[Quote]

    dialmak
  • 2607
  • Longevity: 4 years 9 months
  • Posts: 1054
  • REPUTATION:40

    [+] [-]

Что это.
Если Вы никогда не получили письма\файлы 'счастья' как выше, то Вам просто повезло. Как правило везение заканчивается. И очень печально заканчивается, база которую делали 5 лет стОит много, очень много человеко-часов... И люди вынуждены платИть вымогателям $500 - $10 000. Слышал про случай уплаты $1 500 000, хз, вполне допускаю. Иногда инфа просто бесценна.
Вчера обратился чел и сказал, что перестали открываться EXCEL файлы. После обследования его WINDOWS SERVER 2012 R2 я увидел, что все данные пользователей зашифрованы, в том числе и база 1С и бэкапы базы 1C. Заражение было через RDP (тупой подбор пароля, а пароль был 6 цифр), я ему когда ставил сервер - советовал поставить роутер с VPN сервером (ибо он заходил периодически из дома на сервер по RDP), но клиент проигнорировал это - тупо зажмотил $50, ну хозяин-барин. Я как правило адекватно оцениваю угрозы и сразу предупредил, что возможны варианты, чел опять проигнорил. Результат как Вы поняли печальный. Просили в данном случае $500, через 24 часа неуплаты сумма удваивалась.. Сумма конечно не запредельная, но никто ж не гарантирует, что после оплаты все восстановится... Как-то так.
Я принципиально против оплаты вымогателям и в данном конкретном случае все закончилось хорошо. Помог мой вариант бэкапа. Ниже я расскажу что и как позволило восстановить данные. И почему в таком варианте можно спать спокойно и НЕТ СМЫСЛА платить вымогателям.

Иногда везет.
Кстати пару раз встречал фальшивых ransomware (вымогателей - шифровальщиков). Типа детский сад. Ничего не шифруют, просто пугают пользователя, да и просят копейки - типа 500 грн. Как правило прописываются в MBR или PBR, иногда просто удаляют файлы пользователей. Такие ransomware не есть серьёзными и нормальная работа восстанавливается быстро. А удаленные файлы можно без проблем восстановить, к примеру через R-Studio.
Мы защитимся и от реальных ransomware и от фальшивок.

Теория.
1. Бэкап должен быть всегда.
2. Бэкап должен быть автоматическим. Только автоматизированный бэкап, выполняющийся по расписанию, дает нам возможность восстановить относительно актуальные данные - например, от вчера, а не от марта месяца.
3. Бэкап нужно хранить отдельно от данных и минимум 2 недели.
4. Бэкап нужно регулярно проверять.
Ну и самое главное.
0. Бэкап должен лежать в недоступном для ОС хранилище. Кто-то не поймет данное требование, кто-то тупо поржет, но практика показывает, что это самое важное. Ниже рассмотрим детальнее это.
Зачем бэкап и когда он поможет. А точнее когда не поможет?
Предположим , что Вы классный админ и бэкап ложим на том-же компе на другой HDD. Эт не гарантирует ничего ибо наш комп можно скомпроментировать.
Предположим , что Вы классный админ и бэкап ложим на RAID 1 на удаленном компе и на входе стоит маршрутизатор и параметрический брандмауэр . Лучше, но опять же эт не гарантирует ничего ибо удаленный комп, да и сам маршрутизатор можно скомпроментировать.
Когда такое понимаешь, то оторопь берет. Что же делать?
Я не буду мутить воду, в которой умные парни с умным видом Вам рассказывают сказки как защитить комп или сервер с помощью волшебной проги\антивируса. Открою истину. Защитить в принципе можно от элементарных вещей, но от всех угроз нереально. Нет такого, даже отключенный от интернета компьютер вполне возможно заразить, типа человеческий фактор никто не отменял.
Ну типа я так и делаю.
Скорее всего Вы делаете не совсем так. Image for Windows\Linux позволяет положить архив в неподдерживаюмую Windows файловую систему, например Ext2/3/4, ReiserFS или HSF+.
Также мы настроим это все дело для планировщика, и автоматом наши данные будут бэкапироваться без вмешательства админа или пользователя. К бэкапу никто не сможет получить доступ. При желании сам бэкап можно зашифровать паролем. А хотя зачем, ведь любимый Predator или Scarab сами аккуратно все зашифруют. Шутка и иногда очень болезненная!
Ну так у меня стоИт антивирус, спецсофт защиты и т.д.
Не будьте наивными. Эт Вам не поможет. Да, от каких то ransomware стареньких наверное, от новых вряд ли...
Антивирусы и спецпроги НЕ панацея, вымогателей слишком много и появляются они каждый день.
Что же делать?
Мы не будем бегать и искать пиджаки, флешки, USB-HDD, а используем простую прогу Image for Windows\Linux. Ссылка на справку PDF. Вряд ли она Вам понадобиться, ну на всякий пожарный.. Конечно я советую ложить бэкап на другой HDD, а лучше на RAID 1, но если такой возможности нет - мы защитим наш комп\сервер от ransomware (вымогателей - шифровальщиков) и на одном HDD. Типа будет бэкап для бедных, но иногда только он и выручит..

