[Цитировать]

    dialmak
  • 2607
  • Стаж: 2 года 8 месяцев
  • Сообщений: 885
  • Репутация:41

    [+] [-]

Что это.
Если Вы никогда не получили письма\файлы 'счастья' как выше, то Вам просто повезло. Как правило везение заканчивается. И очень печально заканчивается, база которую делали 5 лет стОит много, очень много человеко-часов... И люди вынуждены платИть вымогателям $500 - $10 000. Слышал про случай уплаты $1 500 000, хз, вполне допускаю. Иногда инфа просто бесценна.
Вчера обратился чел и сказал, что перестали открываться EXCEL файлы. После обследования его WINDOWS SERVER 2012 R2 я увидел, что все данные пользователей зашифрованы, в том числе и база 1С и бэкапы базы 1C. Заражение было через RDP (тупой подбор пароля, а пароль был 6 цифр), я ему когда ставил сервер - советовал поставить роутер с VPN сервером (ибо он заходил периодически из дома на сервер по RDP), но клиент проигнорировал это - тупо зажмотил $50, ну хозяин-барин. Я как правило адекватно оцениваю угрозы и сразу предупредил, что возможны варианты, чел опять проигнорил. Результат как Вы поняли печальный. Просили в данном случае $500, через 24 часа неуплаты сумма удваивалась.. Сумма конечно не запредельная, но никто ж не гарантирует, что после оплаты все восстановится... Как-то так.
Я принципиально против оплаты вымогателям и в данном конкретном случае все закончилось хорошо. Помог мой вариант бэкапа. Ниже я расскажу что и как позволило восстановить данные. И почему в таком варианте можно спать спокойно и НЕТ СМЫСЛА платить вымогателям.

Иногда везет.
Кстати пару раз встречал фальшивых ransomware (вымогателей - шифровальщиков). Типа детский сад. Ничего не шифруют, просто пугают пользователя, да и просят копейки - типа 500 грн. Как правило прописываются в MBR или PBR, иногда просто удаляют файлы пользователей. Такие ransomware не есть серьёзными и нормальная работа восстанавливается быстро. А удаленные файлы можно без проблем восстановить, к примеру через R-Studio.
Мы защитимся и от реальных ransomware и от фальшивок.

Теория.
1. Бэкап должен быть всегда.
2. Бэкап должен быть автоматическим. Только автоматизированный бэкап, выполняющийся по расписанию, дает нам возможность восстановить относительно актуальные данные - например, от вчера, а не от марта месяца.
3. Бэкап нужно хранить отдельно от данных и минимум 2 недели.
4. Бэкап нужно регулярно проверять.
Ну и самое главное.
0. Бэкап должен лежать в недоступном для ОС хранилище. Кто-то не поймет данное требование, кто-то тупо поржет, но практика показывает, что это самое важное. Ниже рассмотрим детальнее это.
Зачем бэкап и когда он поможет. А точнее когда не поможет?
Предположим , что Вы классный админ и бэкап ложим на том-же компе на другой HDD. Эт не гарантирует ничего ибо наш комп можно скомпроментировать.
Предположим , что Вы классный админ и бэкап ложим на RAID 1 на удаленном компе и на входе стоит маршрутизатор и параметрический брандмауэр . Лучше, но опять же эт не гарантирует ничего ибо удаленный комп, да и сам маршрутизатор можно скомпроментировать.
Когда такое понимаешь, то оторопь берет. Что же делать?
Я не буду мутить воду, в которой умные парни с умным видом Вам рассказывают сказки как защитить комп или сервер с помощью волшебной проги\антивируса. Открою истину. Защитить в принципе можно от элементарных вещей, но от всех угроз нереально. Нет такого, даже отключенный от интернета компьютер вполне возможно заразить, типа человеческий фактор никто не отменял.
Ну типа я так и делаю.
Скорее всего Вы делаете не совсем так. Image for Windows\Linux позволяет положить архив в неподдерживаюмую Windows файловую систему, например Ext2/3/4, ReiserFS или HSF+.
Также мы настроим это все дело для планировщика, и автоматом наши данные будут бэкапироваться без вмешательства админа или пользователя. К бэкапу никто не сможет получить доступ. При желании сам бэкап можно зашифровать паролем. А хотя зачем, ведь любимый Predator или Scarab сами аккуратно все зашифруют. Шутка и иногда очень болезненная!
Ну так у меня стоИт антивирус, спецсофт защиты и т.д.
Не будьте наивными. Эт Вам не поможет. Да, от каких то ransomware стареньких наверное, от новых вряд ли...
Антивирусы и спецпроги НЕ панацея, вымогателей слишком много и появляются они каждый день.
Что же делать?
Мы не будем бегать и искать пиджаки, флешки, USB-HDD, а используем простую прогу Image for Windows\Linux. Ссылка на справку PDF. Вряд ли она Вам понадобиться, ну на всякий пожарный.. Конечно я советую ложить бэкап на другой HDD, а лучше на RAID 1, но если такой возможности нет - мы защитим наш комп\сервер от ransomware (вымогателей - шифровальщиков) и на одном HDD. Типа будет бэкап для бедных, но иногда только он и выручит..

