[Quote]

    dialmak
  • 2607
  • Longevity: 4 years 9 months
  • Posts: 1054
  • REPUTATION:40

    [+] [-]

Что это.
Если Вы никогда не получили письма\файлы 'счастья' как выше, то Вам просто повезло. Как правило везение заканчивается. И очень печально заканчивается, база которую делали 5 лет стОит много, очень много человеко-часов... И люди вынуждены платИть вымогателям $500 - $10 000. Слышал про случай уплаты $1 500 000, хз, вполне допускаю. Иногда инфа просто бесценна.
Вчера обратился чел и сказал, что перестали открываться EXCEL файлы. После обследования его WINDOWS SERVER 2012 R2 я увидел, что все данные пользователей зашифрованы, в том числе и база 1С и бэкапы базы 1C. Заражение было через RDP (тупой подбор пароля, а пароль был 6 цифр), я ему когда ставил сервер - советовал поставить роутер с VPN сервером (ибо он заходил периодически из дома на сервер по RDP), но клиент проигнорировал это - тупо зажмотил $50, ну хозяин-барин. Я как правило адекватно оцениваю угрозы и сразу предупредил, что возможны варианты, чел опять проигнорил. Результат как Вы поняли печальный. Просили в данном случае $500, через 24 часа неуплаты сумма удваивалась.. Сумма конечно не запредельная, но никто ж не гарантирует, что после оплаты все восстановится... Как-то так.
Я принципиально против оплаты вымогателям и в данном конкретном случае все закончилось хорошо. Помог мой вариант бэкапа. Ниже я расскажу что и как позволило восстановить данные. И почему в таком варианте можно спать спокойно и НЕТ СМЫСЛА платить вымогателям.

Иногда везет.
Кстати пару раз встречал фальшивых ransomware (вымогателей - шифровальщиков). Типа детский сад. Ничего не шифруют, просто пугают пользователя, да и просят копейки - типа 500 грн. Как правило прописываются в MBR или PBR, иногда просто удаляют файлы пользователей. Такие ransomware не есть серьёзными и нормальная работа восстанавливается быстро. А удаленные файлы можно без проблем восстановить, к примеру через R-Studio.
Мы защитимся и от реальных ransomware и от фальшивок.

Теория.
1. Бэкап должен быть всегда.
2. Бэкап должен быть автоматическим. Только автоматизированный бэкап, выполняющийся по расписанию, дает нам возможность восстановить относительно актуальные данные - например, от вчера, а не от марта месяца.
3. Бэкап нужно хранить отдельно от данных и минимум 2 недели.
4. Бэкап нужно регулярно проверять.
Ну и самое главное.
0. Бэкап должен лежать в недоступном для ОС хранилище. Кто-то не поймет данное требование, кто-то тупо поржет, но практика показывает, что это самое важное. Ниже рассмотрим детальнее это.
Зачем бэкап и когда он поможет. А точнее когда не поможет?
Предположим , что Вы классный админ и бэкап ложим на том-же компе на другой HDD. Эт не гарантирует ничего ибо наш комп можно скомпроментировать.
Предположим , что Вы классный админ и бэкап ложим на RAID 1 на удаленном компе и на входе стоит маршрутизатор и параметрический брандмауэр . Лучше, но опять же эт не гарантирует ничего ибо удаленный комп, да и сам маршрутизатор можно скомпроментировать.
Когда такое понимаешь, то оторопь берет. Что же делать?
Я не буду мутить воду, в которой умные парни с умным видом Вам рассказывают сказки как защитить комп или сервер с помощью волшебной проги\антивируса. Открою истину. Защитить в принципе можно от элементарных вещей, но от всех угроз нереально. Нет такого, даже отключенный от интернета компьютер вполне возможно заразить, типа человеческий фактор никто не отменял.
Ну типа я так и делаю.
Скорее всего Вы делаете не совсем так. Image for Windows\Linux позволяет положить архив в неподдерживаюмую Windows файловую систему, например Ext2/3/4, ReiserFS или HSF+.
Также мы настроим это все дело для планировщика, и автоматом наши данные будут бэкапироваться без вмешательства админа или пользователя. К бэкапу никто не сможет получить доступ. При желании сам бэкап можно зашифровать паролем. А хотя зачем, ведь любимый Predator или Scarab сами аккуратно все зашифруют. Шутка и иногда очень болезненная!
Ну так у меня стоИт антивирус, спецсофт защиты и т.д.
Не будьте наивными. Эт Вам не поможет. Да, от каких то ransomware стареньких наверное, от новых вряд ли...
Антивирусы и спецпроги НЕ панацея, вымогателей слишком много и появляются они каждый день.
Что же делать?
Мы не будем бегать и искать пиджаки, флешки, USB-HDD, а используем простую прогу Image for Windows\Linux. Ссылка на справку PDF. Вряд ли она Вам понадобиться, ну на всякий пожарный.. Конечно я советую ложить бэкап на другой HDD, а лучше на RAID 1, но если такой возможности нет - мы защитим наш комп\сервер от ransomware (вымогателей - шифровальщиков) и на одном HDD. Типа будет бэкап для бедных, но иногда только он и выручит..

