[Цитировать]

    dialmak
  • 2607
  • Стаж: 2 года 7 месяцев
  • Сообщений: 819
  • Репутация:38

    [+] [-]

Что это.
Если Вы никогда не получили письма\файлы 'счастья' как выше, то Вам просто повезло. Как правило везение заканчивается. И очень печально заканчивается, база которую делали 5 лет стОит много, очень много человеко-часов... И люди вынуждены платИть вымогателям $500 - $10 000. Слышал про случай уплаты $1 500 000, хз, вполне допускаю. Иногда инфа просто бесценна.
Вчера обратился чел и сказал, что перестали открываться EXCEL файлы. После обследования его WINDOWS SERVER 2012 R2 я увидел, что все данные пользователей зашифрованы, в том числе и база 1С и бэкапы базы 1C. Заражение было через RDP (тупой подбор пароля, а пароль был 6 цифр), я ему когда ставил сервер - советовал поставить роутер с VPN сервером (ибо он заходил периодически из дома на сервер по RDP), но клиент проигнорировал это - тупо зажмотил $50, ну хозяин-барин. Я как правило адекватно оцениваю угрозы и сразу предупредил, что возможны варианты, чел опять проигнорил. Результат как Вы поняли печальный. Просили в данном случае $500, через 24 часа неуплаты сумма удваивалась.. Сумма конечно не запредельная, но никто ж не гарантирует, что после оплаты все восстановится... Как-то так.
Я принципиально против оплаты вымогателям и в данном конкретном случае все закончилось хорошо. Помог мой вариант бэкапа. Ниже я расскажу что и как позволило восстановить данные. И почему в таком варианте можно спать спокойно и НЕТ СМЫСЛА платить вымогателям.

Иногда везет.
Кстати пару раз встречал фальшивых ransomware (вымогателей - шифровальщиков). Типа детский сад. Ничего не шифруют, просто пугают пользователя, да и просят копейки - типа 500 грн. Как правило прописываются в MBR или PBR, иногда просто удаляют файлы пользователей. Такие ransomware не есть серьёзными и нормальная работа восстанавливается быстро. А удаленные файлы можно без проблем восстановить, к примеру через R-Studio.
Мы защитимся и от реальных ransomware и от фальшивок.

Теория.
1. Бэкап должен быть всегда.
2. Бэкап должен быть автоматическим. Только автоматизированный бэкап, выполняющийся по расписанию, дает нам возможность восстановить относительно актуальные данные - например, от вчера, а не от марта месяца.
3. Бэкап нужно хранить отдельно от данных и минимум 2 недели.
4. Бэкап нужно регулярно проверять.
Ну и самое главное.
0. Бэкап должен лежать в недоступном для ОС хранилище. Кто-то не поймет данное требование, кто-то тупо поржет, но практика показывает, что это самое важное. Ниже рассмотрим детальнее это.
Зачем бэкап и когда он поможет. А точнее когда не поможет?
Предположим , что Вы классный админ и бэкап ложим на том-же компе на другой HDD. Эт не гарантирует ничего ибо наш комп можно скомпроментировать.
Предположим , что Вы классный админ и бэкап ложим на RAID 1 на удаленном компе и на входе стоит маршрутизатор и параметрический брандмауэр . Лучше, но опять же эт не гарантирует ничего ибо удаленный комп, да и сам маршрутизатор можно скомпроментировать.
Когда такое понимаешь, то оторопь берет. Что же делать?
Я не буду мутить воду, в которой умные парни с умным видом Вам рассказывают сказки как защитить комп или сервер с помощью волшебной проги\антивируса. Открою истину. Защитить в принципе можно от элементарных вещей, но от всех угроз нереально. Нет такого, даже отключенный от интернета компьютер вполне возможно заразить, типа человеческий фактор никто не отменял.
Ну типа я так и делаю.
Скорее всего Вы делаете не совсем так. Image for Windows\Linux позволяет положить архив в неподдерживаюмую Windows файловую систему, например Ext2/3/4, ReiserFS или HSF+.
Также мы настроим это все дело для планировщика, и автоматом наши данные будут бэкапироваться без вмешательства админа или пользователя. К бэкапу никто не сможет получить доступ. При желании сам бэкап можно зашифровать паролем. А хотя зачем, ведь любимый Predator или Scarab сами аккуратно все зашифруют. Шутка и иногда очень болезненная!
Ну так у меня стоИт антивирус, спецсофт защиты и т.д.
Не будьте наивными. Эт Вам не поможет. Да, от каких то ransomware стареньких наверное, от новых вряд ли...
Антивирусы и спецпроги НЕ панацея, вымогателей слишком много и появляются они каждый день.
Что же делать?
Мы не будем бегать и искать пиджаки, флешки, USB-HDD, а используем простую прогу Image for Windows\Linux. Ссылка на справку PDF. Вряд ли она Вам понадобиться, ну на всякий пожарный.. Конечно я советую ложить бэкап на другой HDD, а лучше на RAID 1, но если такой возможности нет - мы защитим наш комп\сервер от ransomware (вымогателей - шифровальщиков) и на одном HDD. Типа будет бэкап для бедных, но иногда только он и выручит..