Решение.
Качаем.
Ху эс ху?
Image_for_Windows.7z - прога Image for Windows (для 7 и выше) с доп. плюшками, будет использоваться для бекапа Windows и\или данных, запускать Start_IFW.cmd.
Image_for_Linux_GUI.7z - загрузочная флешка\CD для Legacy\UEFI с прогой Image for Linux с доп. плюшками, будет использоваться для восстановления бекапа, пока не нужна - постучал 'по дереву', дай бог чтоб не пригодилась. Если вдруг нужна - запускать для создания загрузочного носителя makedisk.exe.
EXT4.TBI - бекап раздела EXT4 (20 GB), будем юзать для создания раздела с файловой системой EXT4 прямо из Windows.

План такой.
1. Освобождаем место под будущий раздел для файлов бэкапа.
2. Создаем и форматируем раздел для файлов бэкапа. Собственно мы, как я уже писал выше, можем использовать EXT4, ReiserFS или HFS+. В данном примере будем юзать EXT4.
Конечно, можно было б загрузиться в какой-нибуть LiveCD, например Ubuntu или тот же Image for Linux и оттуда отформатировать свой новый раздел, но эт лишние телодвижения. Мы просто восстановим бэкап EXT4.TBI на свободное место диска и получим желаемый результат. Причем без перегрузки, ибо бухгалтерА как правило не любят когда админ перегружает сервер ;) Ну и замечу, что при восстановлении EXT4.TBI раздел EXT4 мы можем сделать любым по размеру, НО не менее 20 GB. Более можно, менее нет.
3. Далее просто запускаем Image for Windows и создаем полный бекап диска\раздела и ложим его на раздел EXT4. Если Вы хотите делать бэкап не всего раздела, а отдельных папок - см. документацию для Image for Windows\Linux.
4. И настраиваем в планировщике создание дифференциального или инкрементного ежедневного бекапа с сохранением его на раздел EXT4..

В видео все доходчиво и просто, думаю, что процесс понятен.

Далее настоятельно советую настроить чтобы IFW присылал отчеты на email, также можно ограничить к-во дифференциальных бекапов, например 10 штук вполне достаточно. IFW умеет такое автоматом, смотрите документацию, ключ /purge:-n. И можно спать спокойно..
Видео как сделать загрузочную флешку Image for Linux, процесс не быстрый ибо makedisk на лету перепаковывает initrmfs.

И последнее.
Небольшое отступление. На средней фирме (около 100 компов) начал гулять в сети ransomware. Поверьте мне нА словО - там стояли корпоративные антивирусы, параметрический брандмауэр, даже стоял Snort, ClamAV, SquidGuard и другие плюшки. Ничего не сработало! Карл, даже Snort не пискнул! Я был в шоке.. Сработал только SECURE BOOT. Все компы БЕЗ включенного SECURE BOOT были скомпроментированы. Я восстановил нормальную работу фирмы за 3 часа! Это очень круто, если учесть, что было скомпроментировано 15 компов. Даже не знаю, чтоб было, если б все заразились, эт был бы просто абзац.
Поэтому закроем доступ вирусняку к ОС на уровне загрузчика. Не пренебрегайте таким уровнем защиты!
Если комп поддерживает UEFI - ОБЯЗАТЕЛЬНО включите SECURE BOOT.
Если комп поддерживает UEFI и CSM - ОБЯЗАТЕЛЬНО отключите CSM и включите SECURE BOOT.
Если комп поддерживает UEFI и CSM и ОС уже давно установлена и стоИт в MBR, то крайне советую перевести диск в GPT. Пример. Делается эт одной командой из TBOSDT в WinRE\PE c Image for Windows или из TBOSDT в Image for Linux
run chgdtype.tbs
После перевода MBR - > GPT - отключите CSM и включите SECURE BOOT.
Если здоровья хватит - то напишу отдельный пост что такое Shim, PreLoader, MOKManager, HashTool и т.д. Этот вопрос требует отдельного поста или даже темы. Отложим пока..