Решение.
Качаем.
Ху эс ху?
Image_for_Windows.7z - прога Image for Windows (для 7 и выше) с доп. плюшками, будет использоваться для бекапа Windows и\или данных, запускать Start_IFW.cmd.
Image_for_Linux_GUI.7z - загрузочная флешка\CD для Legacy\UEFI с прогой Image for Linux с доп. плюшками, будет использоваться для восстановления бекапа, пока не нужна - постучал 'по дереву', дай бог чтоб не пригодилась. Если вдруг нужна - запускать для создания загрузочного носителя makedisk.exe.
EXT4.TBI - бекап раздела EXT4 (20 GB), будем юзать для создания раздела с файловой системой EXT4 прямо из Windows.

План такой.
1. Освобождаем место под будущий раздел для файлов бэкапа.
2. Создаем и форматируем раздел для файлов бэкапа. Собственно мы, как я уже писал выше, можем использовать EXT4, ReiserFS или HFS+. В данном примере будем юзать EXT4.
Конечно, можно было б загрузиться в какой-нибуть LiveCD, например Ubuntu или тот же Image for Linux и оттуда отформатировать свой новый раздел, но эт лишние телодвижения. Мы просто восстановим бэкап EXT4.TBI на свободное место диска и получим желаемый результат. Причем без перегрузки, ибо бухгалтерА как правило не любят когда админ перегружает сервер ;) Ну и замечу, что при восстановлении EXT4.TBI раздел EXT4 мы можем сделать любым по размеру, НО не менее 20 GB. Более можно, менее нет.
3. Далее просто запускаем Image for Windows и создаем полный бекап диска\раздела и ложим его на раздел EXT4. Если Вы хотите делать бэкап не всего раздела, а отдельных папок - см. документацию для Image for Windows\Linux.
4. И настраиваем в планировщике создание дифференциального или инкрементного ежедневного бекапа с сохранением его на раздел EXT4..

В видео все доходчиво и просто, думаю, что процесс понятен.

Далее настоятельно советую настроить чтобы IFW присылал отчеты на email, также можно ограничить к-во дифференциальных бекапов, например 10 штук вполне достаточно. IFW умеет такое автоматом, смотрите документацию, ключ /purge:-n. И можно спать спокойно..
Видео как сделать загрузочную флешку Image for Linux, процесс не быстрый ибо makedisk на лету перепаковывает initrmfs.

