[Цитировать]

    dimo70
  • 17296
  • Стаж: 6 лет 11 месяцев
  • Сообщений: 3778
  • Репутация:27

    [+] [-]
  • Откуда: BG
conty9, очень интересно. Если вариант через команды есть будет еще лучше. aa

_________________
Подпись отключена за нарушение правил форума

[Цитировать]

    sam_sobi
  • 2839
  • Стаж: 8 лет 8 месяцев
  • Сообщений: 198
  • Репутация:3

    [+] [-]
Conty9, приветствую !
В принципе сама идея нова и интересна, но есть пару моментов:
3. Все новые данные храним на временном разделе, периодически ценный раздел подключаем на запись и синхронизируем с добавленным.
А если в этот момент на временном разделе уже произошли необратимые изменения ?
Плюс такого подхода в том, что для чтения свои данные будут доступны всегда (фото, документы, и т.п.).
Для своих фото и документов - да, возможно. Но не для баз данных типа 1С, Медок, Афина, Парус и т.д., которые постоянно постоянно изменяются в процессе работы - если понятно, о чём я. Не говоря уже о файл-сервере..

[Цитировать]

    korsak7
  • 107
  • Стаж: 9 лет
  • Сообщений: 1063
  • Репутация:62

    [+] [-]
А если в этот момент на временном разделе уже произошли необратимые изменения ?
Как ни крути, а этот вопрос будет актуален всегда и при любом способе бэкапа. Обсуждать его бессмысленно.

[Цитировать]

    Гость
  • Репутация:0

    [+] [-]
А можно пример команды для такого монтирования?
Такое монтирование возможно средствами PECMD, прямой команды ImDisk я не знаю. Для PECMD что-то наподобие (точно можно будет сказать после экспериментов):
MOUN-udm -udm- -u+ -mall -mhide1 -mhide \\.\PhysicalDrive9 Z:
MOUN-udm -mhide \\.\PhysicalDrive9 C-
А если в этот момент на временном разделе уже произошли необратимые изменения ?
Ну, я надеюсь, что будет видно по многочисленным ошибкам записи на Read-Only раздел, что поздно пить Боржоми. И нужно вначале лечиться.
Как вариант для проверки от шифрования - можно закинуть в корень системного раздела и "Документы" файл, который точно шифруется вымогателем, и проверять его по контрольной сумме.
Но не для баз данных типа 1С, Медок, Афина, Парус и т.д.,
...можно для защиты своих персональных данных...
Теоретически, можно для БД подтянуть EWF, с периодическим сохранением изменений.

[Цитировать]

    Gemostarter
  • 15956
  • Стаж: 7 лет 7 месяцев
  • Сообщений: 323
  • Репутация:35

    [+] [-]
88045Думаю, шифровальщики пока до изменения атрибутов раздела не дошли
Предположим, что малварь через какой-нибудь эксплоит получила права админа. В этом случае, если раздел вообще хоть как-то видим средствами ОС (хотя бы даже в формате \Device\HardDiskX\PartitionY) и отформатирован в ФС, которую поддерживают установленные драйверы (то есть, раздел можно смонтировать и работать через проводник или ещё что встроенное), то "защита" иллюзорна. Файлы можно читать, писать, удалять - что угодно, хоть как монтируй или не монтируй вовсе.
Вариант с Терабайтом более надёжен - создателю малвари придётся реализовать его поддержку отдельно, и практически все (то есть вообще все, кроме того, кто нацелится конкретно на ваш ПК/сеть) на это дело забьют.

[Цитировать]

    Гость
  • Репутация:0

    [+] [-]
Gemostarter, я всё же считаю, что шифровальщики пока не настолько продвинутые, чтобы самостоятельно перемонтировать разделы или менять их атрибуты. Это как выключатель массы в авто: будучи спрятанным в неизвестном месте, он скорее заставит вора перейти к другому авто, чем разбираться с этим.
Я немного поэкспериментировал. Если сменить идентификатор раздела (например, я поставил 0xAF - Apple HFS), тогда ОС отказывается вообще что-либо делать с таким разделом, только удалить (ни управление разделами, ни diskpart). Этот раздел монтируем read-only через ImDisk. Обойти read-only монтирование ImDisk не получится без самого ImDisk.

[Цитировать]

    korsak7
  • 107
  • Стаж: 9 лет
  • Сообщений: 1063
  • Репутация:62

    [+] [-]
шифровальщики пока не настолько продвинутые, чтобы самостоятельно перемонтировать разделы
К тому же такие манипуляции будут сразу заметны, а шифровальщики "любят тишину"

[Цитировать]

    dimo70
  • 17296
  • Стаж: 6 лет 11 месяцев
  • Сообщений: 3778
  • Репутация:27

    [+] [-]
  • Откуда: BG
Всем привет, есть еще один сложный вопрос. ab
Мой FTP сервер представляет связаный к рутера через USB3 порт внешний диск. Есть внутренная сеть из двух компьютеров. Если рансомуер начнет криптить компьютера может добраться до FTP или нет?

