Robot_NagNews Опубликовано 17 июля, 2017 · Жалоба Материал: “Вирусная атака, равной которой ещё не было, захватила весь мир”, - удивительно, но мы даже особо удивляться таким новостям перестали. Полный текст Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Sergey Gilfanov Опубликовано 17 июля, 2017 · Жалоба Защиту от шифровальщиков надо делать с другой стороны - считать зашифрованные данные уже утраченными и бороться с подобным этим вместе с другими способами все потерять. Не только же зловреды к утере данных приводят. Но в дополнении нещадно наказывать любые попытки авторам вымогателя заплатить. Ибо нефиг. Не будут платить - не будет и большинства шифровальщиков. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
SpheriX Опубликовано 17 июля, 2017 · Жалоба Не будут платить - не будет и большинства шифровальщиков. Борьба с изнасилованиями превентивной кастрацией. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
st_re Опубликовано 17 июля, 2017 · Жалоба Защиту от шифровальщиков надо делать с другой стороны - считать зашифрованные данные уже утраченными и бороться с подобным этим вместе с другими способами все потерять. Не только же зловреды к утере данных приводят. Ну в отличии от сдох HDD, тут сам бакап должен быть недоступен шифровальщику. бакап на съемный носитель, когда носителей физически недоступных более 2-х, вещь конечно хорошая, но немного дороговата для большого количества народу. А бакап на локально подключенный usb диск или на подмонтированную шару, снимает проблему с пропаданием данных по большинству причин, но вот шифровальщик скорее всего их тоже пошифрует. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Sergey Gilfanov Опубликовано 17 июля, 2017 · Жалоба Борьба с изнасилованиями превентивной кастрацией. Не понял логики. А бакап на локально подключенный usb диск или на подмонтированную шару, снимает проблему с пропаданием данных по большинству причин, но вот шифровальщик скорее всего их тоже пошифрует. Направление выделенного неправильное. Нужно не класть бакап на удаленный копьютер, дав доступ к нему на запись. А удаленный компьютер должен забрать данные для бакапа со специально предназначенной для этого службы на локальном. Которая служба по дизайну read-only. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
st_re Опубликовано 17 июля, 2017 · Жалоба что сразу удорожает систему бакапа в разы :) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Sergey Gilfanov Опубликовано 17 июля, 2017 · Жалоба что сразу удорожает систему бакапа в разы :) Да разве? В простейшем случае в любом случае есть две железки. Тут ничего не меняется. Теперь на том компе, который бакапится, делаем ту самую шару. В read-only режиме и доступом только одному специальному пользователю. А бакап сервер тупо их на себя копирует. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
st_re Опубликовано 17 июля, 2017 · Жалоба если первое готовят мальчики на коленке, то, почему то, второе они не готовят. А те кто готовят второе, часто хотят больше денег, чем мальчики... а часто бывает вообще USB диск самый большой на сегодня по объему в соседнем лабазе и софт с него же и даже без мальчика... от "ой стер" и "ой диск помер" помогает... а вот от шифровальщика нет.. ну и не забываем что петя с ванакраем лазят через ваши права по соседям и в дыру тоже лазят.. если на втором серервере тоже винда, то надо, чтобы ваших прав туда попасть не хватало, и патчи стояли... Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Sergey Gilfanov Опубликовано 17 июля, 2017 · Жалоба ну и не забываем что петя с ванакраем лазят через ваши права по соседям и в дыру тоже лазят.. если на втором серервере тоже винда, то надо, чтобы ваших прав туда попасть не хватало, и патчи стояли... Именно поэтому нужно, чтобы бакап сервер забирал данные, а не на него складывали. Если он просто забирает - то он может вообще сеть не слушать или его можно намертво файрволлом прикрыть. Если же мы пытаемся складывать - то так, увы, не получится. Ну и, разумеется, от виндовых шар придется отказаться и писать таки бакап-демона для компов. Виндовые шары не очень хорошо работают, когда сеть отфильтрована. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
