Navigacija
Lista poslednjih: 16, 32, 64, 128 poruka.

Ransomware kao oblik malicioznog softvera

[es] :: Zaštita :: Ransomware kao oblik malicioznog softvera

Strane: 1 2 3

[ Pregleda: 8354 | Odgovora: 56 ] > FB > Twit

Postavi temu Odgovori

Autor

Pretraga teme: Traži
Markiranje Štampanje RSS

SlobaBgd

Član broj: 70350
Poruke: 2348



+5071 Profil

icon Re: Ransomware kao oblik malicioznog softvera08.03.2020. u 20:24 - pre 49 meseci
Citat:
bojan_bozovic:
@SlobaBgd

Da ili recover ili cancel ili direktno otvaranje unutar sandboksa. Znas, ako neko pijan sedne za volan pa napravi belaj, moze da grdi boga, ali nije red. Kako narod kaze sam pao sam se ubio!



Nakon direktnog otvaranja sa SumatraPDF otvoren je pdf unutar sendboksa.

Pa upravo to sam i ja napisao. Ako otvaraš fajl iz sandboxovanog Chroma, otvoriće ga sandboxovan PDF reader. Ali ako ugasiš sandboxovan Chrome, fajl će se nalaziti u "zaštićenom" folderu C:\Sandbox i možeš ga otvoriti dvoklikom bez bezbednog okruženja koje pruža Sandboxie. Za to vreme Sandboxie čuči aktivan u Notification Area dok mu korisnik vršlja po "zaštićenom" folderu i otvara navodno zaštićene fajlove. Jedino se budi ako fajl otvaraš desnim klikom pa Run Sandboxed. Mislim, ko još otvara fajl desnim klikom?

Nego, gde je tebi taj žuti okvir oko pozora sandboxovanog programa koji izdvaja tako pokrenut program od drugih normalno pokrenutih?

Dopuna: Evo, sandboxovan Chrome najpre snima downloadovan fajl na default lokaciju:


Prikačeni fajlovi
 
Odgovor na temu

bojan_bozovic

Član broj: 29028
Poruke: 3292
87.116.178.*

Sajt: angelstudio.org


+392 Profil

icon Re: Ransomware kao oblik malicioznog softvera08.03.2020. u 20:30 - pre 49 meseci
Vidis li # naslov prozora #

To znaci da je sandboksovan. FF je bio sandboksovan, zato taj mali prozor ima # .. # u naslovu, a mogu ti okaciti i sumatrapdf pokrenut iz njega ako zelis.

 
Odgovor na temu

SlobaBgd

Član broj: 70350
Poruke: 2348



+5071 Profil

icon Re: Ransomware kao oblik malicioznog softvera08.03.2020. u 20:37 - pre 49 meseci
Ama ne govorim o Sumatri, Notepadu, Plejeru pokrenutom iz sandboxsovanog Firefoxa ili Chroma, pobogu! To smo valjda apsolvirali, šta si se kog đavola uhvatio toga?! Govorim o tome da se fajl/program može jednostavno pokrenuti iz "bezbednog" foldera C Sandbox čak i ako je Sandboxie aktivan!
 
Odgovor na temu

bojan_bozovic

Član broj: 29028
Poruke: 3292
87.116.178.*

Sajt: angelstudio.org


+392 Profil

icon Re: Ransomware kao oblik malicioznog softvera08.03.2020. u 20:39 - pre 49 meseci
Meni otvara u sandboksu, prvo download i snimanje, ali ne sa recover.



Ovde "Close", ne "Recover"



Ovde klik na downloadovano, "Rich dads..."



SumatraPDF ima zut okvir, pa je sendboksovan.

Treba da se nauci koriscenje, to stoji. Problem je sto ljudi to nece da urade, vec rade napamet kako im se cini da treba.
Prikačeni fajlovi
 
Odgovor na temu

bojan_bozovic

Član broj: 29028
Poruke: 3292
87.116.178.*

Sajt: angelstudio.org


+392 Profil

icon Re: Ransomware kao oblik malicioznog softvera08.03.2020. u 20:47 - pre 49 meseci
Fajlovi iz C:/Sandbox nisu bezbedni za pokretanje van sandboxa. Bio je help na sandboxie sajtu ali su ga obrisali kad je promenio vlasnika, i o tome je bilo reci, pa je to stvarno mana.
 
