Comments 18
У вас неверные представления о шифровальщиках: «когда кто-то что-то массово трет (шифровальщики) и жрет ресурсы на шифрование как не в себя». Шифровальщики не трут, им это не надо. Ресурсов тоже не жрут, потому что шифрование работает быстрее диска. А судя по поставленным вопросам, вы еще и защищаться от них хотите не резервным копированием… :-)
Вы меня поставили в тупик сейчас. Как не трет? (голосом блондинки из анекдота про холодильник): а куда деваются оригинальные файлы? И, кстати, в одной из машин, попавших под Петю мы доставали не успевшие забекапиться данные и как раз через восстановление r-studio.
Насчет бекапов — конечно же есть. Мы ж себе не злобные буратино. Но, как мне кажется, лучше предупредить, чем исправлять. Но, я вполне могу ошибаться, поэтому и написал этот пост.
Насчет бекапов — конечно же есть. Мы ж себе не злобные буратино. Но, как мне кажется, лучше предупредить, чем исправлять. Но, я вполне могу ошибаться, поэтому и написал этот пост.
Открыл файл, прочитал, зашифровал, записал на место старого, закрыл файл. Операции удаления файлов просто нет :-) Не помню как там Петя был устроен, возможно у них удаление зачем-то было сделано. Но уповать на этот признак — плохая идея.
Ок, массово перезаписывает файлы. Это ведь должно быть легко отлавливаемо.
У меня коллеги для «легкого отлавливания» систему пишут не первый год. Количество подводных граблей большое. Архиватор, конвертер форматов файлов имеют очень близкое к шифровальщикам поведение. Надо не фолсануть, а гада прибить
Спасибо за уточнение. Надо у Citrix спросить, как у них это работает.
А зачем прибивать? Сохранять перезатираемую копию в архивном месте да и всех делов. Не нравится — откатываемся.
Так и вижу DoS на архив в три строчки на Питоне :-D
Банальный IO шейпинг с большим grace-окном, или time-based коммит (когда сохраняются изменения каждые N времени, вне зависимости от того, сколько раз было перезаписано).
Заодно получаем и автоматический детектор шифрования. Ой, что-то у меня всё совсем тормозить начало — и эникейщик видит «процесс шифрования».
Заодно получаем и автоматический детектор шифрования. Ой, что-то у меня всё совсем тормозить начало — и эникейщик видит «процесс шифрования».
Оригинальные файлы как раз и шифруются. Их никто никуда не удаляет и не копирует.
Когда-то были в «моде» агентские антивирусы под вм. Ловят они конечно ловят, но медленно.
Кто-то вроде добавил в агента модуль по так называемой защите от шифровальщиков. Защита в целом строится по одному сценарию. Потенциально опасное вложение или ссылка перенаправляется на сервер вендора где данные анализируются и если не нашли, а вероятность такого «не нашли» не равна нулю, то пользователь с верой в светлое будущее самолично запускает гадов в сеть.
В качестве мониторинга действий пользователя. Лет 10 назад по российскому рынку ИБ бегал израильский стартап. Предлагал безагентский снифер. на рабочие станции или в вм ничего не грузилось. Плоюс в софтинке был в том, что он записывал всю сетевую активность пользователя, даже можно было запустить запись скриншотов и видео действий пользователя. Минус в решении два. Это только снифер и второй минус система никак не могла проинформировать офицера безопасности о том, что что-то не так. Спектр 360 вроде назывался. Вроде еще живы.
Также многие производители правдами и не правдами пиарят свои а-ля экосистемы на примере как у Cisco. Куда включены и межсетевые экраны и антивирус на стеройдах и антиспам с модулями антивируса на стеройдах и простенькой длп и мдм и веб прокси. И всё это под одним зонтом и консолькой и возможностью мониторить сетевую активность пользователей. Мониторинг увы не всегда возможен онлайн. Чаще всего это офф-лайн реагирование на события.
зы Мое мнение основано не как пользователя а как спекулянта который подобное предлагал пользователям.
Кто-то вроде добавил в агента модуль по так называемой защите от шифровальщиков. Защита в целом строится по одному сценарию. Потенциально опасное вложение или ссылка перенаправляется на сервер вендора где данные анализируются и если не нашли, а вероятность такого «не нашли» не равна нулю, то пользователь с верой в светлое будущее самолично запускает гадов в сеть.