И последнее.
Небольшое отступление. На средней фирме (около 100 компов) начал гулять в сети ransomware. Поверьте мне нА словО - там стояли корпоративные антивирусы, параметрический брандмауэр, даже стоял Snort, ClamAV, SquidGuard и другие плюшки. Ничего не сработало! Карл, даже Snort не пискнул! Я был в шоке.. Сработал только SECURE BOOT. Все компы БЕЗ включенного SECURE BOOT были скомпроментированы. Я восстановил нормальную работу фирмы за 3 часа! Это очень круто, если учесть, что было скомпроментировано 15 компов. Даже не знаю, чтоб было, если б все заразились, эт был бы просто абзац.
Поэтому закроем доступ вирусняку к ОС на уровне загрузчика. Не пренебрегайте таким уровнем защиты!
Если комп поддерживает UEFI - ОБЯЗАТЕЛЬНО включите SECURE BOOT.
Если комп поддерживает UEFI и CSM - ОБЯЗАТЕЛЬНО отключите CSM и включите SECURE BOOT.
Если комп поддерживает UEFI и CSM и ОС уже давно установлена и стоИт в MBR, то крайне советую перевести диск в GPT. Пример. Делается эт одной командой из TBOSDT в WinRE\PE c Image for Windows или из TBOSDT в Image for Linux
run chgdtype.tbs
После перевода MBR - > GPT - отключите CSM и включите SECURE BOOT.
Если здоровья хватит - то напишу отдельный пост что такое Shim, PreLoader, MOKManager, HashTool и т.д. Этот вопрос требует отдельного поста или даже темы. Отложим пока..

Советы, проблемы и решения.
Обязательно при бэкапе используйте флаг Validate Byte-for-Byte. Если он включен, то ошибки исключены.
Validate Byte-for-Byte работает следующим образом.
Первый проход - собственно запись бэкапа на диск.
Второй проход - чтение записи бэкапа и побайтное сравнение с оригиналом посекторно.
Это увеличивает в 2 раза время бэкапа, но дает 100% гарантию результата.

Виды бэкапа. Используйте или полный или дифференциальный бэкапы. С ними меньше проблем, чем с инкрементнымм.
Для инкрементных бэкапов нужно настроить консолидацию в IFW. То есть создание нового базового по каким-то условиям, например времени или к-ву инкрементных бекапов. Смотрите доки. Я не использую.
При любых проблемах стОит посмотреть детальный лог . Цитата из Image for Windows User Manual (Page 129):
/logl:n LogLevel=n
Causes less or more information to be output to the log file. Use level 1 for errors only, 2 for warnings, 3 for status, 4 for information, 9 for debugging, 10 for debugging with flush. For example, use /logl:3 to specify status level logging. If using 10 or higher, the /email option will be ignored (emails will not be sent) unless logging is disabled for the operation.
Default if omitted: Informational level logging is performed.
Пишут, что детальный лог 10 уровня можно включить двумя путями. Через ключ /logl:10 или добавить в секцию Options файла ifw.ini строчку LogLevel=10.
Некоторые варианты решений проблем описаны здесь...
Что касается физического сбоя HDD\SSD.
Если данные супер важные - нужен RAID 1 или выше для раздела бэкапа (что в видео и сделано). Другие варианты не знаю.
Своевременное информирование по email. Настройте автоматическую пересылку на почту результата бекапа. Пример настройки для Gmail.
Можно использовать существующий аккаунт, но лучше создайте какой-нибудь новый аккаунт на Gmail. Так секюрнее.
Настройте в IFW примерно так

Далее зайдите в настройки нового аккаунта Google и разрешите доступ к почте небезопасных приложений.
https://support.google.com/mail/answer/7126229
https://support.google.com/accounts/answer/6010255
https://myaccount.google.com/lesssecureapps
https://www.google.com/accounts/DisplayUnlockCaptcha
После получения письма о подтверждении можно попробовать нажать Test и убедиться, что все работает.
В поле Subject можно использовать переменные:
~ec~ – Numeric error code for operation
$~EC$ – Numeric error code for operation
$~OP$ – Operation (Backup, Validate, etc.)
$~ECT$ – Error code text: Succeeded or Failed
$~ET$ – Elapsed time
Пример письма при использовании в поле Subject фразы: The $~OP$ Operation $~ECT$. Run Time: $~ET$
В теме письма сразу видно результат операции успешно\неуспешно и сколько времени занял бекап.

Своевременное информирование в трее.
Также можно использовать расширенную версию IFW из сборки TBPortable - в трее будет писать состояние и предупреждения.