Odgovor na temu

Aleksandar Maletic
System administrator

Moderator
Član broj: 235887
Poruke: 1138
*.dynamic.isp.telekom.rs.



+89 Profil

icon Re: Ransomware kao oblik malicioznog softvera08.03.2020. u 22:29 - pre 49 meseci
Citat:
bachi:
Citat:
Aleksandar Maletic:
Potvrđujem i za Outlook. Tri godine unazad, preko 200 korisnika u orzanizacionoj jedinici, nijedan incident. Bilo je prijava ali sve za Junk folder, što korisnici po mom uputstvu ne otvaraju.


Je l' istina za Office 340 da prolaze oni klasični fišing mailovi gde navuku korisnika da im ostave username i pass ko od šale?

Dosta ljudi se žalilo na to, kakva je situacija sad?


Iskreno da ti kažem, nisam ni na jedan primerak naleteo, što ne znači da ih nema, moguće je da jednostavno nismo zapali u ciljnu grupu. Ono što često primetim u poslednje vreme je to da stižu mejllovi sa linkovima za promenu AD lozinke koja uskoro ističe. Klasična navlakuša, a ni manje ni više sa adresom u kojoj se naravno pominje Microsoft u nekoj izvrnutoj varijanti. Čekirao sam linkove u par navrata, maliciozan sadržaj. Ono što je dobro, sve ide u Junk folder. Sreća u nesreći je to što redovno držim edukativne prezentacije i što zaposleni stvarno ispoštuju dogovor. Znaš i sam kako je, isti posao radimo, poslušan korisnik je pola odrađenog posla. Uskoro prebacujem sve usere na VDI, lakše ću da dišem.

[Ovu poruku je menjao Aleksandar Maletic dana 08.03.2020. u 23:40 GMT+1]
A wolf is weaker than a lion and a tiger, but doesn't play in the circus.
 
Odgovor na temu

laminator
laminator
beograd

Član broj: 62090
Poruke: 43
*.dynamic.isp.telekom.rs.



+10 Profil

icon Re: Ransomware kao oblik malicioznog softvera08.03.2020. u 22:57 - pre 49 meseci
Aman ljudi gde je otišla ova rasprava kao da je mail jedini mogući način za širenje ..

Ako ima neko ima neko pametno rešenje za smanjenje štete bilo bi dobro inače...

Sretao sam se sa situacijama da su ljudi to pokupili preko RDP-a , preko web servera , preko USB-a , preko mail-a ...

Koristim svoj mail server već 15 godina i nisam preko njega dobio ransomware .

i još par nerešenih situacija( u firmama gde sam pokušavao da smanjin štetu ) odn nemogućnosti otkrivanja kako je do toga došlo ..

Recept za katastrofu je jedan broadcast domain plus mapiranje diskova ...

Znaci segmentirajte mrežu ako možete (ako ne možete bežite iz te firme ) i nikako ali nikako mapiranje diskova ...

Aplikativni serveri u DMZ a database serveri (where sun does nnot shine )

Ovo što pričate je super ali kad bi prosečan korisnik bio znanja admina ..

Lako je biti general posle bitke ...Kako su i Novom Sadu "popili " ransomware ???

Pričamo o zaštiti mreže a ne jednog računara valjda ?????
 
Odgovor na temu

laminator
laminator
beograd

Član broj: 62090
Poruke: 43
*.dynamic.isp.telekom.rs.



+10 Profil

icon Re: Ransomware kao oblik malicioznog softvera08.03.2020. u 23:01 - pre 49 meseci
Dajte neki komentar za gradsku upravu Novog Sada ???
 
Odgovor na temu

SlobaBgd

Član broj: 70350
Poruke: 2348



+5071 Profil

icon Re: Ransomware kao oblik malicioznog softvera08.03.2020. u 23:15 - pre 49 meseci
Citat:
laminator:
Pričamo o zaštiti mreže a ne jednog računara valjda ?????

Ne, pričamo o ransomware-u generalno, i razmatramo kako velike mreže, male i srednje mreže u poslovnom okruženju, ali i individualne korisnike računara i poslovne korisnike s pet - deset računara u poslovnom prostoru, i načine kako da se što bolje zaštitimo svi mi od ransowarea.
 