В качестве мониторинга действий пользователя. Лет 10 назад по российскому рынку ИБ бегал израильский стартап. Предлагал безагентский снифер. на рабочие станции или в вм ничего не грузилось. Плоюс в софтинке был в том, что он записывал всю сетевую активность пользователя, даже можно было запустить запись скриншотов и видео действий пользователя. Минус в решении два. Это только снифер и второй минус система никак не могла проинформировать офицера безопасности о том, что что-то не так. Спектр 360 вроде назывался. Вроде еще живы.
Также многие производители правдами и не правдами пиарят свои а-ля экосистемы на примере как у Cisco. Куда включены и межсетевые экраны и антивирус на стеройдах и антиспам с модулями антивируса на стеройдах и простенькой длп и мдм и веб прокси. И всё это под одним зонтом и консолькой и возможностью мониторить сетевую активность пользователей. Мониторинг увы не всегда возможен онлайн. Чаще всего это офф-лайн реагирование на события.
зы Мое мнение основано не как пользователя а как спекулянта который подобное предлагал пользователям.
Для многих рабочих станций помогает белый список приложений, сильно снижает риски словить трояна и отодвигает дальше необходимость восстановления из бэкапа.
К сожалению, все эти технологии поведенческого мониторинга недостаточно оперативны и часто работают ненамного лучше белых списков. Но правда в том что управлять этими самыми белыми списками это сущий ад… Но тут ещё такое дело — эвристику ещё можно обмануть, но белый список слишком груб и надёжен чтобы его можно было так просто обойти.
К сожалению, все эти технологии поведенческого мониторинга недостаточно оперативны и часто работают ненамного лучше белых списков. Но правда в том что управлять этими самыми белыми списками это сущий ад… Но тут ещё такое дело — эвристику ещё можно обмануть, но белый список слишком груб и надёжен чтобы его можно было так просто обойти.
В свою бытность виндово-офисным админом (circa 2003) я организовывал работу по трём принципам:
1) всюду, куда пользователь может писать, он не может запускать.
2) всё, откуда пользователь может запускать, он не может писать.
3) Бэкапы пишутся на write once носитель на опорно-диффиренциальном принципе (раз в неделю полный бэкап, каждый день-два дифференциальный).
Увидительно, но п.1-2 позволили существовать без антивирусов и без вирусных инцидентов. Да, иногда пользователи страдали от отсутствия флеша или невозможности запустить очередной супермодный messanger, который им предлагают друзья.
Расходы на носители были, но были существенно ниже даже ставки эникейщика.
1) всюду, куда пользователь может писать, он не может запускать.
2) всё, откуда пользователь может запускать, он не может писать.
3) Бэкапы пишутся на write once носитель на опорно-диффиренциальном принципе (раз в неделю полный бэкап, каждый день-два дифференциальный).
Увидительно, но п.1-2 позволили существовать без антивирусов и без вирусных инцидентов. Да, иногда пользователи страдали от отсутствия флеша или невозможности запустить очередной супермодный messanger, который им предлагают друзья.
Расходы на носители были, но были существенно ниже даже ставки эникейщика.
Очередной SilverBullet, толку от которого после спадения ВАУ эффекта может и не быть, а ТСО рабочего места банального офисного клерка приобретает свойство пробивать небесную твердь(тм).
Вопрос защиты данных от шифрования решается элементарно без антивирусных средств и систем с элементами ИИ массой способов разной степени хардкорности, большинство из способов не требует затрат на оборудование и софт, больше организационной работы и правильного применения того что уже есть в составе ОС.
Вопрос защиты данных от шифрования решается элементарно без антивирусных средств и систем с элементами ИИ массой способов разной степени хардкорности, большинство из способов не требует затрат на оборудование и софт, больше организационной работы и правильного применения того что уже есть в составе ОС.
Использовал вот такую вещь на прошлой работе: voronis datalert
Эффективно ловились любители мышкой метнуть папку с сервера на рабочий стол. А так же «любители поработать из дома» перенеся на флешку пол-файловой помойки. Шифратор тоже бы поймался. Но вот ценник не гуманный от слова совсем
Эффективно ловились любители мышкой метнуть папку с сервера на рабочий стол. А так же «любители поработать из дома» перенеся на флешку пол-файловой помойки. Шифратор тоже бы поймался. Но вот ценник не гуманный от слова совсем
Sign up to leave a comment.
А вы все-все за меня мониторить будете? Ага