Решение.
Качаем.
Ху эс ху?
Image_for_Windows.7z - прога Image for Windows (для 7 и выше) с доп. плюшками, будет использоваться для бекапа Windows и\или данных, запускать Start_IFW.cmd.
Image_for_Linux_GUI.7z - загрузочная флешка\CD для Legacy\UEFI с прогой Image for Linux с доп. плюшками, будет использоваться для восстановления бекапа, пока не нужна - постучал 'по дереву', дай бог чтоб не пригодилась. Если вдруг нужна - запускать для создания загрузочного носителя makedisk.exe.
EXT4.TBI - бекап раздела EXT4 (20 GB), будем юзать для создания раздела с файловой системой EXT4 прямо из Windows.

План такой.
1. Освобождаем место под будущий раздел для файлов бэкапа.
2. Создаем и форматируем раздел для файлов бэкапа. Собственно мы, как я уже писал выше, можем использовать EXT4, ReiserFS или HFS+. В данном примере будем юзать EXT4.
Конечно, можно было б загрузиться в какой-нибуть LiveCD, например Ubuntu или тот же Image for Linux и оттуда отформатировать свой новый раздел, но эт лишние телодвижения. Мы просто восстановим бэкап EXT4.TBI на свободное место диска и получим желаемый результат. Причем без перегрузки, ибо бухгалтерА как правило не любят когда админ перегружает сервер ;) Ну и замечу, что при восстановлении EXT4.TBI раздел EXT4 мы можем сделать любым по размеру, НО не менее 20 GB. Более можно, менее нет.
3. Далее просто запускаем Image for Windows и создаем полный бекап диска\раздела и ложим его на раздел EXT4. Если Вы хотите делать бэкап не всего раздела, а отдельных папок - см. документацию для Image for Windows\Linux.
4. И настраиваем в планировщике создание дифференциального или инкрементного ежедневного бекапа с сохранением его на раздел EXT4..

В видео все доходчиво и просто, думаю, что процесс понятен.

Далее настоятельно советую настроить чтобы IFW присылал отчеты на email, также можно ограничить к-во дифференциальных бекапов, например 10 штук вполне достаточно. IFW умеет такое автоматом, смотрите документацию, ключ /purge:-n. И можно спать спокойно..
Видео как сделать загрузочную флешку Image for Linux, процесс не быстрый ибо makedisk на лету перепаковывает initrmfs.