fhunter Опубликовано 17 июля, 2017 · Жалоба Ну в отличии от сдох HDD, тут сам бакап должен быть недоступен шифровальщику. бакап на съемный носитель, когда носителей физически недоступных более 2-х, вещь конечно хорошая, но немного дороговата для большого количества народу. А бакап на локально подключенный usb диск или на подмонтированную шару, снимает проблему с пропаданием данных по большинству причин, но вот шифровальщик скорее всего их тоже пошифрует. Backup на съёмный носитель ущербен по своей сути. ИМХО. Выдернули неудачно этот usb-диск и всё - нет на нём файловой системы, битая она.. и бэкапов тоже нет. Только как один из промежуточных вариантов, для оперативного бэкапа часто меняющихся данных. С более редким бэкапом на сетевое хранилище. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Sergey Gilfanov Опубликовано 17 июля, 2017 · Жалоба А бакап на локально подключенный usb диск или на подмонтированную шару, снимает проблему с пропаданием данных по большинству причин, но вот шифровальщик скорее всего их тоже пошифрует. Хм. Надо попробовать фийловую систему UDF в DVD режиме на внешний финт поставить. По идее, в этом режиме данные принципиально не переписываются, а просто изменения дописываются в еще свободное место. Чтобы затереть такое, зловреду придется ходить мимо драйвера файловой системы, что должно легко ловиться. Backup на съёмный носитель ущербен по своей сути. ИМХО. Выдернули неудачно этот usb-диск и всё - нет на нём файловой системы, битая она.. и бэкапов тоже нет. Оно же от подобного сценария, возможно. помогает. В случае битости - ищется предыдущая версия карты файлов. Только как один из промежуточных вариантов, для оперативного бэкапа часто меняющихся данных. С более редким бэкапом на сетевое хранилище. А это - на соседний внутренний винт. Не подмотированный в систему - большая часть бакапного софта так умеет. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
edo Опубликовано 17 июля, 2017 · Жалоба Надо попробовать фийловую систему UDF в DVD режиме на внешний финт поставить не проще что-то со снапшотами, ту же zfs? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Ivan_83 Опубликовано 17 июля, 2017 · Жалоба Но в дополнении нещадно наказывать любые попытки авторам вымогателя заплатить. Ибо нефиг. Не будут платить - не будет и большинства шифровальщиков. Так будут заказывать конкуренты. не проще что-то со снапшотами, ту же zfs? Там и без того копи он врайт. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
edo Опубликовано 17 июля, 2017 · Жалоба Там и без того копи он врайт. это про что? udf или zfs? просто cow мало, нужен удобный доступ к прошлой версии файла Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Sergey Gilfanov Опубликовано 18 июля, 2017 · Жалоба не проще что-то со снапшотами, ту же zfs? Потому что сценарий если первое готовят мальчики на коленке, то, почему то, второе они не готовят. А те кто готовят второе, часто хотят больше денег, чем мальчики... а часто бывает вообще USB диск самый большой на сегодня по объему в соседнем лабазе и софт с него же и даже без мальчика... от "ой стер" и "ой диск помер" помогает... а вот от шифровальщика нет.. не предусматривал компьютер, который zfs умеет. Да и уж больно страшно-сложное оно. А UDF (1) Есть из коробки в любой винде кроме самых древних (2) задумывалась для использования в write-once режиме. Я не уверен, что про zfs можно сказать то же самое. Там и без того копи он врайт. Я не уверен, что это про то. Если просто скопировать, то да, копии не создается, новые блоки запишутся только когда в новый файл писать начнешь. Но вот что оно делает, когда я файл открыл и в него же писать начинаю? Что-то мне кажется, что в отсутствии снапшота оно именно что в старые блоки файла все и запишет. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Ivan_83 Опубликовано 18 июля, 2017 · Жалоба Но вот что оно делает, когда я файл открыл и в него же писать начинаю? Что-то мне кажется, что в отсутствии снапшота оно именно что в старые блоки файла все и запишет. В том то и беда что оно всегда пишет рядом. Когда транзакция заканчивается то оно пишет служебку что вот теперь есть новая версия файла. Это защита от сбоев. А заодно геморой когда тебе нужно гарантированно удалять данные с диска. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Sergey Gilfanov Опубликовано 18 июля, 2017 · Жалоба В том то и беда что оно всегда пишет рядом. Когда транзакция заканчивается то оно пишет служебку что вот теперь есть новая версия файла. <после кратковременного гугления>Ну, ок. Но ведь после этого то, что должны были переписать - оно в список свободных блоков добавляется и может быть заново использовано? Если снапшота не сделали, по которому старый вариант должен быть доступен? А UDF в Write Once режиме этого не делает. Если уж записали - то так оно и лежит. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
edo Опубликовано 18 июля, 2017 · Жалоба Да и уж больно страшно-сложное оно. гхм... интерфейс наружу там простой, внутри - честно скажу, не смотрел, но в данном случае можно рассматривать как чёрный ящик. (2) задумывалась для использования в write-once режиме. Я не уверен, что про zfs можно сказать то же самое. гхм. место на диске не бесконечное же, так или иначе хранить ВСЕ старые версии файлов не выйдет. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