Что касается удаления раздела EXT4 какой-нибуть утилитой или пользователем преднамеренно или случайно.
Ну во первых можно запретить его удалять. Я это не рассматривал пока. Пока жду, может кто-то додумается ;)
Ну а даже, если удалили, то IFW предупредит и можно оперативно восстановить через IFL или TestDisk или...
Что касается ситуации, если файлы в EXT4 повреждены после сбоя питания.
Вообще вероятность утери данных из-за сбоя питания мала ибо раздел используется недолго.
Но если такое все-таки произошло, то ситуация как правило решаемая.
Чуть позже выложу скриншоты или видео как победить...

Список ransomware (вымогателей - шифровальщиков), неполный конечно, можно посмотреть здесь.
З.Ы. Кто-то помнит Petya? У меня знакомый из 'Облэнерго' чуть не поседел после встречи с Петей. Короче люди делятся на тех, кто ещё не делает бэкап и тех, кто уже делает, ибо когда-то не делали! Он кстати делал бекап, но эт ему не помогло. Поэтому добавлю. Люди делятся на тех, кто делает бэкап и тех, кто делает его правильно, ибо когда-то делали неправильно!
Update 28.08.2018. Добавлена инструкция по использованию защитника 'ProtectIt' и как ограничить к-во дифференциальных бекапов. Рекомендую отключить Fast StartUp в Windows 8...10. Это можно сделать в TBPortable через '\TeraByte Drive Image Backup and Restore Suite\utility\FastStartUp_Disable.reg' или в свойствах 'TBI Notify' в трее. При желании включить назад можно через '\TeraByte Drive Image Backup and Restore Suite\utility\FastStartUp_Enable.reg'.
ENJOY


Last edited by dialmak on 2018-08-28 17:33; edited 116 times in total

[Quote]

    korsak7
  • 107
  • Longevity: 5 years 11 months
  • Posts: 847
  • REPUTATION:55

    [+] [-]
dialmak, служба 'ProtectIt' не устанавливается. Win7 x86

[Quote]

    dialmak
  • 2607
  • Longevity: 4 years 9 months
  • Posts: 1054
  • REPUTATION:40

    [+] [-]
korsak7, Что выдает после запуска от имени админа?
Можно и без pause, если запуск из комстроки

[Quote]

    korsak7
  • 107
  • Longevity: 5 years 11 months
  • Posts: 847
  • REPUTATION:55

    [+] [-]
Я батником и запускаю.
Скопировано файлов: 1.
Неправильное имя службы.
Для вызова дополнительной справки наберите NET HELPMSG 2185.
----------------------------------------------------------------
Error. Install ProtectIt failed.
----------------------------------------------------------------

[Quote]

    dialmak
  • 2607
  • Longevity: 4 years 9 months
  • Posts: 1054
  • REPUTATION:40

    [+] [-]
korsak7, Что показывает sc query FltMgr ?

[Quote]

    korsak7
  • 107
  • Longevity: 5 years 11 months
  • Posts: 847
  • REPUTATION:55

    [+] [-]
I:\...eraByte Drive Image Backup and Restore Suite\utility>sc query FltMgr
Имя_службы: FltMgr
Тип : 2 FILE_SYSTEM_DRIVER
Состояние : 4 RUNNING
(STOPPABLE, NOT_PAUSABLE, IGNORES_SHUTDOWN)
Код_выхода_Win32 : 0 (0x0)
Код_выхода_службы : 0 (0x0)
Контрольная_точка : 0x0
Ожидание : 0x0

[Quote]

    dialmak
  • 2607
  • Longevity: 4 years 9 months
  • Posts: 1054
  • REPUTATION:40

    [+] [-]
korsak7, Точняк, ошибка, поправлю.

[Quote]

    dialmak
  • 2607
  • Longevity: 4 years 9 months
  • Posts: 1054
  • REPUTATION:40

    [+] [-]
korsak7, Для замены

[Quote]

    apostol
  • 2692
  • Longevity: 4 years 9 months
  • Posts: 252
  • REPUTATION:1

    [+] [-]
dialmak
Доброго Здравия!
Как ограничить к-во дифференциальных бекапов?

