[Quote]

    dialmak
  • 2607
  • Longevity: 4 years 9 months
  • Posts: 1054
  • REPUTATION:40

    [+] [-]

Что это.
Если Вы никогда не получили письма\файлы 'счастья' как выше, то Вам просто повезло. Как правило везение заканчивается. И очень печально заканчивается, база которую делали 5 лет стОит много, очень много человеко-часов... И люди вынуждены платИть вымогателям $500 - $10 000. Слышал про случай уплаты $1 500 000, хз, вполне допускаю. Иногда инфа просто бесценна.
Вчера обратился чел и сказал, что перестали открываться EXCEL файлы. После обследования его WINDOWS SERVER 2012 R2 я увидел, что все данные пользователей зашифрованы, в том числе и база 1С и бэкапы базы 1C. Заражение было через RDP (тупой подбор пароля, а пароль был 6 цифр), я ему когда ставил сервер - советовал поставить роутер с VPN сервером (ибо он заходил периодически из дома на сервер по RDP), но клиент проигнорировал это - тупо зажмотил $50, ну хозяин-барин. Я как правило адекватно оцениваю угрозы и сразу предупредил, что возможны варианты, чел опять проигнорил. Результат как Вы поняли печальный. Просили в данном случае $500, через 24 часа неуплаты сумма удваивалась.. Сумма конечно не запредельная, но никто ж не гарантирует, что после оплаты все восстановится... Как-то так.
Я принципиально против оплаты вымогателям и в данном конкретном случае все закончилось хорошо. Помог мой вариант бэкапа. Ниже я расскажу что и как позволило восстановить данные. И почему в таком варианте можно спать спокойно и НЕТ СМЫСЛА платить вымогателям.

Иногда везет.
Кстати пару раз встречал фальшивых ransomware (вымогателей - шифровальщиков). Типа детский сад. Ничего не шифруют, просто пугают пользователя, да и просят копейки - типа 500 грн. Как правило прописываются в MBR или PBR, иногда просто удаляют файлы пользователей. Такие ransomware не есть серьёзными и нормальная работа восстанавливается быстро. А удаленные файлы можно без проблем восстановить, к примеру через R-Studio.
Мы защитимся и от реальных ransomware и от фальшивок.

Теория.
1. Бэкап должен быть всегда.
2. Бэкап должен быть автоматическим. Только автоматизированный бэкап, выполняющийся по расписанию, дает нам возможность восстановить относительно актуальные данные - например, от вчера, а не от марта месяца.
3. Бэкап нужно хранить отдельно от данных и минимум 2 недели.
4. Бэкап нужно регулярно проверять.
Ну и самое главное.
0. Бэкап должен лежать в недоступном для ОС хранилище. Кто-то не поймет данное требование, кто-то тупо поржет, но практика показывает, что это самое важное. Ниже рассмотрим детальнее это.
Зачем бэкап и когда он поможет. А точнее когда не поможет?
Предположим , что Вы классный админ и бэкап ложим на том-же компе на другой HDD. Эт не гарантирует ничего ибо наш комп можно скомпроментировать.
Предположим , что Вы классный админ и бэкап ложим на RAID 1 на удаленном компе и на входе стоит маршрутизатор и параметрический брандмауэр . Лучше, но опять же эт не гарантирует ничего ибо удаленный комп, да и сам маршрутизатор можно скомпроментировать.
Когда такое понимаешь, то оторопь берет. Что же делать?
Я не буду мутить воду, в которой умные парни с умным видом Вам рассказывают сказки как защитить комп или сервер с помощью волшебной проги\антивируса. Открою истину. Защитить в принципе можно от элементарных вещей, но от всех угроз нереально. Нет такого, даже отключенный от интернета компьютер вполне возможно заразить, типа человеческий фактор никто не отменял.
Ну типа я так и делаю.
Скорее всего Вы делаете не совсем так. Image for Windows\Linux позволяет положить архив в неподдерживаюмую Windows файловую систему, например Ext2/3/4, ReiserFS или HSF+.
Также мы настроим это все дело для планировщика, и автоматом наши данные будут бэкапироваться без вмешательства админа или пользователя. К бэкапу никто не сможет получить доступ. При желании сам бэкап можно зашифровать паролем. А хотя зачем, ведь любимый Predator или Scarab сами аккуратно все зашифруют. Шутка и иногда очень болезненная!
Ну так у меня стоИт антивирус, спецсофт защиты и т.д.
Не будьте наивными. Эт Вам не поможет. Да, от каких то ransomware стареньких наверное, от новых вряд ли...
Антивирусы и спецпроги НЕ панацея, вымогателей слишком много и появляются они каждый день.
Что же делать?
Мы не будем бегать и искать пиджаки, флешки, USB-HDD, а используем простую прогу Image for Windows\Linux. Ссылка на справку PDF. Вряд ли она Вам понадобиться, ну на всякий пожарный.. Конечно я советую ложить бэкап на другой HDD, а лучше на RAID 1, но если такой возможности нет - мы защитим наш комп\сервер от ransomware (вымогателей - шифровальщиков) и на одном HDD. Типа будет бэкап для бедных, но иногда только он и выручит..

