Názory k článku Ransomware, hrozba na vzestupu. Nebylo lepší, když nám viry nedávaly na výběr?

ransomware na vzestupu... Podekujte bitcoinu ;)

LUPA není server typu idnes rubrika Technet pro naprosté začátečníky a amatéry.. tohle je server pro IT profesionály, kteří zkrátka nepotřebují žádné vodění za ručičku.. to byste tady za chvíli mohl napadat kdejaký článek, že je v něm tuny odborných termínů a bez jakéhokoliv "laického úvodu" řeší přímo určitý problém.

takže opravdu nevidím důvod, proč by na takto vysoce specializovaném serveru měla být něco jako "mateřská školka" pro chudáčky, kteří nevědí, co je to ransomware..

zkuste CrashPlan:
- deduplikace
- sifrovani
- i ve free verzi lze zalohovat na svoji dalsi masinu s CrashPlanem.
- osobne mi pripada jednoduchy na obsluhu
- bezi i na NAS (na ARMu uz jen stara verze, na x86 bez problemu)

Potom se ptam .. proc sem z toho Zive chodite?

Jedu už pár let na crashplan.com - sice placené, ale za ty peníze to stojí. Perfektně napsaný klient, už v defaultním nastavení zálohuje vše podstatné a naopak vynechává všechny tempy. Komu základní nastavení nestačí, může si s tím detailně pohrát. Dá se omezit rychlost synchronizace, takže mi nezahlcuje mé 2Mb uploadu na VDSL (akorát prvotní záloha trvala měsíc, ale od té doby už se synchronizují jen změny, takže OK). Když to přestane fungovat, pošle mailem upozornění. A v neposlední řadě umožňuje na klientovi nastavit vlastní šifrovací klíč, který se do cloudu neposílá - takže data odcházejí už zašifrovaná a provozovatel je dešifrovat nedokáže (jo, nemusí to být pravda - ale nemyslím, že by měli důvod v tomhle lhát); samozřejmě je to pak s rizikem, že když uživatel ztratí klíč, přišel o data (na což SW korektně několikrát upozorní, aby se pak uživatel nedivil :)

Neviem, čo v tom článku mala znamenať tá poznámka o Linuxe, to jako že keď mne zdechne koza, tak nech zdechne aj susedovi ? Win sú hnilý systém od gruntu, zabalený do pozlátka, platforma na sirenie kadejakeho sajrajtu a vytahovanie penazi na antiviry, servis, zachranu dat a kadejake ine sprostosti a novy pocitač pri kazdej novej verzii. Pred par rokmi sa to po inštalácii nedalo pripojit bez antiviru k internetu, lebo sa to same cez dieru v TFTP zavirilo do 10 min, včul je to to same len v modrem, to sa jako tí pucipajtaši v Mikrosrote za tie roky nič nenaučili ?

Tady se ale jednalo o běžné klientské stanice, kde je browser a office. Tam bylo právě těch nejvíce napadených.

Je videt ze jsi nikdy nespravoval nejaky komplexni system ... mit mesic na aktualizaci (znam systemy kde priprava a otestovani aktualizace zabere dva roky) opravdu nemusi stacit a resi se to jinymi metodami (virtual patching, architektura, perimetr) ...

Prekvapive opravdu otestovani a nasazeni zaplat nejakou dobu trva, a u vetsich korporaci klidne muze trvat meic nez se zaplaty dostanou pres testovaci prostredi do live nasazeni. Na druhou stranu tam vetsinou s napadenim zalohovacich systemu problem nebyva, protoze jsou dost oddelene.....

Pokud vy mate automaticky schvalene zaplaty na nejake vetsi siti, o profesionalite to moc nesvedci....on MS obcas vydava pekne sunty.

Souhlasím, inkubační doba je pro ransomware zároveň i riziko.

Nicméně bych se trochu bál, aby antivir se „zablokováním“ zároveň neodstřelil i to transparentní dešifrování :-)

Tohle se asi hodí do "odborné" diskuze na Zive :-)

Staci nepouzivat Malymeky :-D

Mám to jinak, protože zálohuji více zařízení a NAS neví, kdy jsou puštěná. Každý uživatel má na NASu vlastní složku, jinam nemůže. Zálohovací script provede na zařízení zálohy lokálně (něco trvá docela dlouho), pak si namapuje svou složku na NASu, zálohy se zkopírují a hned se odpojí. NAS potom změní vlastníka souborů a pro původního se stanou read-only, tj. příští připojení zařízení už jim neublíží, i kdyby bylo napadené. Stejný script na NASu maže soubory po určité době, ale nechává zálohu i když je starší pokud je jen jedna, tj. po smazání by nezbyla žádná.