И последнее.
Небольшое отступление. На средней фирме (около 100 компов) начал гулять в сети ransomware. Поверьте мне нА словО - там стояли корпоративные антивирусы, параметрический брандмауэр, даже стоял Snort, ClamAV, SquidGuard и другие плюшки. Ничего не сработало! Карл, даже Snort не пискнул! Я был в шоке.. Сработал только SECURE BOOT. Все компы БЕЗ включенного SECURE BOOT были скомпроментированы. Я восстановил нормальную работу фирмы за 3 часа! Это очень круто, если учесть, что было скомпроментировано 15 компов. Даже не знаю, чтоб было, если б все заразились, эт был бы просто абзац.
Поэтому закроем доступ вирусняку к ОС на уровне загрузчика. Не пренебрегайте таким уровнем защиты!
Если комп поддерживает UEFI - ОБЯЗАТЕЛЬНО включите SECURE BOOT.
Если комп поддерживает UEFI и CSM - ОБЯЗАТЕЛЬНО отключите CSM и включите SECURE BOOT.
Если комп поддерживает UEFI и CSM и ОС уже давно установлена и стоИт в MBR, то крайне советую перевести диск в GPT. Пример. Делается эт одной командой из TBOSDT в WinRE\PE c Image for Windows или из TBOSDT в Image for Linux
run chgdtype.tbs
После перевода MBR - > GPT - отключите CSM и включите SECURE BOOT.
Если здоровья хватит - то напишу отдельный пост что такое Shim, PreLoader, MOKManager, HashTool и т.д. Этот вопрос требует отдельного поста или даже темы. Отложим пока..

Советы, проблемы и решения.
Обязательно при бэкапе используйте флаг Validate Byte-for-Byte. Если он включен, то ошибки исключены.
Validate Byte-for-Byte работает следующим образом.
Первый проход - собственно запись бэкапа на диск.
Второй проход - чтение записи бэкапа и побайтное сравнение с оригиналом посекторно.
Это увеличивает в 2 раза время бэкапа, но дает 100% гарантию результата.

Виды бэкапа. Используйте или полный или дифференциальный бэкапы. С ними меньше проблем, чем с инкрементнымм.
Для инкрементных бэкапов нужно настроить консолидацию в IFW. То есть создание нового базового по каким-то условиям, например времени или к-ву инкрементных бекапов. Смотрите доки. Я не использую.
При любых проблемах стОит посмотреть детальный лог . Цитата из Image for Windows User Manual (Page 129):
/logl:n LogLevel=n
Causes less or more information to be output to the log file. Use level 1 for errors only, 2 for warnings, 3 for status, 4 for information, 9 for debugging, 10 for debugging with flush. For example, use /logl:3 to specify status level logging. If using 10 or higher, the /email option will be ignored (emails will not be sent) unless logging is disabled for the operation.
Default if omitted: Informational level logging is performed.
Пишут, что детальный лог 10 уровня можно включить двумя путями. Через ключ /logl:10 или добавить в секцию Options файла ifw.ini строчку LogLevel=10.
Некоторые варианты решений проблем описаны здесь...
Что касается физического сбоя HDD\SSD.
Если данные супер важные - нужен RAID 1 или выше для раздела бэкапа (что в видео и сделано). Другие варианты не знаю.
Своевременное информирование по email. Настройте автоматическую пересылку на почту результата бекапа. Пример настройки для Gmail.
Можно использовать существующий аккаунт, но лучше создайте какой-нибудь новый аккаунт на Gmail. Так секюрнее.
Настройте в IFW примерно так

Далее зайдите в настройки нового аккаунта Google и разрешите доступ к почте небезопасных приложений.
https://support.google.com/mail/answer/7126229
https://support.google.com/accounts/answer/6010255
https://myaccount.google.com/lesssecureapps
https://www.google.com/accounts/DisplayUnlockCaptcha
После получения письма о подтверждении можно попробовать нажать Test и убедиться, что все работает.
В поле Subject можно использовать переменные:
~ec~ – Numeric error code for operation
$~EC$ – Numeric error code for operation
$~OP$ – Operation (Backup, Validate, etc.)
$~ECT$ – Error code text: Succeeded or Failed
$~ET$ – Elapsed time
Пример письма при использовании в поле Subject фразы: The $~OP$ Operation $~ECT$. Run Time: $~ET$
В теме письма сразу видно результат операции успешно\неуспешно и сколько времени занял бекап.

Своевременное информирование в трее.
Также можно использовать расширенную версию IFW из сборки TBPortable - в трее будет писать состояние и предупреждения.

