È possibile rilevare / disattivare CryptoLocker limitando i byte di rete totali trasferiti?

Since a virus infected PC has to download (encrypt) reupload the entire file, and repeat the process for every network drive, is is possible to detect this unusually high bandwidth event? Is there a way to respond to it (via QOS or something?)

Ti stai sbagliando: il malware non ha bisogno di trasferire il file. Utilizza la crittografia asimmetrica: il file viene prima (simmetricamente) crittografato con una chiave lunga, unica e generata casualmente e quella chiave è crittografata utilizzando solo la metà pubblica della chiave di decodifica.

Una volta eliminata la chiave di crittografia simmetrica, non è rimasto nulla sulla macchina per decodificare i file e non hai mai toccato la chiave che la sbloccherà.

I'm looking for a way to detect and/or limit Cryptolocker encryption by monitoring how much data is transferred (as it is encrypting files) and possibly set a quota on this transfer (QOS?).

Non tentare di crearne di nuovi: ci sono molti sistemi di sicurezza che possono aiutarti a rilevare (e fornire protezione contro) questa e molte altre minacce: scanner antivirus, IPS , IDS , NBAD , firewall, ecc. Qualsiasi investimento (intelligente) che fai è che questi saranno ordini di grandezza più efficienti rispetto a provare a costituire una protezione per te - specialmente se non comprendi la natura della minaccia.

Un modo migliore per proteggersi da cryptolocker è configurare un NAS, che imporrà il controllo delle versioni dei file. Con la forza, voglio dire che tutte le modifiche dei file saranno salvate sul NAS, e il client non ha modo di influenzarlo. Quindi si salvano tutti i dati importanti su questo NAS con versione. Se il cryptolocker crittografa il NAS, comunichi semplicemente al NAS di eseguire il rollback dei file fino alla data in cui non sono crittografati.

È importante che il cliente non possa in alcun modo toccare questo controllo delle versioni. Ad esempio, il client accede al NAS e scrive un file. Se il NAS vede che un file già esistente verrà sovrascritto, invece dirigerà la scrittura in un "file di modifica", ad esempio qualcosa come una sovrapposizione COW ma basata su file anziché su blocchi.

Quando si nota che "i miei file sull'unità condivisa sono stati crittografati", è sufficiente accedere fisicamente al NAS e dirgli di eseguire il rollback dei file crittografati alla versione precedente. Se invece i file sono stati eliminati e una copia crittografata è stata salvata, si comunica al NAS di ripristinare i file eliminati.

Tale NAS può essere costruito utilizzando un server Linux, samba e un altro software che consente di tenere traccia delle modifiche ai file all'interno dell'unità condivisa.

Il bello di un NAS di questo tipo è che puoi tenere il NAS connesso e "montato" in ogni momento. Se cryptolocker lo tocca, puoi semplicemente ridurre il tempo. Si noti che è necessario creare il NAS in modo tale che il client lo utilizzi come una semplice unità condivisa. Il client NON deve eseguire il controllo delle versioni dei file, quindi il cryptlocker può ignorarlo. È il server NAS che deve applicare il controllo delle versioni.

Sì, questo significa che i file interi verranno trasmessi al NAS tramite il cavo "innaturalmente", e quindi ridotti a "file di differenze" sul server, ma ne vale davvero la pena.

L'utilizzo di un'unità esterna e il semplice collegamento periodico per il backup NON sono sicuri, cryptolocker può rimanere latente e attendere la connessione dell'unità di backup, quindi crittografare i file. È NECESSARIO utilizzare un'unità NAS che imponga "versioning" sul lato server.

Ciò protegge anche da semplici payload distruttivi che semplicemente eliminano / infettano i file senza crittografarli e senza offrire la possibilità di pagare un riscatto per riavere i file. (quelli sono in realtà peggiori dei virus di riscatto).