Решение.
Качаем.
Ху эс ху?
Image_for_Windows.7z - прога Image for Windows (для 7 и выше) с доп. плюшками, будет использоваться для бекапа Windows и\или данных, запускать Start_IFW.cmd.
Image_for_Linux_GUI.7z - загрузочная флешка\CD для Legacy\UEFI с прогой Image for Linux с доп. плюшками, будет использоваться для восстановления бекапа, пока не нужна - постучал 'по дереву', дай бог чтоб не пригодилась. Если вдруг нужна - запускать для создания загрузочного носителя makedisk.exe.
EXT4.TBI - бекап раздела EXT4 (20 GB), будем юзать для создания раздела с файловой системой EXT4 прямо из Windows.

План такой.
1. Освобождаем место под будущий раздел для файлов бэкапа.
2. Создаем и форматируем раздел для файлов бэкапа. Собственно мы, как я уже писал выше, можем использовать EXT4, ReiserFS или HFS+. В данном примере будем юзать EXT4.
Конечно, можно было б загрузиться в какой-нибуть LiveCD, например Ubuntu или тот же Image for Linux и оттуда отформатировать свой новый раздел, но эт лишние телодвижения. Мы просто восстановим бэкап EXT4.TBI на свободное место диска и получим желаемый результат. Причем без перегрузки, ибо бухгалтерА как правило не любят когда админ перегружает сервер ;) Ну и замечу, что при восстановлении EXT4.TBI раздел EXT4 мы можем сделать любым по размеру, НО не менее 20 GB. Более можно, менее нет.
3. Далее просто запускаем Image for Windows и создаем полный бекап диска\раздела и ложим его на раздел EXT4. Если Вы хотите делать бэкап не всего раздела, а отдельных папок - см. документацию для Image for Windows\Linux.
4. И настраиваем в планировщике создание дифференциального или инкрементного ежедневного бекапа с сохранением его на раздел EXT4..

В видео все доходчиво и просто, думаю, что процесс понятен.

Далее настоятельно советую настроить чтобы IFW присылал отчеты на email, также можно ограничить к-во дифференциальных бекапов, например 10 штук вполне достаточно. IFW умеет такое автоматом, смотрите документацию, ключ /purge:-n. И можно спать спокойно..
Видео как сделать загрузочную флешку Image for Linux, процесс не быстрый ибо makedisk на лету перепаковывает initrmfs.

И последнее.
Небольшое отступление. На средней фирме (около 100 компов) начал гулять в сети ransomware. Поверьте мне нА словО - там стояли корпоративные антивирусы, параметрический брандмауэр, даже стоял Snort, ClamAV, SquidGuard и другие плюшки. Ничего не сработало! Карл, даже Snort не пискнул! Я был в шоке.. Сработал только SECURE BOOT. Все компы БЕЗ включенного SECURE BOOT были скомпроментированы. Я восстановил нормальную работу фирмы за 3 часа! Это очень круто, если учесть, что было скомпроментировано 15 компов. Даже не знаю, чтоб было, если б все заразились, эт был бы просто абзац.
Поэтому закроем доступ вирусняку к ОС на уровне загрузчика. Не пренебрегайте таким уровнем защиты!
Если комп поддерживает UEFI - ОБЯЗАТЕЛЬНО включите SECURE BOOT.
Если комп поддерживает UEFI и CSM - ОБЯЗАТЕЛЬНО отключите CSM и включите SECURE BOOT.
Если комп поддерживает UEFI и CSM и ОС уже давно установлена и стоИт в MBR, то крайне советую перевести диск в GPT. Пример. Делается эт одной командой из TBOSDT в WinRE\PE c Image for Windows или из TBOSDT в Image for Linux
run chgdtype.tbs
После перевода MBR - > GPT - отключите CSM и включите SECURE BOOT.
Если здоровья хватит - то напишу отдельный пост что такое Shim, PreLoader, MOKManager, HashTool и т.д. Этот вопрос требует отдельного поста или даже темы. Отложим пока..