Советы, проблемы и решения.
Обязательно при бэкапе используйте флаг Validate Byte-for-Byte. Если он включен, то ошибки исключены.
Validate Byte-for-Byte работает следующим образом.
Первый проход - собственно запись бэкапа на диск.
Второй проход - чтение записи бэкапа и побайтное сравнение с оригиналом посекторно.
Это увеличивает в 2 раза время бэкапа, но дает 100% гарантию результата.

Виды бэкапа. Используйте или полный или дифференциальный бэкапы. С ними меньше проблем, чем с инкрементнымм.
Для инкрементных бэкапов нужно настроить консолидацию в IFW. То есть создание нового базового по каким-то условиям, например времени или к-ву инкрементных бекапов. Смотрите доки. Я не использую.
При любых проблемах стОит посмотреть детальный лог . Цитата из Image for Windows User Manual (Page 129):
/logl:n LogLevel=n
Causes less or more information to be output to the log file. Use level 1 for errors only, 2 for warnings, 3 for status, 4 for information, 9 for debugging, 10 for debugging with flush. For example, use /logl:3 to specify status level logging. If using 10 or higher, the /email option will be ignored (emails will not be sent) unless logging is disabled for the operation.
Default if omitted: Informational level logging is performed.
Пишут, что детальный лог 10 уровня можно включить двумя путями. Через ключ /logl:10 или добавить в секцию Options файла ifw.ini строчку LogLevel=10.
Некоторые варианты решений проблем описаны здесь...
Что касается физического сбоя HDD\SSD.
Если данные супер важные - нужен RAID 1 или выше для раздела бэкапа (что в видео и сделано). Другие варианты не знаю.
Своевременное информирование по email. Настройте автоматическую пересылку на почту результата бекапа. Пример настройки для Gmail.
Можно использовать существующий аккаунт, но лучше создайте какой-нибудь новый аккаунт на Gmail. Так секюрнее.
Настройте в IFW примерно так

Далее зайдите в настройки нового аккаунта Google и разрешите доступ к почте небезопасных приложений.
https://support.google.com/mail/answer/7126229
https://support.google.com/accounts/answer/6010255
https://myaccount.google.com/lesssecureapps
https://www.google.com/accounts/DisplayUnlockCaptcha
После получения письма о подтверждении можно попробовать нажать Test и убедиться, что все работает.
В поле Subject можно использовать переменные:
~ec~ – Numeric error code for operation
$~EC$ – Numeric error code for operation
$~OP$ – Operation (Backup, Validate, etc.)
$~ECT$ – Error code text: Succeeded or Failed
$~ET$ – Elapsed time
Пример письма при использовании в поле Subject фразы: The $~OP$ Operation $~ECT$. Run Time: $~ET$
В теме письма сразу видно результат операции успешно\неуспешно и сколько времени занял бекап.

Своевременное информирование в трее.
Также можно использовать расширенную версию IFW из сборки TBPortable - в трее будет писать состояние и предупреждения.

Что касается удаления раздела EXT4 какой-нибуть утилитой или пользователем преднамеренно или случайно.
Ну во первых можно запретить его удалять. Я это не рассматривал пока. Пока жду, может кто-то додумается ;)
Ну а даже, если удалили, то IFW предупредит и можно оперативно восстановить через IFL или TestDisk или...
Что касается ситуации, если файлы в EXT4 повреждены после сбоя питания.
Вообще вероятность утери данных из-за сбоя питания мала ибо раздел используется недолго.
Но если такое все-таки произошло, то ситуация как правило решаемая.
Чуть позже выложу скриншоты или видео как победить...