Что касается удаления раздела EXT4 какой-нибуть утилитой или пользователем преднамеренно или случайно.
Ну во первых можно запретить его удалять. Я это не рассматривал пока. Пока жду, может кто-то додумается ;)
Ну а даже, если удалили, то IFW предупредит и можно оперативно восстановить через IFL или TestDisk или...
Что касается ситуации, если файлы в EXT4 повреждены после сбоя питания.
Вообще вероятность утери данных из-за сбоя питания мала ибо раздел используется недолго.
Но если такое все-таки произошло, то ситуация как правило решаемая.
Чуть позже выложу скриншоты или видео как победить...

Список ransomware (вымогателей - шифровальщиков), неполный конечно, можно посмотреть здесь.
З.Ы. Кто-то помнит Petya? У меня знакомый из 'Облэнерго' чуть не поседел после встречи с Петей. Короче люди делятся на тех, кто ещё не делает бэкап и тех, кто уже делает, ибо когда-то не делали! Он кстати делал бекап, но эт ему не помогло. Поэтому добавлю. Люди делятся на тех, кто делает бэкап и тех, кто делает его правильно, ибо когда-то делали неправильно!
Update 28.08.2018. Добавлена инструкция по использованию защитника 'ProtectIt' и как ограничить к-во дифференциальных бекапов. Рекомендую отключить Fast StartUp в Windows 8...10. Это можно сделать в TBPortable через '\TeraByte Drive Image Backup and Restore Suite\utility\FastStartUp_Disable.reg' или в свойствах 'TBI Notify' в трее. При желании включить назад можно через '\TeraByte Drive Image Backup and Restore Suite\utility\FastStartUp_Enable.reg'.
ENJOY


Last edited by dialmak on 2018-08-28 17:33; edited 116 times in total

[Quote]

    apostol
  • 2692
  • Longevity: 4 years 9 months
  • Posts: 252
  • REPUTATION:1

    [+] [-]
Меняем дату на 10 дней вперед и запускаем задание из планировщика, затем опять на 10 дней вперед (итого будет 20 дней от реальной текущей даты) и опять запускаем задание из планировщика.
а это где дату менять, в самой Windows?
Проверяем работу драйвера 'ProtectIt'. Пробуем удалить дифф бэкап из проводника (если раздел EXT4, то предварительно монтируем его для записи через 'Ext2Fsd'). Если удалить не получилось - идем пить пиво (удалив конечно 'Ext2Fsd').
что значит: удалив конечно 'Ext2Fsd'?

[Quote]

    korsak7
  • 107
  • Longevity: 5 years 11 months
  • Posts: 847
  • REPUTATION:55

    [+] [-]
dialmak, а можно ли и как в папку '\TeraByte_TBI_Backups' что-нить еще положить сокровенное и нажитое непосильным трудом - например архив с котиками? Ну то есть если не стопить 'ProtectIt' и не через IFW.

[Quote]

    dialmak
  • 2607
  • Longevity: 4 years 9 months
  • Posts: 1054
  • REPUTATION:40

    [+] [-]
korsak7, Можно. Создай папку в '\TeraByte_TBI_Backups' и ложи чего хочешь.
Если не стопить, то только через Terabyte Explorer, там и картинки есть. Естественно и копировать\вставлять файлы\папки тоже им.
Ну или стопорнуть 'ProtectIt' и через проводник. Потом опять стартануть 'ProtectIt'.
apostol,
а это где дату менять, в самой Windows?
Ну хочешь в BIOS или в винде или что там у тебя..
что значит: удалив конечно 'Ext2Fsd'?
Размонтировать раздел через 'Ext2Fsd' (если был смонтирован) и деинсталлировать 'Ext2Fsd' стандартным способом через Установку\удаление программ или чего там у тебя...
После инсталляции и деинсталляции 'Ext2Fsd' требуется перезагрузка.
ALL Добавил в расшаренную папку исправленный вариант TBPortable_3.21. Полное описание здесь.
Рекомендую отключить Fast StartUp в Windows 8...10. Это можно сделать через '\TeraByte Drive Image Backup and Restore Suite\utility\FastStartUp_Disable.reg' или в свойствах 'TBI Notify' в трее. При желании включить назад можно через '\TeraByte Drive Image Backup and Restore Suite\utility\FastStartUp_Enable.reg'.