Odgovor na temu

laminator
laminator
beograd

Član broj: 62090
Poruke: 43
*.static.isp.telekom.rs.



+10 Profil

icon Re: Ransomware kao oblik malicioznog softvera08.03.2020. u 23:46 - pre 49 meseci
Novi Sad ????
 
Odgovor na temu

Branimir Maksimovic

Član broj: 64947
Poruke: 5534
109.72.51.23



+1064 Profil

icon Re: Ransomware kao oblik malicioznog softvera09.03.2020. u 02:17 - pre 49 meseci
laminator: "Sretao sam se sa situacijama da su ljudi to pokupili preko RDP-a , preko web servera , preko USB-a , preko mail-a ..."

Fora je da ljudi instaliraju one freeware/shareware programe koji se cesto bundluju uz adware/malware.
Sace Sloba reci e pa kliknes da se ne instalira, e sad koliko prosecan korisnik pazi na to?
Drugo je problem sto ima malicioznih sajtova koji pokusavaju da uvale, juce sam naleteo
na jedan takav u potrazi za nekim infoom o SSD-u, dakle nista u vezi XXX.


 
Odgovor na temu

mjanjic
Šikagou

Član broj: 187539
Poruke: 2679



+690 Profil

icon Re: Ransomware kao oblik malicioznog softvera09.03.2020. u 05:09 - pre 49 meseci
Da ne pominjemo sajtove za piratizovane filmove i serije, a ljudi k'o ludi traže na internetu pa šta im prvo iskoči, posebno oni koji nemaju taj kanal na svojoj kablovskoj ili nemaju kablovsku uopšte. Isto važi i za sportske kanale. Uglavnom se radi o "miner" skriptama, međutim problem može da se desi ako je sajt na kome se embeduju video strimovi sa drugih sajtova zaražen nečim gorim ili ako se uz video stream prosleđuje neka zlonamerna skripta.
Blessed are those who can laugh at themselves, for they shall never cease to be amused.
 
Odgovor na temu

Branimir Maksimovic

Član broj: 64947
Poruke: 5534
109.72.51.23



+1064 Profil

icon Re: Ransomware kao oblik malicioznog softvera09.03.2020. u 05:17 - pre 49 meseci
Tu su onda i krekovi za igre. Niko se ne pita zasto ljudi uopste trose vreme da prave krekove?
 
Odgovor na temu

Aleksandar Maletic
System administrator

Moderator
Član broj: 235887
Poruke: 1138
195.66.69.*



+89 Profil

icon Re: Ransomware kao oblik malicioznog softvera09.03.2020. u 05:53 - pre 49 meseci
Ako ćemo tako, onda postoji mali milion načina da se prenese i aktivira ransomware. Da počnemo od operativnog sistema koji je pokriven ko zna kakvim aktivatorima, zatim antivirusi koji se mahom krekuju, a isti taj krek je apsolutno nepoznatog porekla, situacija koja može da se poredi sa puštanjem lopova da radi kao obezbeđenje banke. Sve je jasno, nije mejl jedini način ali socijalni inženjering i fišing generalno najviše upali. Ne verujem da bi potencijalni napadač najpre cepao direktno u jezgro i mlatio se sa raznim bezbednosnim slojevima, firewall politikom i sličnim stvarima. Činjenica je i da je u većini preduzeća, posebno državnih, ovaj deo izuzetno ranjiv ali ponavljam, sigurno bi prvo pustio buvu u vidu fišinga pa ako prođe, prođe. Da budemo jasni, odabirom legalnog operativnog sistema, antivirusa, softvera i kvalitetnog mejl provajdera definitivno praviš dobar korak u preventivi u samom startu. Svestan sam da se pravi napadi kreiraju na daleko dubljem nivou ali često elementarni propusti poput ovih koje sam malopre naveo ostave jedan školski backdoor ili slično.
A wolf is weaker than a lion and a tiger, but doesn't play in the circus.
 
