Il malware è noto per montare i volumi?

4

Ho diverse macchine Windows che eseguono backup automatici su unità di backup esterne o interne. Ciò avviene automaticamente durante le ore di pausa e deve rimanere in questo modo senza l'intervento manuale richiesto. Ad esempio, scollegare e ricollegare le unità esterne non è un'opzione accettabile.

Tuttavia, dal momento che tali unità sono collegate, il ransomware è una vera minaccia per loro. Come difesa, sto pensando di montare i volumi di backup solo quando necessario per fare un backup e quindi smontarli immediatamente dopo il backup.

So che questa non è una difesa perfetta dal momento che il malware che acquisisce i privilegi di amministratore può montare quelle unità con la stessa facilità che posso, ma sembra una cosa improbabile da fare del malware dato che le unità non montate normalmente non sono di grande interesse . (O sono di grande interesse, non sono sicuro di quale.)

Sono disposto a correre il rischio di incontrare malware zero day in grado di farlo, ma quel comportamento sarebbe davvero zero day? O c'è un malware che analizza e monta volumi non montati già visti in natura?

    
posta Carey Gregory 09.08.2016 - 03:25
fonte

1 risposta

2

Il ransomware ( specificamente a cui Locky viene in mente ) è in grado di attaccare le condivisioni di rete non mappate . Non sono a conoscenza di malware in grado di montare un'unità non montata, anche se immagino che non sia al di fuori del regno delle possibilità. La maggior parte delle varianti che ho visto o sentito di utilizzare un file di dropper per scaricare un payload - questo carico utile ha il potenziale per cambiare, solo perché non è stato fatto ora non significa che non lo sarà in futuro.

I know this isn't a perfect defense since malware that gains admin privileges could mount those drives just as easily as I can, but that seems like an unlikely thing for malware to do since unmounted drives aren't normally of much interest.

Non sarei d'accordo con questa affermazione. La ragione per cui il ransomware è così efficace è che riesce a monetizzare i dati che sono intrinsecamente privi di valore. I tuoi dati sono importanti per tu ; probabilmente sei disposto a pagare per questo e basta per renderlo un bersaglio per il ransomware.

Suggerirei di avere sempre un backup offline. Nel passato, quando più persone eseguivano il backup su nastro, questo era quasi sempre il caso, tuttavia, dato che molti sono passati alle unità, questi backup offline non sono più così comuni. Se vuoi davvero proteggerti, avrai un vero backup offline (scollegato e non accessibile alla rete) con un RPO che soddisfi i requisiti aziendali della tua organizzazione.

    
risposta data 09.08.2016 - 03:38
fonte

Leggi altre domande sui tag