Oni nekteri uzivatele, narozdil od vas, potrebuji aby jim fungovala nejaka aplikace, a nemaji naladu nekolikrate mesicne resit, proc neco uz zase nefunguje.

Zato jsou opravdu nadseni z toho, kdyz jim jisty system vypne firewall/povoli zakazane porty/... protoze tak je to spravne a tak to ma byt.

H jako Hloupost

Poslední vlna ukázala, že za vším je opět jen hloupost a neschopnost, jak uživatelů, tak IT správců ve firmách. Chyba ve Windows, která byla poprvé zneužita pro šíření, byla již měsíc předtím opravena a tato oprava byla dostupná všem. Že se najdou "chytří" uživatelé, kteří věří různým blábolům o prospěšnosti neinstalovat aktualizace, nebo ještě hůře neschopní správci IT, kteří ani za měsíc nejsou schopni aplikovat opravu, to je jen důkaz naprosté neschopnosti. A s tím se bojuje těžko.

Já jenom doufám, že během inkubační doby, kdy bude Ransomware všechno šifrovat a potom zase všechno transparentně dešifrovat = že tuto činnosti můj antivirový detekuje a minimálně mi to oznámí, v lepším případě zablokuje.

Je to marný, je to marný a ještě jednou je to marný.
Žádný jednoduchý recept - co dělat a co nedělat - pro IT laiky neexistuje a proto - dělejte si pravidelně zálohy a v žádném případě neplaťte výkupné. V případě že je už pozdě a máte už zašifrované nějaké životně důležitá data, kupte si nový disk do PC na který nainstalujte nový operační systém, původní disk z počítače uschovejte a doufejte, že se za nějakou dobu najde nástroj k odšifrování vašich dat.

Na ransomwaru je nejsviňštější, jak těžká proti němu je obrana. Externí disk ve skříni zmíněný v článku totiž není žádné řešení. Teda je to sice lepší než vůbec nic, ale tohle pomůže jen proti hloupějším ransomwarům.

Ransomware se totiž může usídlit v počítači, všechno zašifrovat, a teď pozor: jenom čekat. Běží jen v paměti, všechno transparentně dešifruje (takže uživatel nic zvláštního nezpozoruje, protože mu všechno funguje). A takhle může čekat třeba měsíc. Mezitím bude člověk pracovat s různými síťovými, externími disky… V okamžiku, kdy si řekne o výkupné, vám bude záloha na externím disku houby platná, protože pokud jste ji během inkubační doby strčili do počítače, už je zašifrovaná (a pokud jste v té době nezálohovali, asi ta záloha zas bude docela stará).

Přemýšlel jsem co s tím, a vymyslel dvě řešení:

1) na úrovni roota dělat snapshoty disku (read only snapshoty!). Uživatel nesmí mít možnost snapshoty přepsat ani smazat. Odmazávají se samy třeba po půl roce. Tohle řešení má výhodu v tom, že když ransomware bude šifrovat celý disk, dojde k přepsání všech dat, takže stoupne spotřeba místa na dvojnásobek (a uživatel si toho všimne). Nevýhoda je zjevná; když se ransomware dostane na roota, jste v loji. Navíc musíte řešit nějakou další pořádnou zálohu, kdyby třeba odešel disk.

2) zálohovat na jiné autonomní(!) zařízení. Třeba na NAS nebo obecně jiný počítač. Počítač nesmí mít právo zápisu na NAS přímo, aby při napadení NAS nezašifroval. NAS nesmí mít zase právo zápisu na počítač, aby infekce nešla ani druhým směrem. Mělo by to být tak, že NAS bude mít přístup k počítači jen ke čtení a v nějakých intervalech ho bude zálohovat k sobě. Pak vytvoří snapshot. Tohle řešení mám já; NAS má read-only přístup do počítače, rsyncne data k sobě, udělá snapshot na Btrfs. Snapshoty se automaticky rotují.

Druhé řešení je dobré, ale těžké na nastavení i na provoz. Nevím, jak tohle může zvládnout BFU, ten je prostě v loji (nebo spoléhat na ten nicneřešící externí disk). Myslím, že ransomware ještě hodně zamává tím, jakým způsobem zálohujeme data…