Советы, проблемы и решения.
Обязательно при бэкапе используйте флаг Validate Byte-for-Byte. Если он включен, то ошибки исключены.
Validate Byte-for-Byte работает следующим образом.
Первый проход - собственно запись бэкапа на диск.
Второй проход - чтение записи бэкапа и побайтное сравнение с оригиналом посекторно.
Это увеличивает в 2 раза время бэкапа, но дает 100% гарантию результата.

Виды бэкапа. Используйте или полный или дифференциальный бэкапы. С ними меньше проблем, чем с инкрементнымм.
Для инкрементных бэкапов нужно настроить консолидацию в IFW. То есть создание нового базового по каким-то условиям, например времени или к-ву инкрементных бекапов. Смотрите доки. Я не использую.
При любых проблемах стОит посмотреть детальный лог . Цитата из Image for Windows User Manual (Page 129):
/logl:n LogLevel=n
Causes less or more information to be output to the log file. Use level 1 for errors only, 2 for warnings, 3 for status, 4 for information, 9 for debugging, 10 for debugging with flush. For example, use /logl:3 to specify status level logging. If using 10 or higher, the /email option will be ignored (emails will not be sent) unless logging is disabled for the operation.
Default if omitted: Informational level logging is performed.
Пишут, что детальный лог 10 уровня можно включить двумя путями. Через ключ /logl:10 или добавить в секцию Options файла ifw.ini строчку LogLevel=10.
Некоторые варианты решений проблем описаны здесь...
Что касается физического сбоя HDD\SSD.
Если данные супер важные - нужен RAID 1 или выше для раздела бэкапа (что в видео и сделано). Другие варианты не знаю.
Своевременное информирование по email. Настройте автоматическую пересылку на почту результата бекапа. Пример настройки для Gmail.
Можно использовать существующий аккаунт, но лучше создайте какой-нибудь новый аккаунт на Gmail. Так секюрнее.
Настройте в IFW примерно так

Далее зайдите в настройки нового аккаунта Google и разрешите доступ к почте небезопасных приложений.
https://support.google.com/mail/answer/7126229
https://support.google.com/accounts/answer/6010255
https://myaccount.google.com/lesssecureapps
https://www.google.com/accounts/DisplayUnlockCaptcha
После получения письма о подтверждении можно попробовать нажать Test и убедиться, что все работает.
В поле Subject можно использовать переменные:
~ec~ – Numeric error code for operation
$~EC$ – Numeric error code for operation
$~OP$ – Operation (Backup, Validate, etc.)
$~ECT$ – Error code text: Succeeded or Failed
$~ET$ – Elapsed time
Пример письма при использовании в поле Subject фразы: The $~OP$ Operation $~ECT$. Run Time: $~ET$
В теме письма сразу видно результат операции успешно\неуспешно и сколько времени занял бекап.

Своевременное информирование в трее.
Также можно использовать расширенную версию IFW из сборки TBPortable - в трее будет писать состояние и предупреждения.

Что касается удаления раздела EXT4 какой-нибуть утилитой или пользователем преднамеренно или случайно.
Ну во первых можно запретить его удалять. Я это не рассматривал пока. Пока жду, может кто-то додумается ;)
Ну а даже, если удалили, то IFW предупредит и можно оперативно восстановить через IFL или TestDisk или...
Что касается ситуации, если файлы в EXT4 повреждены после сбоя питания.
Вообще вероятность утери данных из-за сбоя питания мала ибо раздел используется недолго.
Но если такое все-таки произошло, то ситуация как правило решаемая.
Чуть позже выложу скриншоты или видео как победить...

Список ransomware (вымогателей - шифровальщиков), неполный конечно, можно посмотреть здесь.
З.Ы. Кто-то помнит Petya? У меня знакомый из 'Облэнерго' чуть не поседел после встречи с Петей. Короче люди делятся на тех, кто ещё не делает бэкап и тех, кто уже делает, ибо когда-то не делали! Он кстати делал бекап, но эт ему не помогло. Поэтому добавлю. Люди делятся на тех, кто делает бэкап и тех, кто делает его правильно, ибо когда-то делали неправильно!
Update 28.08.2018. Добавлена инструкция по использованию защитника 'ProtectIt' и как ограничить к-во дифференциальных бекапов. Рекомендую отключить Fast StartUp в Windows 8...10. Это можно сделать в TBPortable через '\TeraByte Drive Image Backup and Restore Suite\utility\FastStartUp_Disable.reg' или в свойствах 'TBI Notify' в трее. При желании включить назад можно через '\TeraByte Drive Image Backup and Restore Suite\utility\FastStartUp_Enable.reg'.
ENJOY


Last edited by dialmak on 2018-08-28 17:33; edited 116 times in total

[Quote]

    nikzzzz
  • 215
  • Longevity: 5 years 10 months
  • Posts: 3245
  • REPUTATION:127

    [+] [-]
dialmak,
Думаю, надо добавить в шапку, что доступ к бэкапам на EXT4 в Windows можно получить с помощью tbexplo.tbs, чтобы людей не пугать. al

[Quote]

    dialmak
  • 2607
  • Longevity: 4 years 9 months
  • Posts: 1054
  • REPUTATION:40

    [+] [-]
nikzzzz, В видео это показано, скоро выложу. Я так понимаю, что внедрить видео в страничку не выйдет?