[Quote]

    apostol
  • 2692
  • Longevity: 4 years 9 months
  • Posts: 252
  • REPUTATION:1

    [+] [-]
dialmak
Можно также сделать вариант, основанный не на времени, а на к-ве дифф бэкапов.
А это как сделать (на мой взгляд удобнее будет)?

[Quote]

    dialmak
  • 2607
  • Longevity: 4 years 9 months
  • Posts: 1054
  • REPUTATION:40

    [+] [-]
apostol,
удобнее будет
Чем?
Будет время - сделаю. Он будет сложнее ибо ключика такого нет, нужно писать TBS скрипт, разберитесь вначале с этим вариантом.

[Quote]

    apostol
  • 2692
  • Longevity: 4 years 9 months
  • Posts: 252
  • REPUTATION:1

    [+] [-]
56789apostol,
удобнее будет
Чем?
Будет время - сделаю. Он будет сложнее ибо ключика такого нет, нужно писать TBS скрипт, разберитесь вначале с этим вариантом.
Например, для домашнего использования вполне хватит 3-х Дифференциальных бэкапов (зачем лишнее место на диске занимать). Если в планировщике создать задачу с ключом purge:-3, то например при включении ПК после простоя более 3-х дней, удалятся ВСЕ ранее созданные бэкапы и будет создан один новый (если я правильно понял механизм). Но могут быть случаи, когда система на текущий момент имеет не самое лучшее состояние и лучше использовать ранее созданные бэкапы для её восстановления - НО их уже нет! А если использовать вариант, основанный не на времени, а на к-ве дифф бэкапов, то всегда будет в запасе 3 бэкапа - восстанавливай любой на выбор!

[Quote]

    dialmak
  • 2607
  • Longevity: 4 years 9 months
  • Posts: 1054
  • REPUTATION:40

    [+] [-]
apostol, Для дома хз, в общем и один бекап достаточно для котиков. Ну можно и слепить конечно.. Посмотрю.
На офсайте есть какие-то скрипты, посмотрите. Если включен 'ProtectIt', то возможно они не сработают. Нужно проверять. Ну и для файлов на разделе EXT4 они конечно не сработают.
удалятся ВСЕ ранее созданные бэкапы и будет создан один новый (если я правильно понял механизм)
Наоборот. Вначале создается новый и если он успешен, то будут удалены все старше дней указанных в purge, для /purge:-3 удалит все бэкапы старше 3 дней

[Quote]

    korsak7
  • 107
  • Longevity: 5 years 11 months
  • Posts: 847
  • REPUTATION:55

    [+] [-]
56786korsak7, Можно. Создай папку в '\TeraByte_TBI_Backups' и ложи чего хочешь.
Если не стопить, то только через Terabyte Explorer, там и картинки есть. Естественно и копировать\вставлять файлы\папки тоже им.
Ну или стопорнуть 'ProtectIt' и через проводник. Потом опять стартануть 'ProtectIt'.
Хотелось бы без стопа, ибо несекурно. А вдруг в этот момент зловред шарится по диску ai
Я так понимаю для tbosdtw эта папка тоже доступна. А если написать скрипт для tbosdtw - копирование файлов снаружи в эту папку, это сработает? или например запуск 7z который напрямую в эту папку архивирует?

[Quote]

    dialmak
  • 2607
  • Longevity: 4 years 9 months
  • Posts: 1054
  • REPUTATION:40

    [+] [-]
korsak7,
Хотелось бы без стопа, ибо несекурно. А вдруг в этот момент зловред шарится по диску
Вряд ли, но береженого бог бережет... af
Я так понимаю для tbosdtw эта папка тоже доступна. А если написать скрипт для tbosdtw - копирование файлов снаружи в эту папку, это сработает
Ну да. Пример копирования папки с предварительным созданием ее.
В общем так не очень хорошо. Ибо
- не поддерживается иврит, кириллица и т.п.
- для копирования в неподдерживаемую виндой файловую систему или без буквы требуется предварительно монтировать раздел\том через mount, в примере выше этого нет
- нет обработчика ошибок.
Для того, чтобы было хорошо нужно писать TBS скрипт.
Хотя мне не совсем понятно зачем придумывать велосипед.
Есть же Terabyte Explorer, он умеет всё что нужно и не нужно в данной задаче.