Решение.
Качаем.
Ху эс ху?
Image_for_Windows.7z - прога Image for Windows (для 7 и выше) с доп. плюшками, будет использоваться для бекапа Windows и\или данных, запускать Start_IFW.cmd.
Image_for_Linux_GUI.7z - загрузочная флешка\CD для Legacy\UEFI с прогой Image for Linux с доп. плюшками, будет использоваться для восстановления бекапа, пока не нужна - постучал 'по дереву', дай бог чтоб не пригодилась. Если вдруг нужна - запускать для создания загрузочного носителя makedisk.exe.
EXT4.TBI - бекап раздела EXT4 (20 GB), будем юзать для создания раздела с файловой системой EXT4 прямо из Windows.

План такой.
1. Освобождаем место под будущий раздел для файлов бэкапа.
2. Создаем и форматируем раздел для файлов бэкапа. Собственно мы, как я уже писал выше, можем использовать EXT4, ReiserFS или HFS+. В данном примере будем юзать EXT4.
Конечно, можно было б загрузиться в какой-нибуть LiveCD, например Ubuntu или тот же Image for Linux и оттуда отформатировать свой новый раздел, но эт лишние телодвижения. Мы просто восстановим бэкап EXT4.TBI на свободное место диска и получим желаемый результат. Причем без перегрузки, ибо бухгалтерА как правило не любят когда админ перегружает сервер ;) Ну и замечу, что при восстановлении EXT4.TBI раздел EXT4 мы можем сделать любым по размеру, НО не менее 20 GB. Более можно, менее нет.
3. Далее просто запускаем Image for Windows и создаем полный бекап диска\раздела и ложим его на раздел EXT4. Если Вы хотите делать бэкап не всего раздела, а отдельных папок - см. документацию для Image for Windows\Linux.
4. И настраиваем в планировщике создание дифференциального или инкрементного ежедневного бекапа с сохранением его на раздел EXT4..

В видео все доходчиво и просто, думаю, что процесс понятен.

Далее настоятельно советую настроить чтобы IFW присылал отчеты на email, также можно ограничить к-во дифференциальных бекапов, например 10 штук вполне достаточно. IFW умеет такое автоматом, смотрите документацию, ключ /purge:-n. И можно спать спокойно..
Видео как сделать загрузочную флешку Image for Linux, процесс не быстрый ибо makedisk на лету перепаковывает initrmfs.

И последнее.
Небольшое отступление. На средней фирме (около 100 компов) начал гулять в сети ransomware. Поверьте мне нА словО - там стояли корпоративные антивирусы, параметрический брандмауэр, даже стоял Snort, ClamAV, SquidGuard и другие плюшки. Ничего не сработало! Карл, даже Snort не пискнул! Я был в шоке.. Сработал только SECURE BOOT. Все компы БЕЗ включенного SECURE BOOT были скомпроментированы. Я восстановил нормальную работу фирмы за 3 часа! Это очень круто, если учесть, что было скомпроментировано 15 компов. Даже не знаю, чтоб было, если б все заразились, эт был бы просто абзац.
Поэтому закроем доступ вирусняку к ОС на уровне загрузчика. Не пренебрегайте таким уровнем защиты!
Если комп поддерживает UEFI - ОБЯЗАТЕЛЬНО включите SECURE BOOT.
Если комп поддерживает UEFI и CSM - ОБЯЗАТЕЛЬНО отключите CSM и включите SECURE BOOT.
Если комп поддерживает UEFI и CSM и ОС уже давно установлена и стоИт в MBR, то крайне советую перевести диск в GPT. Пример. Делается эт одной командой из TBOSDT в WinRE\PE c Image for Windows или из TBOSDT в Image for Linux
run chgdtype.tbs
После перевода MBR - > GPT - отключите CSM и включите SECURE BOOT.
Если здоровья хватит - то напишу отдельный пост что такое Shim, PreLoader, MOKManager, HashTool и т.д. Этот вопрос требует отдельного поста или даже темы. Отложим пока..