Odgovor na temu

bachi
Vladimir Vučićević
System administrator
Beograd, Srbija

Član broj: 17912
Poruke: 5316

Sajt: www.bachi.in.rs


+2826 Profil

icon Re: Ransomware kao oblik malicioznog softvera09.03.2020. u 07:51 - pre 49 meseci
Citat:
laminator:
Aman ljudi gde je otišla ova rasprava kao da je mail jedini mogući način za širenje ..

Niko ne kaže da je jedini, ali je najčešći. Takođe treba razlikovati od ciljanog ransomware napada i opšteg.

Citat:
Ako ima neko ima neko pametno rešenje za smanjenje štete bilo bi dobro inače...

Zavisi od budžeta firme. Da li će imati namenske firewall sa IDS, anti virusom, itd ili ne.

Ono što svako može jeste da za upstream DNS koristi OpenDNS, da registruje IP adresu tamo i da uključi zaštitu od malware domena, adware i slično po kategorijama. Lokalni DNS server namestiti da za forwarder DNS koristi upravo OpenDNS kao servere. Na ovaj način se može sprečiti da zaražen računar ne može da kontaktira maliciozni server kako bi pokupio payload koji je u stvari deo koji kriptuje podatle.

Zatim ne koristiti administratorski nalog u svakodnevnoj upotrebi, već koristiti računar kao običan korisnik. Ovo treba da važi kako za korisnike, tako i za administratore sistema. Dakle, admini trče sa korisničkim nalogom, a po potrebi koriste admin kredencijale. Za lokal administratorske naloge koristiti LAPS, dakle šifre koje su privremene i ističu. Koristiti LAPS kada hoćete neki program da instalirate kod krajnjeg korisnika, a ne domain admin, jer ako je keylogger na tom računaru, koristeći domain admin nalog na to računaru kompromitujete isti i ko se dočepa domain admin naloga, on je mali Bog u toj mreži.

Anti virus zaštita je obavezna i ne zanosite se da je Windows defender dovoljan. Jeste za nas kućne korisnike, ali za firme, Kaspersky, Bitdefender, pa čak i ESET endpoint security. OBAVEZNO stavite lozinku da kada neko želi da pauzira ili stopira zaštitu, da to ne može bez lozinke da uradi. Zašto? Pa prvo što malware pokuša, jeste da disabluje anti virus sistem na računaru. Koristeći lozinku, efektivno ga sprečavate u tome.

Za centralizovana anti virus rešenja imate cloud administratorski deo, ako ne želite da dižete infrastrukturu za admin deo, pa tako u jednoj firmi se koristi Kaspersky endpoint cloud security, admin konzola je u cloudu, a na svakoj mašini se nalazi instaliran Kaspersky endpoint security sistem i to lepo radi.

Već sam rekao, ali, dobar email hosting je zlata vredan. Dakle, koristite onaj kroz koji ne prolaze malware mailovi ko od šale.

Kada se spominje RDP, ne držati RDP direktno otvoren ka Internetu, jer je to recept za ransomware, kad tad se pojavi exploit koji omogućava upad u sistem, pa ako se sistem ne patcuje redovno, ili uopšte, eto problema. Isto tako se brute force metodom može upasti u sistem... Neko tvrdi da je dovoljna zaštita da rdp server(i) budu iza RD gatewaya, ali je moja filoSofija da sve to treba držati iza VPNa, pa tako korisnik prvo treba da se VPNuje na mrežu, pa tek onda da koristi lokalne resurse firme.

Lozinke min 8 karaktera, obavezno bar jedno veliko slovo, bar jedan broj i obavezno specijalan znak tipa ! ili @...

Izolacija mreže... Koristeći VLANove, segmentirati mrežu, sa obaveznom napomenom da se pravi managment vlan. A to znači da se sva mrežna oprema, VM hostovi i drugo drži u posebnom vlanu. Zatim u posebnom vlanu interne servere, u trećem vlanu korisničke računare, u četvrtom voip telefone, petom kamere i DVR, itd, kapirate sliku. Poseban vlan za wifi za goste, a ako je moguće za interni wifi koristiti WPA2 radius autorizaciju gde će svaki zaposleni imati svoj nalog.

Postaviti striktno filtriranje između vlanova gde odreženi vlan može pristupati samo određenim servisima drugom vlana, itd. vlan za wifi goste potpuno izolovati. Za web servere koji moraju biti na internetu staviti u poseban vlan, takozvani DMZ i propisno ga izolovati da ako je kompromitovan, da ne može da proširi zarazu na ostale vlanove...

