Come proteggere dai virus che accettano i file come ostaggi crittografandoli?

Naviga le tue risposte
4

Oggi sono stato infettato da CoinVault, un nuovo malware simile a CryptoLocker, credo. Prima di oggi non ero a conoscenza di questo intero tipo di malware. Fortunatamente ero protetto da backup offline, ma ho riflettuto molto su come evitare che questo genere di cose accadesse di nuovo, e non sono sicuro di essere soddisfatto di quello che ho scoperto.

I backup regolari sono ovviamente molto importanti, ma non lo vedo come la soluzione finale. Anche i backup offline sono online per il processo di backup, il che significa che non hai rimosso il potenziale per l'infezione di questi backup, ma solo minimizzato in un breve lasso di tempo. Se il tuo sistema è vulnerabile ai cryptolocker, allora è il tuo backup offline.

Quindi, come essere sicuri che il tuo sistema non sia vulnerabile? L'ho visto suggerire qui per configurare le politiche che impediscono l'esecuzione di exe in% AppData % o% Temp%. Ma come sappiamo che il malware non può iniziare da un'altra posizione? Sono questi gli unici luoghi in cui il malware può iniettarsi da un browser? Inoltre, la configurazione della politica menzionata non è disponibile nelle versioni home di Win7. Può UAC aiutare qui, o funziona solo per applicazioni installate e non semplici file eseguibili? Idealmente mi piacerebbe che nessun exe sul mio sistema sia in grado di funzionare a meno che non lo abbia autorizzato nella whitelist ... è possibile su versioni di Win7 home?

Il mio attuale piano di protezione è:

  • metti UAC all'impostazione più sicura (attualmente più rischiosa)
  • cambia il mio normale utente in privato non amministratore

Non sono sicuro che quelle due cose da sole mi avrebbero aiutato qui, ma mi piacerebbe bloccare anche tutti gli exe arbitrari se posso, che è l'unica area con cui sto lottando.

    
posta Dave Johnson 02.01.2015 - 07:16
fonte

1 risposta

6

Per proteggersi da questo, hai bisogno di una sorta di backup online con versione. Dove tutte le modifiche vengono salvate come differenza rispetto al vecchio backup e puoi sempre eseguire il rollback a qualsiasi data / ora.

Fondamentalmente, il tuo backup con versione dovrebbe funzionare indipendentemente da ciò che fai sul backup, dalla sua copia su scrittura e sarai sempre in grado di ripristinare.

Può essere un backup incrementale basato su file su un server di backup o NAS, ma puoi anche farlo a livello di blocco con LVM / snapshot su un server di backup, ad esempio memorizzi istantanee differenziali sul filesystem in modo da Puoi sempre recuperare qualsiasi di queste istantanee in tempo.

La cosa importante da considerare è che il sistema di versioning incrementale DEVE essere implementato sul lato server. Ad esempio, presentare un'unità condivisa al computer client. Ogni volta che un file viene scritto su questa unità condivisa, il SERVER (che è inaccessibile al virus) controlla se quel file esiste già e scrive un file diff incrementale sull'unità server per questo file, se già esiste.

Quindi qualsiasi cosa il virus faccia all'unità condivisa sarà sempre salvato come diff aggiuntivo.

Solo consentire l'esecuzione di software "fidato" è praticamente impossibile su Windows e Linux, poiché un SO ha MOLTO codice eseguibile che viene eseguito parte del sistema operativo. In tutti questi codici eseguibili, ci sono sempre punti di ingresso in cui i moduli possono essere collegati ed eseguiti e la chiusura di tutti questi punti di ingresso è praticamente impossibile. Un esempio di entry point è la registrazione di una DLL eseguibile da regsvr32.exe. L'unico modo che puoi fare è limitare il software eseguibile dalla modifica di determinati file, ma ciò significa anche che devi impedire a te stesso di modificare quel file, poiché qualsiasi cosa tu possa fare, il virus può farlo anche tu. L'unico modo per bloccare completamente un codice non affidabile è l'utilizzo di un microcontrollore, e questo è ESATTAMENTE il motivo per cui esistono smart card!

    
risposta data 02.01.2015 - 09:38
fonte

Leggi altre domande sui tag

Qual è l'importanza delle impostazioni di sshd RekeyLimit? C'è qualche rischio / rischio per la sicurezza aggiungendo padding aggiuntivo (oltre a quello richiesto) quando si utilizza AES-256 per crittografare stringhe molto brevi?