Limita il danno possibile del ransomware su un file server

-1

Prima di tutto: so che ho bisogno di un backup e ne ho uno naturalmente, ma la mia domanda non riguarda la sicurezza dei dati, ma su come ridurre il tempo necessario per ripristinare i dati.

Sto già limitando il più possibile l'accesso in scrittura di tutti gli utenti per evitare una situazione in cui un host infetto sarà in grado di crittografare tutti i dati nel caso peggiore. Inoltre è relativamente improbabile che il fileserver stesso venga infettato perché l'unico servizio accessibile dalle workstation sono le condivisioni SMB.

Quello che mi piacerebbe avere è un modo per rilevare comportamenti malevoli e prevenire ulteriormente se possibile. Ad esempio, quando un client si apre e cambia i file rapidamente in modo sistematico, questo non sarebbe un chiaro segno di riscatto e non c'è un modo per impedirlo?

    
posta davidb 14.06.2016 - 22:21
fonte

2 risposte

2

Molti virus ransomware che crittografano file aggiungono all'estensione di file "univoca" al nome del file interessato e lasciano un "manuale" su come decrittografare i file nelle directory interessate. Questo è uno dei modi più semplici per rilevarli.

Sui file server di Windows è possibile impostare il gestore di risorse del file server per cercare quei file e bloccare la creazione o inviare avvisi via e-mail. Per i server Unix probabilmente ci sono già alcuni script. Ecco una discussione di reddit parlando di questo: link

Ovviamente non catturerai tutti i virus ransomware ma avrai un'alta probabilità di catturare quelli comuni.

Se rilevi un file crittografato, puoi intraprendere azioni come bloccare l'utente che ha creato / modificato il file e / o inviare alcuni avvisi ecc.

    
risposta data 15.06.2016 - 15:36
fonte
-1

Il modo migliore che consiglierei sarebbe quello di utilizzare una soluzione di archiviazione che offra storage a livello di blocco o storage a livello di file system. Molte soluzioni SAN e soluzioni di archiviazione basate su cluster più brillanti come gluster e ceph offrono snapshot periodici dei blocchi di archiviazione. Hai il ransomware? Tornare all'istantanea più recente. Poof, niente male fatto. (Dopo aver eliminato l'host infetto, ovviamente.)

Per quanto riguarda l'interruzione del ransomware, la solida formazione degli utenti contribuisce notevolmente a impedire che tali elementi entrino nella tua rete. È anche possibile vietare il transito di tipi di file eseguibili tramite e-mail, dal momento che la maggior parte dei ransomware è simile a virus e richiede un'azione da parte dell'utente. Ho sentito parlare di un worm ransomware, zcrypt, anche se sembra che il suo impatto sia stato minimo e viene rilevato da diverse soluzioni anti-virus.

    
risposta data 15.06.2016 - 00:37
fonte

Leggi altre domande sui tag