Information from SunOK


Здесь подсказка. Весь плеер с эскизом кадра не предусмотрен движком...

[Quote]

    dialmak
  • 2607
  • Longevity: 4 years 9 months
  • Posts: 1054
  • REPUTATION:40

    [+] [-]
Выложил видео.
Далее вопрос на сообразительность. Я в данном видео раскрыл только часть уловок для обмана ransomware. Кто догадается что ещё можно предпринять? Малой кровью, буквально пару щелчков клавы и конечно с помощью терабайтовских утилит..

[Quote]

    gera_serg
  • 1171
  • Longevity: 5 years 4 months
  • Posts: 1595
  • REPUTATION:9

    [+] [-]
55245Выложил видео.
Далее вопрос на сообразительность. Я в данном видео раскрыл только часть уловок для обмана ransomware. Кто догадается что ещё можно предпринять? Малой кровью, буквально пару щелчков клавы и конечно с помощью терабайтовских утилит..
имхо, из под Windows удобнее для создания раздела использовать какой-либо партишн-менеджер для виндовс
например портабельный Minitool Partition Wizard... А дальше уже настраивать регулярныеавтоматические бэкапы IFW (если политика фирмы позволяет)... Или вручную, сделал, ушел и никаких следов...

[Quote]

    dialmak
  • 2607
  • Longevity: 4 years 9 months
  • Posts: 1054
  • REPUTATION:40

    [+] [-]
gera_serg,
имхо, из под Windows удобнее для создания раздела использовать какой-либо партишн-менеджер для виндовс
И чем удобнее, не понимаю, качать, ставить, на кой ляд..
И если на то пошло, то в сборнике Image for Windows уже есть партишин менеджер - tbexplo.tbs, в Image for Linux их даже 2 есть.. Только не нужны они для такой задачи..
Я тут спрашивал выше
Кто догадается что ещё можно предпринять?
Так вот как раз для таких вещей и низя юзать стандартный партишин менеджер, мы ж хотим надурить ransomware..
Ладно, подожду месяц, может найдется кто-то, кто догадается что же еще можно сделать для защиты раздела с бэкапом..

[Quote]

    gera_serg
  • 1171
  • Longevity: 5 years 4 months
  • Posts: 1595
  • REPUTATION:9

    [+] [-]
55267И чем удобнее, не понимаю, качать, ставить, на кой ляд..
Главбуху (самому) не удобно полюбому, значит обратится к аиснику, у того на личном носителе, имхо, много вариантов по работе с разделами и tbexplo.tbs - может быть не самым первым из них...
55267можно сделать для защиты раздела с бэкапом..
Не храните яйца в одной корзине
ab

[Quote]

    dialmak
  • 2607
  • Longevity: 4 years 9 months
  • Posts: 1054
  • REPUTATION:40

    [+] [-]
gera_serg,
Не храните яйца в одной корзине
Ну да, но это редкость.
На практике никто не заморачивается или опыта не хватает или денег нет или просто люди не понимают угроз или...
Я просто видел неоднократно глаза заказчика с тупым вопросом в глазах - А меня за что?
значит обратится к аиснику
Я повидал их всяких, процентов 70% ничего не знают, не умеют и могут сделать только хуже...
Короче это не вариант.

[Quote]

    Viktor_Kisel
  • 2625
  • Longevity: 4 years 9 months
  • Posts: 453
  • REPUTATION:33

    [+] [-]
dialmak
Скачать видео удалось по ссылке: https://player.vimeo.com/video/280099368, поэтому просьба добавить ее в шапку.

[Quote]

    dialmak
  • 2607
  • Longevity: 4 years 9 months
  • Posts: 1054
  • REPUTATION:40

    [+] [-]
Viktor_Kisel, оригинальное видео (до обработки в вимео) есть в расшаренной папке

[Quote]

    Ander_73
  • 15549
  • Longevity: 3 years 9 months
  • Posts: 1904
  • REPUTATION:113

    [+] [-]
dialmak,
Мы так и не дождались инструкций, что же делать с "упавшей" Ext4. Или статья ещё не закончена?