[Quote]

    korsak7
  • 107
  • Longevity: 5 years 11 months
  • Posts: 847
  • REPUTATION:55

    [+] [-]
- не поддерживается иврит, кириллица и т.п.
пацаны дружащие с ивритом вывернутся, им не привыкать aa
а кто любит системные имена с кириллицей и пробелами - пусть юзают Акронис af
Хотя мне не совсем понятно зачем придумывать велосипед.
Есть же Terabyte Explorer, он умеет всё что нужно и не нужно в данной задаче.
Тю. А если мне нужно регулярно бэкапить папку с 1цэ или котиками? Предлагаешь планировщик втопку и ручками в недружелюбном гуе регулярно мувить?

[Quote]

    dialmak
  • 2607
  • Longevity: 4 years 9 months
  • Posts: 1054
  • REPUTATION:40

    [+] [-]
56902А если мне нужно регулярно бэкапить папку с 1цэ или котиками?
Ну так и скажи, что хочешь поизвращаться и делать скриптом.. ag
Могу написать TBS, там тупо. А раздел для бекапа с какой ФС будет?

[Quote]

    korsak7
  • 107
  • Longevity: 5 years 11 months
  • Posts: 847
  • REPUTATION:55

    [+] [-]
Так я и сказал сразу про скрипт. Да это вроде априори разумеющимся для тебя должно быть ai
раздел для бекапа - NTFS
Вот например так
tbosdtw gohran.tbs move|copy d:\dobro\kotiki d:\TeraByte_TBI_Backups\kotiki
и наоборот
===
хотя по идее даже может и не нужен универсальный скрипт, а просто рыба скрипта, которая правится под каждый конкретный случай.

[Quote]

    dialmak
  • 2607
  • Longevity: 4 years 9 months
  • Posts: 1054
  • REPUTATION:40

    [+] [-]
Может попроще - cкрипт сам найдёт защищенную папку TeraByte_TBI_Backups или ты их несколько хочешь сделать?
tbosdtw copy.tbs "d:\dobro\kotiki"

[Quote]

    korsak7
  • 107
  • Longevity: 5 years 11 months
  • Posts: 847
  • REPUTATION:55

    [+] [-]
Ты слишком далеко заглядываешь ab
Так норм?
__kotiki.tbs
sub main()
  md /s /q "d:\TeraByte_TBI_Backups\kotiki"
  copy file /s /y /q "d:\dobro\kotiki" "d:\TeraByte_TBI_Backups\kotiki"
end sub
Я так понимаю "move" у них нет?
а такое в скрипте прокатит?
EXEC 7z.exe a "d:\TeraByte_TBI_Backups\kotiki.7z" "d:\dobro\kotiki\*.*"

[Quote]

    dialmak
  • 2607
  • Longevity: 4 years 9 months
  • Posts: 1054
  • REPUTATION:40

    [+] [-]
korsak7,
Так норм?
Не, copy эт команда TBOSDT, скрипт TBS об этом ничего не знает, нужно так
ext("copy file ^"1^" ^"2^" -yq")
Или сделать RUN скрипт, тогда так
md /s /q "d:\TeraByte_TBI_Backups\kotiki"
copy file /s /y /q "d:\dobro\kotiki" "d:\TeraByte_TBI_Backups\kotiki"
Я так понимаю "move" у них нет?
COPY+DEL
а такое в скрипте прокатит?
В RUN прокатит, в TBS нет, там нужно юзать ext
7z.exe сможет только читать из TeraByte_TBI_Backups

Page 5 of 8


Display posts:    

Current time is: 25-Nov 11:16

All times are UTC + 3


You cannot post new topics in this forum
You cannot reply to topics in this forum
You cannot edit your posts in this forum
You cannot delete your posts in this forum
You cannot vote in polls in this forum
You cannot attach files in this forum
You can download files in this forum