_________________
Подпись отключена за нарушение правил форума

[Цитировать]

    Гость
  • Репутация:0

    [+] [-]
Провентилировал вопрос с монтированием раздела с помощью ImDisk.

Ключи ImDisk

-a подключить виртуальный диск
-d отключить
-e редактировать виртуальный диск
-b указать смещение, то есть начало данных на диске, указывается для дисков созданных в разных программах, в образах которых нужно пропустить начальные атрибуты в файле.
-s размер виртуального диска. Размер является количеством байтов если не прибавлен суффикс a (авто), b (колич. 512 байтовых блоков), k (тысяча байт), m (миллион байт), g (миллиард байт), t (триллиона байт), K (килобайт), M (мегабайт), G (гигабайт) или T (терабайт). Тысяча байт и килобайт, отличаются тем, что в килобайте 1024 байт, а не 1000. Например. -s 150M или -s 10% - 10 процентов от свободной памяти. Параметр -500M - со знаком минуса определяет размер создаваемого диска как обьём свободной памяти минус указанный размер.
-o установить опции, применяется совместно с параметрами указанными ниже:
ro - только чтение
rw - чтения/запись
rem установить как сменный диск (флешка). Это определяет свойства диска, кэширование и прочее.
fix установить как постоянный, фиксированный диск (в противоположность rem)
cd создание виртуального CD-ROM/DVD-ROM.
fd создание флоппи диска. По умолчанию для размеров 160K, 180K, 320K, 360K, 640K, 720K, 820K, 1200K, 1440K, 1680K, 1722K, 2880K, 123264K or 234752K.
hd создание раздела харда.
ip параметр для подключения к прокси серверу.
comm подключение к серверу памяти через COM-порт.
-m Определяет букву накопителя. Например -m B: или -m y: или -m #: - первая свободная буква диска.
-f имя файла вирт. диска, например -f C:\Boot.img или -f \\server\share\image.bin или -F \Device\Harddisk0\Partition1\image.bin - последнее, когда буква диска не назначена и определение по номеру харда, номеру партиции (логического диска) и далее реальный путь.
-t место для диска, например -t file - образ является файлом на диске, -t vm - загрузить вирт. диск в память, -t proxy - использование внешнего сетевого вирт. диска, используется с параметром -f
-p форматирование, когда диск создан. Например, -p "/fs:ntfs /q /y", создаёт ntfs-файловую систему быстрым форматированием. Параметр /v:my_disk - метка диска, -p "/fs:fat32 /q /y" - форматирование в FAT32
-S Размер сектора используемый в устройстве. По умолчанию 512 байт, за исключением CD-ROM/DVD-ROM, где размер 2048 байт по умолчанию.
-x смотри параметр -y, ниже.
-y Параметры -x и -y определяют геометрию диска. Это полезно для создания загрузочных образов с последующей загрузкой на физическое устройство. Тип устройства зависит от -o, например 1440K получает 2 дорожки/цилиндр и 18 секторов/дорожка.
-u Вместе с -a запрос номера устройства. Вместе с -d или -l запрос номера устройства на удаление или запрос свойств.
В PECMD всё решается легко: например, нужно смонтировать для чтения 7-й раздел hdd2 (2#7)
part -hextp -phy -fill list part 2#7,&&te //получаем в %&&te% особенности раздела (PartID Type BootMark BaseOffset Size HideSectorNum End DrvLetter)
MSTR &&c,&&d=<4><5>%&&te% //Извлекаем базовое смещение (от начала диска) и размер раздела
RAMD ImDisk*&MounRet*%&&c%*%&&d%*0*\\.\PhysicalDrive2 -a -S 512 -o hd -m Z: //Монтируем раздел hdd2 как виртуальный диск (-a), с размером сектора 512 (-S 512), только для чтения (-o), хард (hd), буква диска Z: (-m Z:), в %&MounRet% получим код завершения (0 если всё удачно).
Ключи совпадают с комстрокой, нужно уточнить, как правильно прописывать базовое смещение и длину (видимо, ключи -b и -s, тут внимательно - большая S из другой оперы!).
Размонтировать RAMD Imdisk* -d -m Z: (аналогично imdisk -d -m Z:)
Монтировать такой раздел с полным доступом
SHOW & 2#7,W: //локально
SHOW * 2#7,W: //глобально
Демонтировать SHOW *- ,W:
Идентификатор раздела при таком монтировании можно установить любой не-виндовый, тогда стандартный менеджер разделов не сможет монтировать раздел. Чтобы сделать раздел обычным, в любом менеджере меняем ID на 0x7 (NTFS).
Раздел может быть одновременно смонтирован и как Read-Only (ImDisk), и с полным доступом (PECMD), при этом изменения, внесённые на диск в режиме полного доступа, с задержкой отображаются на Read-Only.