Verovatno sam gomilu stvari izostavio, ali su ovo neke opšte smernice.

E da, REDOVNO pečovanje sistema. Dakle, Windows update i patcovati sve servere i radne stanice. Isto tako, pečovanje mrežne opreme, sa posebnim naglaskom na nesrećni Mikrotik. :( Kad smo kod Mikrotika, svi firewallovi, odnosno njihovi managment interfejsi NE smeju biti na internetu. Ako želiš kao admin nešto spolja da promeniš, prvo se VPNuj na mrežu, pa onda tako pristupi podešavanjima rutera. Ovim sprečavate da firewall koji ima bezbednosni proput, a nije pečovan ne bude ranjiv spolja, jer firewall pravilom ograničite da mu se spolja ne može uopšte prići osim ICMP saobraćaja.

Ovo pečovanje Microsoft kao da se trudi da nam namerno zagorča život, jer posledice loše Windows update često znaju biti gore od posledica nekog ne-ransomware virusa. :) Ali je nužno zlo. Za Windows 10 ako nemate WSUS/SCCM možete groz GPO da namestite da se Windows update radi sa "zakašnjenjem" od na primer 7 dana od dana izlaska neke zakrpe, namestiti da se provera radi jednom mesečno i da se zakrpe instaliraju kada to vama odgovara i na taj način odlažete zakrpu taman toliko ako je MS baš ukakio stvar, imate vremena da povuku istu pre nego što je vi instalirate i nastane haos.

Ko ima WSUS/SCCM, može sam da kontroliše proces patchovanja, pa da ima i neku test grupu koju će prvo da patchuje, pa ako sve bude ok, da primeni patch i na ostale računare...

Isto tako je važno da se ne patcuje samo Windows, već i Office obavezno, jer tu tek ima exploita koliko nećeš...


A sad najvažnija stvar - bekap.

Najpre pitanje radnih stanica... Tu su dve filozofije, zavisno od budžeta i infrastrukture. Prva jeste da se radne stanice uopšte ne bekapuju već da se zaposlenima da instrukcija da sve što je bitno da drže na centralnom file serveru, a druga filozofija jeste da se sva korisnička dokumenta preusmeravaju na server. Da li ćete to ručno da odradite promenom lokacije desktopa, my documentsa i ostalih korisničkih foldera ili koristeći folder redirection kroz GPO, na vama je izbor.

Tako rešavate problem da ako neka radna stanica crkne, da li popije malware ili crkne hdd/ssd, sva dokumenta su tu. Takođe rešavate problem ako se korisnik loguje na drugi računar, dokumenta su mu tu...

E to je super kada su računari u LANu, a šta sa laptopovima/udaljenim lokacijama? Za udaljene lokacije može da se koristi server i DFS replikacija, ali mogu da se koriste i offline files, gde će klijentu korisnička dokumenta biti na serveru, ali će klijent sam raditi sinhronizaciju i držati kopiju kod sebe. Kada je klijent offline, promena se vrši lokalno, pa kada uspostavi vezu sa serverom, podaci se sinhroniziju.

Windows ima ugrađen mehanizam za to i zove se offline files. Iiii, to je nešto čime nisam bio zadovoljan u praksi. :( Ponajviše zbog toga što sve što kešira, kešira na C: i lokacija se ne može promeniti. I kako na HDDovima je C manji, zatrpava isti, a još gore što fragmentacijom usporava sam sistem. Ili u kombinaciji SSD 120GB + HDD od 1TB gde je sistem na SSDu, biće problem...

Lično koristim kao rešenje - https://freefilesync.org/, besplatan program koji omogućava sinhronizaciju "leve" i "desne" strane, gde je leva strana lokalni folder, a desna folder na serveru. U task scheduleru se namesti da se sinhronizacija radi na n sati i to stvarno lepo radi.

Naravno, uvek je i cloud storage kao opcija ok...