Список ransomware (вымогателей - шифровальщиков), неполный конечно, можно посмотреть здесь.
З.Ы. Кто-то помнит Petya? У меня знакомый из 'Облэнерго' чуть не поседел после встречи с Петей. Короче люди делятся на тех, кто ещё не делает бэкап и тех, кто уже делает, ибо когда-то не делали! Он кстати делал бекап, но эт ему не помогло. Поэтому добавлю. Люди делятся на тех, кто делает бэкап и тех, кто делает его правильно, ибо когда-то делали неправильно!
Update 28.08.2018. Добавлена инструкция по использованию защитника 'ProtectIt' и как ограничить к-во дифференциальных бекапов. Рекомендую отключить Fast StartUp в Windows 8...10. Это можно сделать в TBPortable через '\TeraByte Drive Image Backup and Restore Suite\utility\FastStartUp_Disable.reg' или в свойствах 'TBI Notify' в трее. При желании включить назад можно через '\TeraByte Drive Image Backup and Restore Suite\utility\FastStartUp_Enable.reg'.
ENJOY


Последний раз редактировалось: dialmak (2018-08-28 17:33), всего редактировалось 116 раз(а)

[Цитировать]

    dialmak
  • 2607
  • Стаж: 2 года 8 месяцев
  • Сообщений: 885
  • Репутация:41

    [+] [-]
Да. Забыл. В IFL присутствуют всякие линуксовские примочки типа fdisk, gdisk и т.д. Иногда полезно.

[Цитировать]

    Ander_73
  • 15549
  • Стаж: 1 год 8 месяцев
  • Сообщений: 698
  • Репутация:56

    [+] [-]
55325Боже упаси. Дифференциальный. Я ж в видео его использовал.
Да, перепутал. Невнимателен.
55325
Что касается ситуации, если файлы покоцаны.
IFW предупредит, и затем можно в IFL или другом Linux выполнить fsck.ext4
Вот! Самая мякотка! Именно об этом я и толкую.
Всего одна строчка текста, а за ней - неизвестность. То есть условный "виндузятник" должен запустить некий внешний линукс, открыть там командную строку, запустить некие команды и уметь ещё правильно понять, как эти команды отработались и отработались ли вообще.
Я, собственно, к чему. Если тот же IFL умеет это делать, то стоит внятно описать процесс (или даже видео приложить).
Или же предложить виндовс-утилиту, которая умеет чинить Ext4-раздел (опять же с описанием процесса).
---
Я согласен, что сгущаю. Но закон подлости в том и состоит, что бэкап "ломается" именно тогда, когда он вдруг становится нужен.

[Цитировать]

    dialmak
  • 2607
  • Стаж: 2 года 8 месяцев
  • Сообщений: 885
  • Репутация:41

    [+] [-]
Добавил в шапку 'Советы, проблемы и решения'.
Сейчас ломаю голову как принудительно поломать ФС ext4 и показать процесс восстановления.


Последний раз редактировалось: dialmak (2018-07-19 14:21), всего редактировалось 1 раз

[Цитировать]

    nikzzzz
  • 215
  • Стаж: 3 года 8 месяцев
  • Сообщений: 2464
  • Репутация:127

    [+] [-]
dialmak,
55367Сейчас ломаю голову как принудительно поломать ФС ext4 и показать процесс восстановления.
В ручную, hex редактором. ag

[Цитировать]

    korsak7
  • 107
  • Стаж: 3 года 10 месяцев
  • Сообщений: 694
  • Репутация:44

    [+] [-]
Сейчас ломаю голову как принудительно поломать ФС ext4 и показать процесс восстановления.
у тебя нет знакомых блондинок юзеров, которые судьбой предназначены для тестирования и умудряются при обычной работе нажать неимоверные сочетания клавиш и т.д.?

[Цитировать]

    dialmak
  • 2607
  • Стаж: 2 года 8 месяцев
  • Сообщений: 885
  • Репутация:41

    [+] [-]
nikzzzz, Дык нужно ещё знать где и что менять ...
korsak7, Да я ж их не допускаю, в общем для безопасности о бекапах знают 2 чела. Я и директор. А об еще одном удаленном NFS сервере - типа на всякий пожарній - только я.

[Цитировать]

    Ander_73
  • 15549
  • Стаж: 1 год 8 месяцев
  • Сообщений: 698
  • Репутация:56

    [+] [-]
55367Довавил в шапку 'Советы, проблемы и решения'.
Дополни, что предпринять, если создание бэкапа завершилось с ошибкой.
И если эта ошибка связана с разделом Ext4, может имеет смысл не чинить раздел, а тупо его пересоздать и повторить бэкап, например.