Советы, проблемы и решения.
Обязательно при бэкапе используйте флаг Validate Byte-for-Byte. Если он включен, то ошибки исключены.
Validate Byte-for-Byte работает следующим образом.
Первый проход - собственно запись бэкапа на диск.
Второй проход - чтение записи бэкапа и побайтное сравнение с оригиналом посекторно.
Это увеличивает в 2 раза время бэкапа, но дает 100% гарантию результата.

Виды бэкапа. Используйте или полный или дифференциальный бэкапы. С ними меньше проблем, чем с инкрементнымм.
Для инкрементных бэкапов нужно настроить консолидацию в IFW. То есть создание нового базового по каким-то условиям, например времени или к-ву инкрементных бекапов. Смотрите доки. Я не использую.
При любых проблемах стОит посмотреть детальный лог . Цитата из Image for Windows User Manual (Page 129):
/logl:n LogLevel=n
Causes less or more information to be output to the log file. Use level 1 for errors only, 2 for warnings, 3 for status, 4 for information, 9 for debugging, 10 for debugging with flush. For example, use /logl:3 to specify status level logging. If using 10 or higher, the /email option will be ignored (emails will not be sent) unless logging is disabled for the operation.
Default if omitted: Informational level logging is performed.
Пишут, что детальный лог 10 уровня можно включить двумя путями. Через ключ /logl:10 или добавить в секцию Options файла ifw.ini строчку LogLevel=10.
Некоторые варианты решений проблем описаны здесь...
Что касается физического сбоя HDD\SSD.
Если данные супер важные - нужен RAID 1 или выше для раздела бэкапа (что в видео и сделано). Другие варианты не знаю.
Своевременное информирование по email. Настройте автоматическую пересылку на почту результата бекапа. Пример настройки для Gmail.
Можно использовать существующий аккаунт, но лучше создайте какой-нибудь новый аккаунт на Gmail. Так секюрнее.
Настройте в IFW примерно так

Далее зайдите в настройки нового аккаунта Google и разрешите доступ к почте небезопасных приложений.
https://support.google.com/mail/answer/7126229
https://support.google.com/accounts/answer/6010255
https://myaccount.google.com/lesssecureapps
https://www.google.com/accounts/DisplayUnlockCaptcha
После получения письма о подтверждении можно попробовать нажать Test и убедиться, что все работает.
В поле Subject можно использовать переменные:
~ec~ – Numeric error code for operation
$~EC$ – Numeric error code for operation
$~OP$ – Operation (Backup, Validate, etc.)
$~ECT$ – Error code text: Succeeded or Failed
$~ET$ – Elapsed time
Пример письма при использовании в поле Subject фразы: The $~OP$ Operation $~ECT$. Run Time: $~ET$
В теме письма сразу видно результат операции успешно\неуспешно и сколько времени занял бекап.

Своевременное информирование в трее.
Также можно использовать расширенную версию IFW из сборки TBPortable - в трее будет писать состояние и предупреждения.

Что касается удаления раздела EXT4 какой-нибуть утилитой или пользователем преднамеренно или случайно.
Ну во первых можно запретить его удалять. Я это не рассматривал пока. Пока жду, может кто-то додумается ;)
Ну а даже, если удалили, то IFW предупредит и можно оперативно восстановить через IFL или TestDisk или...
Что касается ситуации, если файлы в EXT4 повреждены после сбоя питания.
Вообще вероятность утери данных из-за сбоя питания мала ибо раздел используется недолго.
Но если такое все-таки произошло, то ситуация как правило решаемая.
Чуть позже выложу скриншоты или видео как победить...