[Quote]

    dialmak
  • 2607
  • Longevity: 4 years 9 months
  • Posts: 1054
  • REPUTATION:40

    [+] [-]
apostol,
Как ограничить к-во дифференциальных бекапов?
Можно по разному. Пример ниже на основе времени - будем юзать ключ '/purge:-n'
/purge:n
This option is used to delete image files that are n days old or older.
You can think of it as the number of days to retain images. It’s only used during a command line backup and only processes the target folder of the current file specified using the /f option.
Care should be taken as the purge occurs prior to the backup. As an option you can have the purge take place only after a successful backup by providing n as a negative number.
E.g. /purge:-15
Default if omitted: No image files are purged.
Если не используете 'TBPortable_3.21', то самое время перейти. Ибо Image for Windows из этой сборки поддерживает 'ProtectIt' - защиту папки бекапа 'TeraByte_TBI_Backups' от шифровальщиков и шаловливых ручек. Полное описание 'TBPortable_3.21' здесь (для просмотра требуется регистрация на руборде).
Порядок.
1. Выключаем 'TBPortable_3.21'. Удаляем драйвер 'ProtectIt' через батник '\TeraByte Drive Image Backup and Restore Suite\utility\del_protectit.cmd' от имени админа.
2. Создаем папку 'TeraByte_TBI_Backups' в корне раздела, в ней папку 'base' и папку' diff' (для раздела EXT4 это делаем через Terabyte Explorer 'tbexplo.tbs').
3. Запускаем 'TBPortable_3.21' и создаем базовый бэкап в '\TeraByte_TBI_Backups\base'.
5. Для ежедневных дифф бэкапов создаем задание по расписанию для планировщика, указываем ложить их в '\TeraByte_TBI_Backups\diff'. Редактируем задание, добавляем в строку запуска ключ '/purge:-15'. Запускаем задание и ждем окончания.
6. Смотрим лог и проверяем все ли файлы месте (если раздел EXT4, то ставим предварительно драйвер 'Ext2Fsd' или подобный, он пригодится для проверки - см. ниже).
7. Проверяем работу драйвера 'ProtectIt'. Пробуем удалить дифф бэкап из проводника (если раздел EXT4, то предварительно монтируем его для записи через 'Ext2Fsd'). Если удалить не получилось - идем пить пиво (деинсталлировав конечно 'Ext2Fsd', он свою миссию по проверке выполнил).
8. Проверяем работу ключа '/purge:-15'. Меняем дату на 10 дней вперед и запускаем задание из планировщика, затем опять на 10 дней вперед (итого будет 20 дней от реальной текущей даты) и опять запускаем задание из планировщика. Смотрим лог.
9. Если первый дифф удалился, то все ОК. Возвращаем дату и удаляем все дифф бэкапы через Terabyte Explorer 'tbexplo.tbs' и идем опять на пиво. Главное не перепить..
Ключ '/purge:-15' означает удалять бэкапы старше 15 дней, если новый дифф успешно создан. Меняем по своему желанию.
P.S. После инсталляции и деинсталляции 'Ext2Fsd' требуется перезагрузка.
Можно также сделать вариант, основанный не на времени, а на к-ве дифф бэкапов.


Last edited by dialmak on 2018-08-28 16:50; edited 4 times in total

[Quote]

    apostol
  • 2692
  • Longevity: 4 years 9 months
  • Posts: 252
  • REPUTATION:1

    [+] [-]
dialmak
Порядок.
1. Выключаем 'TBPortable_3.21'. Удаляем драйвер 'ProtectIt' через батник '\TeraByte Drive Image Backup and Restore Suite\utility\del_protectit.cmd' от имени админа....
да уж. А проще вариантов нет?

[Quote]

    dialmak
  • 2607
  • Longevity: 4 years 9 months
  • Posts: 1054
  • REPUTATION:40

    [+] [-]
apostol,
Сложно батник запустить?
Ну можно и не удалять 'ProtectIt'. Просто создаешь (если не созданы) папку '\TeraByte_TBI_Backups\base' и папку '\TeraByte_TBI_Backups\diff' через 'tbexplo.tbs'. Ибо через проводник не выйдет, если работает 'ProtectIt'. Если же 'ProtectIt' не включен и раздел для бекапа NTFS, то конечно все проще - делаешь все через проводник и название папки неважно, например можно '\MyBackups\base' и '\MyBackups\diff'. Хотя.. не вижу ничего сложного..