edo Опубликовано 18 июля, 2017 · Жалоба (1) Есть из коробки в любой винде кроме самых древних в винде сейчас тоже что-то есть в этом роде, деталей не помню, надо гуглить Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Sergey Gilfanov Опубликовано 18 июля, 2017 · Жалоба гхм. место на диске не бесконечное же, так или иначе хранить ВСЕ старые версии файлов не выйдет. Так и не надо. Как место кончилось - положил на полочку и начал новый том на новом диске. Как тот кончился - этот снял с полки, отформатировал и начал заново. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
IPaddress.ru Опубликовано 18 июля, 2017 · Жалоба Как насчет варианта на компьютерах юзеров монтировать /home с noexec? От себя тогда они ничего принесенное "с собой" выполнить не смогут. Не знаю, правда, есть ли в Windows подобная возможность. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Ivan_83 Опубликовано 18 июля, 2017 · Жалоба Ну, ок. Но ведь после этого то, что должны были переписать - оно в список свободных блоков добавляется и может быть заново использовано? Да, но там видимо длинная fifo очередь. Как насчет варианта на компьютерах юзеров монтировать /home с noexec? От себя тогда они ничего принесенное "с собой" выполнить не смогут. Идея хорошая, но: 1. от скриптов и интерпретируемого это не защищает 2. ~/bin бывает используется 3. вайн, как же вайн!? Не знаю, правда, есть ли в Windows подобная возможность. Там есть механизм по круче: можно задать пути откуда можно/нельзя запускать, можно чёрные и белые хэши файлов, ну отдельно глобальный список расширений. Я как то включил полностью для профиля и ярлыки перестали работать, было не удобно, а про список расширений я тогда не знал, потому выключил и оставил запрет только для временных файлов и кешей браузеров, что добавляет неудобства ибо сразу из инета запустить ничего не получится - нужно в начале скачать в нормальную папку и потом уже запускать, но это хорошо. А ещё раньше мс выкладывал тулсу в исходниках, она чистила ACL процесса, после чего прога не могла ничего на диск писать :) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
vodz Опубликовано 19 июля, 2017 · Жалоба Там есть механизм по круче: можно задать пути откуда можно/нельзя запускать Это вы про политики? Это не механизм, это самый примитивнейший костыль, который каждый дурак сможет сделать с таким же эффектом. Это просто записи в реестре. Кто хочет, тот их читает и им подчиняется. Не больше. На эти записи бывает даже сама Майкрософт забивает. Примитивнейший пример: можно запретить устанавливать сетевые принтеры пользователю. Угу. Но если пойти в Help, найти там "как установить сетевой принтер", ткнуть на ссылку и вуаля - всё работает. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
fhunter Опубликовано 19 июля, 2017 · Жалоба Там есть механизм по круче: можно задать пути откуда можно/нельзя запускать Это вы про политики? Это не механизм, это самый примитивнейший костыль, который каждый дурак сможет сделать с таким же эффектом. Это просто записи в реестре. Кто хочет, тот их читает и им подчиняется. Не больше. На эти записи бывает даже сама Майкрософт забивает. Примитивнейший пример: можно запретить устанавливать сетевые принтеры пользователю. Угу. Но если пойти в Help, найти там "как установить сетевой принтер", ткнуть на ссылку и вуаля - всё работает. Есть ещё ACL по правам доступа. Они наследуются - то есть на подкаталог может влиять тот который выше. И флажки: Read & Execute и Read - раздельные. Аналогично там есть прямой флажок запрета этого. Правда, скорее всего обходной механизм в стиле sh /home/user/script.sh найдётся. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
sfstudio Опубликовано 19 июля, 2017 · Жалоба А чего ещё никто не сказал, что вантузятнеги должны страдать по определению? =)))) ИМХО всё верно. вайн, как же вайн!? Он сейчас чаще вантузятнегам и нужен что бы старые гамезы в новых версиях дырОС запускать. Там есть механизм по круче: Да хоть 100500 механизмов мегакрутых, но когда у тебя за столом прослойка с привилегиями 0 (ну а как иначе, ведь половина софта не работает без этого), или когда дыра удалённая на уровне ядра (SMB такой SMB) хоть золотыми механизмами обвещайся. А дыры так везде их регулярно находят. Вопрос в геморройности эксплуатации. А когда у тебя настУльная ушастая прослойка сама тебе все права предоставляет.... =) Защиту от шифровальщиков надо делать с другой стороны Прально, со стороны внедрения терморектального криптоанализа как юзверям, так и тем товарищам, что додумался чёрный ящик недоступный для аудита, славящийся своей дырявостью и завирусованностью на ответственные задачи ставить. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...