E kada ste rešili pitanje centralizovane lokacije za smeštanje korisničkih dokumenata, vreme je izbora softvera za bekap tog servera ili više servera. Acronis, Veeam, neki drugi ili interni windows server bekap, zavisi od budžeta naravno. Ono što je potrebno raditi jeste obavezno imati više kopija bekapa od toga da jedna kopija bude offline, a druga poželjno i offsite (dakle van primarne lokacije u slučaju poplave, požara, itd).

Ono što je još bitnije jeste da se *testira* taj bekap, da se radi validacija istog i da se u virtualnoj laboratoriji (koristeći virtuelne mašine koje su u svom internom vlanu) pokušati odraditi restore.

Kao što vidite, najveće je pitanje budžeta... Kada je budžet za IT tanak, a u državnim preduzećima je očajan i kada je IT osoblju fale ljudi, a ono što je zaposleno ima mizorne plate u odnosu na cenu koja je na tržištu rada, to je recept za katastrofu. Ništa gore od ITevca koji je nezadovoljan svojom platom i koji sve usled nedostatka budžeta mora da rešava štap i kanap metodom. Dakle zidanje zgrade žvakaćom gumom umesto maltera. Samo je pitanje kada će se sve raspasti kao kula od karata.

Citat:
Lako je biti general posle bitke ...Kako su i Novom Sadu "popili " ransomware ???

Pa u suštini ne znamo tačno. Neke spekulacije jeste da je inicijalno napad bio preko emaila...