Список ransomware (вымогателей - шифровальщиков), неполный конечно, можно посмотреть здесь.
З.Ы. Кто-то помнит Petya? У меня знакомый из 'Облэнерго' чуть не поседел после встречи с Петей. Короче люди делятся на тех, кто ещё не делает бэкап и тех, кто уже делает, ибо когда-то не делали! Он кстати делал бекап, но эт ему не помогло. Поэтому добавлю. Люди делятся на тех, кто делает бэкап и тех, кто делает его правильно, ибо когда-то делали неправильно!
Update 28.08.2018. Добавлена инструкция по использованию защитника 'ProtectIt' и как ограничить к-во дифференциальных бекапов. Рекомендую отключить Fast StartUp в Windows 8...10. Это можно сделать в TBPortable через '\TeraByte Drive Image Backup and Restore Suite\utility\FastStartUp_Disable.reg' или в свойствах 'TBI Notify' в трее. При желании включить назад можно через '\TeraByte Drive Image Backup and Restore Suite\utility\FastStartUp_Enable.reg'.
ENJOY


Последний раз редактировалось: dialmak (2018-08-28 17:33), всего редактировалось 116 раз(а)

[Цитировать]

    dialmak
  • 2607
  • Стаж: 2 года 7 месяцев
  • Сообщений: 819
  • Репутация:38

    [+] [-]
Ander_73, Можно и хэш. Кстати насколько помню такого рода проги уже есть, у них даже есть какое-то общее название на английском. Не помню..
И появились они давно, ещё до нашествия Ransomware, правда задача у них была вроде как другая - проследить за целостностью важных системных файлов.
Возможно некоторые можно приспособить и для защиты от Ransomware.

[Цитировать]

    korsak7
  • 107
  • Стаж: 3 года 9 месяцев
  • Сообщений: 677
  • Репутация:41

    [+] [-]
57372korsak7, Даже не знаю как прокомментировать...
Детект по расширению не очень продуктивная идея. Даже один и тот же шифровальщик через месяц\два меняет расширение и "письмо счастья".
Ессно все зависит от актуальности списка
Если немного подумать, то детект прост. Положить в папку %userprofile%\Documents какие-то файлы и периодически из планировщика проверять их наличие.
Хех, в том и фишка что детект-демон должен следить на лету за появлением первого же файла с зловредным расширением.
А пока ты следишь за %userprofile%\Documents - уже полкомпа в других папках зашифруется

[Цитировать]

    korsak7
  • 107
  • Стаж: 3 года 9 месяцев
  • Сообщений: 677
  • Репутация:41

    [+] [-]
57382
57377все Ransomware меняют расширение
Ты забыл добавить: "известные на сегодня".
Представь что ты зловредописатель и действительно высылаешь дешифратор после получения 100 рублей на сберкарту aa Дешифратору придется молотить ВСЕ файлы - ну и зачем этот гемор?
Другой вопрос, если защита по расширению станет популярной и тогда писатели озаботятся этой темой ac

[Цитировать]

    dialmak
  • 2607
  • Стаж: 2 года 7 месяцев
  • Сообщений: 819
  • Репутация:38

    [+] [-]
korsak7,
А пока ты следишь за %userprofile%\Documents
Писец какой-то. Следи за чем-угодно, что мешает? Я ж об этом выше и писал
Так что имхо более правильно проверять наличие на всех доступных томах скажем 2 маленьких и 2 больших файла..
.. Или просто "бубнишь"?
уже полкомпа в других папках зашифруется
Это было б идеально для Ransomware, но шифрование данных это не мгновенная операция, даже, если проц поддерживает аппаратный AES (а как правило в биос-е заглушка для очень многих стран), есть пределы скорости шифрования и ввода-вывода.
Если ты вычислил Ransomware через минут 10 после начала шифрования, то ооооооочень многое успеешь спасти. Я спасал важные данные после 5 часов после начала шифрования, не всё спас, но самое важное успел. Так что..
фишка что детект-демон должен следить на лету за появлением первого же файла с зловредным расширением.
Ну вперёд, никто ж не против, может и поделишься, если сделаешь..

[Цитировать]

    Ander_73
  • 15549
  • Стаж: 1 год 7 месяцев
  • Сообщений: 648
  • Репутация:51

    [+] [-]
57385Дешифратору придется молотить ВСЕ файлы - ну и зачем этот гемор?
Сперва необратимо зашифровал "всё нажитое непосильным", а потом вдруг такая трогательная забота о драгоценном времени юзера bj
Своё имхо я высказал. Что с ним делать - решать тебе.