[Цитировать]

    Ander_73
  • 15549
  • Стаж: 7 лет 9 месяцев
  • Сообщений: 3817
  • Репутация:127

    [+] [-]
Оба варианта (использование драйвера ProtectIt и скрытого раздела) имеют одну и ту же уязвимость: когда-то их придётся "открыть" для записи бекапа и в этот момент туда можно просунуть волосатое счупальце.

[Цитировать]

    korsak7
  • 107
  • Стаж: 9 лет
  • Сообщений: 1063
  • Репутация:62

    [+] [-]
То есть всё пропало, шеф ? Можно закрывать лавочку?
====================
вот интересно, с какой папки волосатое счупальце начинает шифровать файло?
А если положить например сыр в виде файла c:\omnomnom.doc и мониторить постоянно его исчезновение или появление такого файла с другими расширениями?


Последний раз редактировалось: korsak7 (2021-08-17 11:17), всего редактировалось 1 раз

[Цитировать]

    Гость
  • Репутация:0

    [+] [-]
По опыту "общения" с шифровальщиками: они быстренько шифруют всё, до чего дотянутся, и радостно сообщают: ваши данные успешно зашифрованы, платите бабло. Так что шансы, что именно в момент шифрования будет открыт бекап - довольно низкие. Ну и вдобавок, я уже предлагал проверку от шифровальщика - файл документа в корне системного раздела и в документах, с известной контрольной суммой. Если файл отсутствует, или КС изменилась - звоночек, что возможно заражение!

[Цитировать]

    UserX
  • 667
  • Стаж: 9 лет 7 месяцев
  • Сообщений: 855
  • Репутация:37

    [+] [-]
88061Если рансомуер начнет криптить компьютера может добраться до FTP или нет?
Да представьте себя на месте "рансомуер"-а. Если вы смогёте, что ему помешает?
Просто физически отстёгивайте носитель (сеть) с бэкапом. А пристёгивайте его для очередного бэкапа или ресторе только после проверки "файла-сыра" c:\omnomnom.doc, как сказал korsak7.
"Сырный файл" в порядке? Можно рискнуть подсоединить накопитель (сеть) физически. Сделали с ним что нужно и сразу отсоединяйте. Тогда не придётся верить в то, что все известные шифровальщики - тупые. Или убеждаться в том, что вам не повезло, и какой-то умник в этот раз подкинул вам не тупой.
Прочие варианты зависят от способностей шифровальщика, при котором плохой результат возможен с бОльшей или меньшей степенью вероятности.
PS
Понятно, что аналогичного эффекта можно добиться при использовании драйверов с защитой от записи.
Вроде EWF, о которой сказал conty9.
Но тут тоже есть, типа, минус - повредится ОС (не запустится драйвер), значит не будет доступа к забэкапленной системе.

[Цитировать]

    korsak7
  • 107
  • Стаж: 9 лет
  • Сообщений: 1063
  • Репутация:62

    [+] [-]
Просто физически отстёгивайте носитель (сеть) с бэкапом. А пристёгивайте его для очередного бэкапа или ресторе только после проверки "файла-сыра" c:\omnomnom.doc, как сказал korsak7.
а если по папкам с важными данными еще разложить таких сыров и запустить сервис-монитор этих файлов (с периодом сканирования скажем 1 мин.) - то можно появление шифровальщика алармировать очень быстро. При этом даже можно контрольную сумму не считать, а просто вес сыра сделать фиксированным - например 66 байт
может есть уже такая прога ?

[Цитировать]

    dimo70
  • 17296
  • Стаж: 6 лет 11 месяцев
  • Сообщений: 3778
  • Репутация:27

    [+] [-]
  • Откуда: BG
А интересно, можно сделать такую утилиту, которая следит за файлом в корне системного диска постоянно и если с нем что то случиться сразу алармирует, а может и заблокирует компьютер, или что то другое, тут я не знаю как... ah

_________________
Подпись отключена за нарушение правил форума

Страница 2 из 4


Показать сообщения:    

Текущее время: 24-Ноя 00:10

Часовой пояс: UTC + 3


Вы не можете начинать темы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете голосовать в опросах
Вы не можете прикреплять файлы к сообщениям
Вы можете скачивать файлы