Archiviazione per la difesa dei ransomware

Una buona opzione è eseguire il backup su un sistema remoto che crea regolarmente snapshot non modificabili del filesystem, che non possono essere modificati / eliminati con le stesse credenziali usate per accedere ai file.

Uso FreeNAS per l'archiviazione dei miei file personali, e ogni 15 minuti viene creata un'istantanea del volume ZFS sul server.

L'account utilizzato per accedere ai file può anche essere utilizzato per sfogliare e ripristinare le vecchie versioni, ma per eliminare uno snapshot sono necessarie credenziali diverse che non sono memorizzate sui miei PC.

La parte importante è: utilizzando le credenziali memorizzate sul PC (utilizzate per accedere alla versione corrente dei file e modificarle) non è possibile eliminare le istantanee.

Ma ricorda: anche un sistema RAID con istantanee automatizzate pianificate non può sostituire i backup!

Non sono troppo sicuro di Windows, ma per la casa Linux / monouso, c'è "borgbackup" che fa un ottimo lavoro.

Tutti i backup possono essere crittografati (anche se, diversamente dalla "duplicità", borg non usa una chiave GPG, è una chiave simmetrica che devi fornire a un prompt o tramite un env var).

La parte migliore è che se si dispone di un server, è possibile trasferire i backup in tale posizione e configurare il server in modo che venga eseguito in modalità "sola-append" (utilizzando le tecniche standard ~ / .ssh / authorized_keys). Assolutamente nulla sul lato client sarà quindi in grado di manomettere i dati già creati.

Lo uso e tengo d'occhio la quantità di "nuovi" dati inviati ogni giorno. Combinato con quello che so di "quanto lavoro ho fatto", questo mi dà un modo molto crudo per prendere qualsiasi modifica su larga scala, come potrebbe accadere con un attacco di ransomware.

(Questo è al di sopra e al di là delle altre cose pazze che faccio per tenere separati i diversi software, come la mia posta, la mia navigazione casuale e la mia navigazione "autenticata". Onestamente non penso che lo farò mai colpisci, ma niente di male aggiungendo un ulteriore livello di "avvertimento"!)

Prima di tutto, tutti i software di backup no-shit supporteranno backup differenziali o incrementali con cronologia. Pertanto, i "file ransomati sostituiscono i file importanti" il problema non viene visualizzato, né i backup del target possono essere ransomware se il computer non dispone delle credenziali per accedere alla condivisione di rete al di fuori del programma di backup.
Il software di backup commerciale che uso ora (Paragon) supporta il salvataggio in una share SMB dato il suo nome utente e password, e anche il software FOSS che ho usato prima (redo), e presumo che ogni software di backup no-shit faccia. Nessun accesso alla condivisione, nessuna fortuna per il malware.

In secondo luogo, esistono media (in particolare DVD / BluRay) che sono di progettazione in scrittura una volta. Ciò significa nient'altro e nientemeno che fa comodo uso generale perché non è possibile riutilizzare il supporto dopo averlo scritto una sola volta (tranne che per l'aggiunta di multi-sessione). Ma anche significa che, indipendentemente da quanto il malware avanzato si ripresenta in futuro, il malware non può sovrascriverlo. Questo semplicemente non è supportato dal mezzo.
Si può essere inclini a credere che il 25GiB che si adatta a un BluRay non sia abbastanza per contenere tutti i dati importanti. Sarai sorpreso di sapere quanto poco dei tuoi preziosi dati sia davvero prezioso e insostituibile. Il backup su BluRay è interamente fattibile.

Il ransomware è davvero un problema? Non so, a giudicare dalla quantità di persone interessate, sembrerebbe essere così, ma sinceramente non lo so. Ho lavorato con i computer quasi tutti i giorni dalla metà degli anni '80, e ho usato Internet prima che la maggior parte delle persone avesse persino sentito dire che questa cosa esisteva. Finora, ho avuto zero incidenti legati al malware su qualsiasi computer che possedevo.
Non è certamente un errore avere un backup nel caso in cui (e sicuramente ne ho uno), ma prima e soprattutto dovresti assicurarti che non ci sia necessario per averne uno.

looking for any kind of damage (not only ransomware)

Rilevare se l'intero file è crittografato è banale (c'è anche un WindowsWindows versione ). Tuttavia qualcosa che crittografa l'intero filesystem sarebbe difficile da rilevare automaticamente (ma l'impatto è molto ovvio).

Qualcosa che codifica o danneggia il contenuto parziale all'interno di un file sarebbe molto difficile da distinguere da una normale modifica dell'utente (molti formati di file sono in realtà contenitori con più singoli file all'interno, ad esempio Adobe PDF, Microsoft Office). L'analisi della distribuzione di frequenza dei caratteri (o dei token se si dispone di un parser) può dare più rilevazione euristica se il file non è compresso.

C'è molta attività per rilevare il ransomware in base al suo modello di accesso ai file (frequenza di ridenominazione dei file, modifiche ai file, accesso alla directory crawling).

Una soluzione abbastanza semplice consiste nel monitorare una piccola raccolta di file nella radice e nella parte inferiore dell'albero delle directory (vale a dire i luoghi in cui il malware colpirà per primi) su una condivisione dedicata come canarini. Se questi file vengono aggiornati (senza azione da parte di un utente), allora sai che probabilmente c'è del malware al lavoro. Qualsiasi ID basato su host dovrebbe essere in grado di farlo.

Ordinary backups are not really secure, because the ransomware could just as easily target your backups

Se i tuoi "backup ordinari" sono disponibili online, allora sì, ma è per questo che utilizziamo nastri, unità ottiche e nastri virtuali.

Is there any existing product

"Le domande che cercano consigli sui prodotti sono off-topic man mano che diventano obsolete rapidamente"

(a) automatically make copies of designated files folders

Sì, ci sono molti programmi di copia e backup dei file.

audit the live files against the archive

Vedi sopra.