[Цитировать]

    dialmak
  • 2607
  • Стаж: 2 года 8 месяцев
  • Сообщений: 885
  • Репутация:41

    [+] [-]
Ander_73,
Дополни, что предпринять, если создание бэкапа завершилось с ошибкой.
Это уж зависит от ошибки. Например, если ошибка чтения-записи сектора:
- просто повторяем
- если ошибка осталась - по логу смотрим где ошибка (можно включить деталировку лога /logl:10, но как правило это не нужно) , на приемнике или источнике.
- если источник - делаем выводы и срочно снимаем диск для детальной проверки, на его место ставим новый и восстанавливаем последний бекап
- если приемник, то можно попробовать кинуть файл в бекап, чтобы забить место диска с ошибкой и опять повторить, впрочем это как временный вариант - с диском нужно разбираться
- если не получилось - проверять диск, бэкап сделать на другой диск\сервер
Также можно идентифицировать какой файл лежит на бэдовом секторе (эт если на источнике, ибо на приемнике и так понятно будет через операцию Validate бэкапа, не путать с Validate Byte-for-Byte!) и сделать выводы. Поможет ftp://www.terabyteunlimited.com/findlbaf.zip Он умеет определять файл соответствующий сектору в Windows\Linux\Dos. Для удобства кинул в расшаренную папку.
Далее к примеру можно заставить IFW сделать бекап несмотря на ошибки, см. доки.
Дополнительно https://www.terabyteunlimited.com/ucf/viewtopic.php?f=4&t=1278
По поводу чинить раздел - хз, как то не встречал такой ситуации (опять же будет видно по логу, на крайняк включаем детальный /logl:10), а вот с сыпающимися дисками регулярно сталкиваюсь.

[Цитировать]

    dialmak
  • 2607
  • Стаж: 2 года 8 месяцев
  • Сообщений: 885
  • Репутация:41

    [+] [-]
ALL Вот кстати обычный обывательский взгляд на такие вещи.
Пока будут такие пользователи (а таких 98%) - шифровальщики в безопасности и процветают. Если проанализировать к-во задержаний челов\делков, получивших срок за вымогательство (кстати им светит 20 лет в USA, некоторым дают пожизненное, и это не единичные случаи, а статистики по Украине не имею, скорее всего никого не словили) и к-во действующих шифровальщиков, а их около 2000 то понятно, что пипец.

[Цитировать]

    korsak7
  • 107
  • Стаж: 3 года 10 месяцев
  • Сообщений: 694
  • Репутация:44

    [+] [-]
dialmak, как в текущем контексте юзать 'ProtectIt' ?

[Цитировать]

    dialmak
  • 2607
  • Стаж: 2 года 8 месяцев
  • Сообщений: 885
  • Репутация:41

    [+] [-]
korsak7, Видимо придется снять продолжение видео для показа работы с 'ProtectIt' и 'TBI Notify', а также с ключем /purge:-n


Последний раз редактировалось: dialmak (2018-08-07 15:55), всего редактировалось 1 раз

[Цитировать]

    korsak7
  • 107
  • Стаж: 3 года 10 месяцев
  • Сообщений: 694
  • Репутация:44

    [+] [-]
А для незамороченных юзеров можно текстом хотя бы в 2 словах?

[Цитировать]

    dialmak
  • 2607
  • Стаж: 2 года 8 месяцев
  • Сообщений: 885
  • Репутация:41

    [+] [-]
korsak7,
А для незамороченных юзеров можно текстом хотя бы в 2 словах?
Тут, тебе ж и писал ab
Создаешь папку TeraByte_TBI_Backups и ложишь туда TBI, теперь и даже с Ext2Fsd не получится удалить\изменить бэкап.
Впрочем через tbexplo.tbs можно.

[Цитировать]

    korsak7
  • 107
  • Стаж: 3 года 10 месяцев
  • Сообщений: 694
  • Репутация:44

    [+] [-]
А так можно было?! ai А я как испорченный гуями, ожидал что при бэкапе прога покажет хитро-опцию ag

[Цитировать]

    dialmak
  • 2607
  • Стаж: 2 года 8 месяцев
  • Сообщений: 885
  • Репутация:41

    [+] [-]
korsak7, Никаких опций, все прозрачно. Фильтр перенаправляет пользователя и другие проги, в том числе и систему в сад. Ну ты понял..

Страница 3 из 8


Показать сообщения:    

Текущее время: 16-Окт 20:10

Часовой пояс: UTC + 3


Вы не можете начинать темы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете голосовать в опросах
Вы не можете прикреплять файлы к сообщениям
Вы можете скачивать файлы