-Byte работает следующим образом.
Первый проход - собственно запись бэкапа на диск.
Второй проход - чтение записи бэкапа и побайтное сравнение с оригиналом посекторно.
Это увеличивает в 2 раза время бэкапа, но дает 100% гарантию результата.

Виды бэкапа. Используйте или полный или дифференциальный бэкапы. С ними меньше проблем, чем с инкрементнымм.
Для инкрементных бэкапов нужно настроить консолидацию в IFW. То есть создание нового базового по каким-то условиям, например времени или к-ву инкрементных бекапов. Смотрите доки. Я не использую.
При любых проблемах стОит посмотреть детальный лог . Цитата из Image for Windows User Manual (Page 129):Пишут, что детальный лог 10 уровня можно включить двумя путями. Через ключ /logl:10 или добавить в секцию Options файла ifw.ini строчку LogLevel=10.
Некоторые варианты решений проблем описаны здесь...
Что касается физического сбоя HDD\SSD.
Если данные супер важные - нужен RAID 1 или выше для раздела бэкапа (что в видео и сделано). Другие варианты не знаю.
Своевременное информирование по email. Настройте автоматическую пересылку на почту результата бекапа. Пример настройки для Gmail.
Можно использовать существующий аккаунт, но лучше создайте какой-нибудь новый аккаунт на Gmail. Так секюрнее.
Настройте в IFW примерно так

Далее зайдите в настройки нового аккаунта Google и разрешите доступ к почте небезопасных приложений.
https://support.google.com/mail/answer/7126229
https://support.google.com/accounts/answer/6010255
https://myaccount.google.com/lesssecureapps
https://www.google.com/accounts/DisplayUnlockCaptcha
После получения письма о подтверждении можно попробовать нажать Test и убедиться, что все работает.
В поле Subject можно использовать переменные:
~ec~ – Numeric error code for operation
$~EC$ – Numeric error code for operation
$~OP$ – Operation (Backup, Validate, etc.)
$~ECT$ – Error code text: Succeeded or Failed
$~ET$ – Elapsed time
Пример письма при использовании в поле Subject фразы: The $~OP$ Operation $~ECT$. Run Time: $~ET$
В теме письма сразу видно результат операции успешно\неуспешно и сколько времени занял бекап.

Своевременное информирование в трее.
Также можно использовать расширенную версию IFW из сборки TBPortable - в трее будет писать состояние и предупреждения.

Что касается удаления раздела EXT4 какой-нибуть утилитой или пользователем преднамеренно или случайно.
Ну во первых можно запретить его удалять. Я это не рассматривал пока. Пока жду, может кто-то додумается ;)
Ну а даже, если удалили, то IFW предупредит и можно оперативно восстановить через IFL или TestDisk или...
Что касается ситуации, если файлы в EXT4 повреждены после сбоя питания.
Вообще вероятность утери данных из-за сбоя питания мала ибо раздел используется недолго.
Но если такое все-таки произошло, то ситуация как правило решаемая.
Чуть позже выложу скриншоты или видео как победить...

/purge:n
This option is used to delete image files that are n days old or older.
You can think of it as the number of days to retain images. It’s only used during a command line backup and only processes the target folder of the current file specified using the /f option.
Care should be taken as the purge occurs prior to the backup. As an option you can have the purge take place only after a successful backup by providing n as a negative number.
E.g. /purge:-15
Default if omitted: No image files are purged.

Пример создания папки в Terabyte Explorer.

Пример. Открыл в Terabyte Explorer папку \TeraByte_TBI_Backups и нажал <Insert> (помощь F1). Появилось меню создания всякого разного. Выбираем первый пункт - создание папки и <Enter> и пишем имя и <Enter>.