[Цитировать]

    dialmak
  • 2607
  • Стаж: 2 года 7 месяцев
  • Сообщений: 819
  • Репутация:38

    [+] [-]
Ander_73, Это точно. Многие вообще шифруют от балды радномно не заморачиваясь расшифровкой...
Примеров вагон. Навскидку
https://id-ransomware.blogspot.com/2017/11/hsdfsdcrypt-ransomware.html
https://id-ransomware.blogspot.com/2016/05/petya-mi...-ransomware.html
http://id-ransomware.blogspot.com/2016/11/shelllocker-ransomware.html

[Цитировать]

    korsak7
  • 107
  • Стаж: 3 года 9 месяцев
  • Сообщений: 677
  • Репутация:41

    [+] [-]
Так что имхо более правильно проверять наличие на всех доступных томах скажем 2 маленьких и 2 больших файла..
.. Или просто "бубнишь"?
Неа. Ты же сам сказал что порядок обхода папок непредсказуем
Если ты вычислил Ransomware через минут 10 после начала шифрования, то ооооооочень многое успеешь спасти. Я спасал важные данные после 5 часов после начала шифрования, не всё спас, но самое важное успел. Так что..
Именно такую ситуэйшн я и имею в виду.
фишка что детект-демон должен следить на лету за появлением первого же файла с зловредным расширением.
Ну вперёд, никто ж не против, может и поделишься, если сделаешь..
Точно никто не против? А то потом пойдут претензии ah
На демона я ессно не замахнусь - не тот уровень, разве что приколхозиться к какой-нить утиле.
Если будет желание - таки слабай скрипт для id-ransomware.blogspot.com (название файла записки с требованием выкупа тоже надо )

[Цитировать]

    dialmak
  • 2607
  • Стаж: 2 года 7 месяцев
  • Сообщений: 819
  • Репутация:38

    [+] [-]
korsak7,
Именно такую ситуэйшн я и имею в виду.
А был реальный случай? У меня как то был такой.
Помню чувак позвонил в 8, я проигнорил, потом в 10 - проигнорил, в 12 я сам перезвонил. Он грит, что странно, мол Excel файлы не открываются. И лишние появились. Когда я услышал лишние - я ему - вырубай сервер и тащи диски сюда ко мне. Так вот по датам файлов - шифрование на сервере началось ночью и прошло около 10 часов уже. Естественно спасти удалось очень мало, а если б в 8 детектор засёк бы и ему написал бы, что мол Караул! Шифруют! - смог бы намного больше спасти.

[Цитировать]

    korsak7
  • 107
  • Стаж: 3 года 9 месяцев
  • Сообщений: 677
  • Репутация:41

    [+] [-]
Не. Мои никуда не торопились, неспешно отпивали кофею, чесали репу, удивлялись... ag
Кстати в последнем случае - с GandCrab, заметил - были архивы по 30 гигов, расширение поменялось но архиватор распаковал, хотя и ругался на пару ошибок ay Только из-за этого бухи и не поседели.

[Цитировать]

    dialmak
  • 2607
  • Стаж: 2 года 7 месяцев
  • Сообщений: 819
  • Репутация:38

    [+] [-]
korsak7,
неспешно отпивали кофею, чесали репу, удивлялись...
Аналогично. Когда сказал, что мол зашифровано - они - тю, ну так расшифруй, делов-то. Когда сказал, что это невозможно - все протрезвели сразу и началась паника - коту под хвост результаты пятилетней работы это не шутка..
Ну конечно восстановил из бекапа, но наблюдать за изменением настроения и рожами было интересно.

[Цитировать]

    korsak7
  • 107
  • Стаж: 3 года 9 месяцев
  • Сообщений: 677
  • Репутация:41

    [+] [-]
тю, ну так расшифруй, делов-то
"Тыж программист!" ag
У меня пару дней назад винт сдох с кучей доков. Тоже доходило долго, удивлялись почему нужно много денег для вытаскивания инфы

[Цитировать]

    dialmak
  • 2607
  • Стаж: 2 года 7 месяцев
  • Сообщений: 819
  • Репутация:38

    [+] [-]
korsak7, $500 или обошлось дешевле?

[Цитировать]

    korsak7
  • 107
  • Стаж: 3 года 9 месяцев
  • Сообщений: 677
  • Репутация:41

    [+] [-]
я делал на не настолько коммерческом PC-3000 ai 1500 рупий

[Цитировать]

    dialmak
  • 2607
  • Стаж: 2 года 7 месяцев
  • Сообщений: 819
  • Репутация:38

    [+] [-]
Повезло.

Страница 8 из 8


Показать сообщения:    

Текущее время: 22-Сен 11:02

Часовой пояс: UTC + 3


Вы не можете начинать темы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете голосовать в опросах
Вы не можете прикреплять файлы к сообщениям
Вы можете скачивать файлы