[Quote]

    dialmak
  • 2607
  • Longevity: 4 years 9 months
  • Posts: 1054
  • REPUTATION:40

    [+] [-]
Ander_73,
Мы так и не дождались инструкций, что же делать с "упавшей" Ext4. Или статья ещё не закончена?
Ну не совсем закончена. Есть ещё пару нюансов. Один я не освещал ибо сам не проверил тОлком в работе - проверю напишу, второй тут спросил у народа.
А что имеется ввиду под 'упавшей'? Типа удалил раздел кто-то (прога, пользователь) или что-то другое?

[Quote]

    Ander_73
  • 15549
  • Longevity: 3 years 9 months
  • Posts: 1904
  • REPUTATION:113

    [+] [-]
55320А что имеется ввиду под 'упавшей'?
Ну, я же писал - внезапный сбой питания (или вредоносная активность, вызвавшая ресет) и внутренняя целостность ФС нарушилась. Что делать с НТФС "тупой виндовозник" худо-бедно сообразит. А что делать с чужеродной (для винды) ФС?

[Quote]

    nikzzzz
  • 215
  • Longevity: 5 years 10 months
  • Posts: 3245
  • REPUTATION:127

    [+] [-]
Ander_73,
55322А что делать с чужеродной (для винды) ФС?
То-же , что и с родной системой, практически все программы восстановления информации поддерживают Ext4 при работе под windows.

[Quote]

    Ander_73
  • 15549
  • Longevity: 3 years 9 months
  • Posts: 1904
  • REPUTATION:113

    [+] [-]
55323практически все программы восстановления информации поддерживают Ext4
Хуже только ответ "ищи в гугле", имхо.
Если пишется инструкция, то должен быть предусмотрен пункт, что же делать при "крахе" самого бекапа или его части (поскольку рассматривается инкрементый). С указанием программы (или программ) и списка действий.

[Quote]

    dialmak
  • 2607
  • Longevity: 4 years 9 months
  • Posts: 1054
  • REPUTATION:40

    [+] [-]
Ander_73,
поскольку рассматривается инкрементый
Боже упаси. Дифференциальный. Я ж в видео его использовал.
Ясен пень, что можно через какое-то время создать новый базовый и опять диффы делать.. Тут хозяин-барин, зависит от объема данных, объема раздела бэкапа и т.д..
Инкрементный не показывал, чтобы народ не ломал голову.
Для инкрементного по правильному нужно настроить консолидацию в IFW. То есть создание нового базового по каким-то условиям, например времени или к-ва инкрементных бекапов. Там это можно делать автоматически. Смотрите доки. Я не использую.
Что касается ошибок бекапа. Если при бэкапе используется флаг Validate Byte-for-Byte, то ошибки исключены. Validate Byte-for-Byte работает следующим образом.
Первый проход - собственно запись бэкапа на диск.
Второй проход - чтение записи бэкапа и побайтное сравнение с оригиналом на уровне секторов.
Это увеличивает в 2 раза время бэкапа, но дает 100% гарантию результата.

Теперь об информировании. Как я писал - лучше настроить сброс на почту результата бекапа.
Как альтернативный вариант - можно поставить немного другую версию IFW (я позже дам ссылку) - он в трее будет писать состояние и предупреждения. Можно и то и другое вместе.

Что касается удаления раздела EXT4.
Ну во первых можно запретить его удалять. Я это не рассматривал пока. Пока жду, может кто-то додумается ;)
Ну а даже, если удалили, то IFW предупредит и можно оперативно восстановить через IFL или TestDisk или...
Что касается ситуации, если файлы покоцаны.
IFW предупредит, и затем можно в IFL или другом Linux выполнить fsck.ext4
Хотя имхо лучше вначале на всякий пожарный сделать посекторный бэкап в IFL или бэкап в R-Studio !!!
Наверное что-то еще можно предпринять, зависит от ситуации. А вообще вероятность утери данных из-за сбоя питания мала ибо раздел используется пару минут в день.
Что касается ситуации сбоя HDD\SSD
Если данные супер важные - нужен RAID 1 или выше для раздела бэкапа (что в видео и сделано). Другие варианты не знаю.

Page 2 of 8


Display posts:    

Current time is: 25-Nov 10:36

All times are UTC + 3


You cannot post new topics in this forum
You cannot reply to topics in this forum
You cannot edit your posts in this forum
You cannot delete your posts in this forum
You cannot vote in polls in this forum
You cannot attach files in this forum
You can download files in this forum