Пример создания папки в Terabyte Explorer.

Пример. Открыл в Terabyte Explorer папку \TeraByte_TBI_Backups и нажал <Insert> (помощь F1). Появилось меню создания всякого разного. Выбираем первый пункт - создание папки и <Enter> и пишем имя и <Enter>.


Last edited by dialmak on 2018-08-28 14:03; edited 8 times in total

[Quote]

    apostol
  • 2692
  • Longevity: 4 years 9 months
  • Posts: 252
  • REPUTATION:1

    [+] [-]
56777apostol,
Сложно батник запустить?
да я вообще про всю инструкцию. Тут подробное видео надо :)
то ставим предварительно драйвер 'Ext2Fsd' или подобный
это я вообще не понял: что и где брать и как ставить?

[Quote]

    dialmak
  • 2607
  • Longevity: 4 years 9 months
  • Posts: 1054
  • REPUTATION:40

    [+] [-]
apostol,
это я вообще не понял: что и где брать и как ставить?
Ну в шапке я ж ложил бекап на EXT4 раздел. Винда этот раздел не видит и проводник туда доступ не имеет.
Но есть возможность загрузить некоторое стороннее ПО, которое позволяет работать с EXT4 разделом. Как пример Ext2Esd. Страница на вики, а здесь офсайт.
Короче, если поставить эту прогу, и смонтировать через нее раздел EXT4, то можно будет файлы смотреть в проводнике. А если смонтировать на запись, то можно и удалять файлы. И это хреново, так как бэкап удалять низя. Никому.
Поэтому будем юзать 'ProtectIt', он защищает папку '\TeraByte_TBI_Backups' от таких нехороших прог и кривых рученят. А вот работу 'ProtectIt' на разделе EXT 4 и проверяем после установки 'Ext2Esd'. Тупо пробуем удалить файлы - если не получится, значит 'ProtectIt' работает.
Вроде все просто..
З.Ы. Добавил в пост выше скрины работы с Terabyte Explorer.


Last edited by dialmak on 2018-08-28 14:10; edited 2 times in total

[Quote]

    apostol
  • 2692
  • Longevity: 4 years 9 months
  • Posts: 252
  • REPUTATION:1

    [+] [-]
dialmak
Теория вроде ясна. Теперь конкретно, что качать чтобы поставить Ext2Esd - на оф. сайте много чего к закачке. и как потом монтировать на чтение/запись раздел EXT4?
Поэтому будем юзать 'ProtectIt',...
Это как и что запускать ...?
Для ежедневных дифф бэкапов создаем задание по расписанию для планировщика, указываем ложить их в '\TeraByte_TBI_Backups\diff'. Редактируем задание, добавляем в строку запуска ключ '/purge:-15'. Запускаем задание и ждем окончания.
здесь бы тоже подробнее.
Смотрим лог
и что я там должен увидеть?
Лучше конечно видео с пояснениями (весь процесс), а то новичкам как мне - не понятно.

[Quote]

    dialmak
  • 2607
  • Longevity: 4 years 9 months
  • Posts: 1054
  • REPUTATION:40

    [+] [-]
56780на оф. сайте много чего к закачке
Разве? Один файл там https://sourceforge.net/projects/ext2fsd/files/latest/download
Запустил и увидишь, ничего космического
и как потом монтировать на чтение/запись раздел EXT4?
Там понятно все и без всякого описания, выбрал раздел и выполнил нужную операцию. На крайняк есть гугл. Неужели не пашет? Пример работы с 'Ext2Esd'.
Это как и что запускать ...?
Просто запускаешь 'TBPortable_3.21', драйвер 'ProtectIt' устанавливается автоматом по-умолчанию.

Page 4 of 8


Display posts:    

Current time is: 24-Nov 10:20

All times are UTC + 3


You cannot post new topics in this forum
You cannot reply to topics in this forum
You cannot edit your posts in this forum
You cannot delete your posts in this forum
You cannot vote in polls in this forum
You cannot attach files in this forum
You can download files in this forum