[Ovu poruku je menjao bachi dana 09.03.2020. u 09:08 GMT+1]
... Vladimir Vučićević aka. Bachi
~~~ www.bachi.in.rs <<<<>>>> [email protected]
>>> It's nice to be important, but it's more important to be nice...
 
Odgovor na temu

Joja82
Beograd

Član broj: 50336
Poruke: 346
*.static.sbb.rs.



+5 Profil

icon Re: Ransomware kao oblik malicioznog softvera09.03.2020. u 10:29 - pre 49 meseci
@bachi odlicn hint za sve. I potpuno se slazem sa svime sto si napisao.

Ja za backup koritim qNAP storage.

E sada koliko je pametno raditi backup VM-a na drugu particiju (E:) i QNAP podesio da taj folder sinhronizuje dirktno odatle na sebe. Sto znaci da imam kopiju backup-a i na drigoj particiji i na QNAP storage-u.

E sada koliko je pametno raditi sinhronizaciju?

Pitam zbog sledece situacije:

Recimo uleti runsomwar i zakljuca sve fajlove medju njima i backup fajlove na E particiji, koji se sinhronizuju na QNAP?
ili uleti na sever koji se backup-uje i backup natavi da radi svoj posao ali sa kriptovanim fajlovima?

Sta ce se desiti sa ti backup-om?

Takav scenario nikad nisam imao ("hvala Bogu") pa me interesuje sta je moguce da se desi.

Hoce li se i na QNAP sinhronizovati kriptovani?





 
Odgovor na temu

Miroslav Jeftić
Istraživanje ruda
[ES]

Član broj: 37513
Poruke: 6833

Sajt: about:blank


+2200 Profil

icon Re: Ransomware kao oblik malicioznog softvera09.03.2020. u 11:36 - pre 49 meseci
Sve će sjebati najverovatnije. Pre neku godinu sam imao nažalost iskustvo da se pojavio ransomware u jednoj maloj mreži, 10-ak stanica i fajl server; na toj stanici na kojoj se pojavio je sve zaključao i naravno sve na mrežnom šeru. Windows-ov bekap koji se pravio lokalno na toj stanici takođe, ali iz nekog razloga pojedine fajlove sam i dalje uspeo da izvučem iz tog Windows-ovog (Win7) bekapa, neki su samo bili corrupted. Na serveru sam imao dnevni bekap na disk koji nije vidljiv iz Windowsa tako da je tu bilo jednostavno pregaziti zaražene fajlove s fajlovima od prethodnog dana. Naravno nikad nisam saznao kako se pojavio u mreži i pored aktivnog i ažuriranog antivirusa, 300% da je neko kliknuo na mejl attachment mada su svi korisnici tvrdili da "niko ništa nije dirao".
 
Odgovor na temu

Aleksandar Maletic
System administrator

Moderator
Član broj: 235887
Poruke: 1138
195.66.69.*



+89 Profil

icon Re: Ransomware kao oblik malicioznog softvera09.03.2020. u 11:51 - pre 49 meseci
bachi je u velikoj meri objasnio suštinu, za poslovno okruženje samo multilevel zaštita, kvalitetan mejl provajder, ozbiljno antivirusno rešenje, SSL, VPN, segmentiranje mreže, što više nezavisnih VLAN-ova i strogo kontrolisan spoljni pristup internim podacima i servisima. Što se tiče personalnih računara, za mene je backup prioritet broj jedan. Lično forsiram Synology NAS storage (2x2TB, RAID1) u kombinaciji sa eksternim hard diskom (4TB) pod Bitlockerom. Na laptop računaru, kombinacija SSD + HDD. Backup na nedeljnom nivou sa Acronis True Image 2020 koji ima implementiranu anti-ransomware zaštitu.


Citat:
bachi: Ko ima WSUS/SCCM, može sam da kontroliše proces patchovanja, pa da ima i neku test grupu koju će prvo da patchuje, pa ako sve bude ok, da primeni patch i na ostale računare...


Obavezno! Patch ume popriličnu pometnju da napravi ako se ne testira u izolovanom okruženju i pusti direktno na SCCM. Pre nekoliko meseci, kumulativni update, muke neviđene...
A wolf is weaker than a lion and a tiger, but doesn't play in the circus.
 
Odgovor na temu

valjan
Janko Valencik
Software Deployer
Schneider Electric
Novi Sad

Moderator
Član broj: 158605
Poruke: 3531
*.mediaworksit.net.



+553 Profil

icon Re: Ransomware kao oblik malicioznog softvera09.03.2020. u 12:00 - pre 49 meseci
I sad među svim ovim savetima dolazima do velikog paradoksa - čuvati sve na centralnom file serveru, a ne dozvoliti mapiranje diskova. Evo, onaj ko prvi ubedi sve moje koleg(inic)e da svakog dana po 200-300 puta ručno potraže deljeni folder i ručno se uloguju svaki put kada im zatreba neki fajl iz zajedničkog šera, dobiće pola moje plate. A nešto ne vidim neko drugo rešenje da fajlovi sa takvih šerova budu lako dostupni za svakodnevni rad, a nedostupni za neovlašćeni pristup.

Poslednji put kada sam se susreo uživo sa ransomware-om širio se po napadnutom LAN-u upravo preko mapiranih foldera, odnosno šta god je bilo mapirano na zaraženoj mašini sa sačuvanom lozinkom, tamo je krenuo da se širi, uključujući i par Linux servera koji su preko Samba servera imali deljene foldere kojima se moglo pristupiti sa Win mašina. Ono što je tada spasilo stvar na većini Windows servera je Shadow copy, koji je bio uključen na svim serverima ali je samo na jednom bio pukao jer mu je HDD bio prepun, ali i za te podatke je kopija postojala drugde, tako da je šteta bila minimalna. Znači sa bukvalno 3-4 klika mišem skoro sve je vraćeno u pređašnje stanje kao da enkripcije nije ni bilo, da ne spominjem sve prethodne situacije kada je neko slučajno obrisao ceo podfolder ili pregazio neku ispravnu verziju fajla neispravnom, Shadow Copy to rešava za par sekundi, a nije potrebno bukvalno ništa posebno da bi se koristio, sastavni je deo Windowsa..

Otprilike na 95% sistema gde je neki početnik radio podešavanja, nađem da su pogašeni i Shadow Copies, i System Restore i sve slične funkcije jer "troše resurse", neke naprednije backupe da i ne spominjem. Posle kada dođe do ovakve situacije, šteta je mnogo veća nego taj procenjeni "trošak" na početku. Drugim rečima, idealna zaštita ne postoji, nešto se ponekad mora žrtvovati i nekad je ono što je idealno ujedno i nepraktično pa se moraju uvek nalaziti kompromisi.
 
Odgovor na temu

Shadowed
Vojvodina

Član broj: 649
Poruke: 12846



+4783 Profil

icon Re: Ransomware kao oblik malicioznog softvera09.03.2020. u 12:11 - pre 49 meseci
Neki normalno napravljen malware nece ni zahtevati da mapiras share na disk vec ce jednostavno otici i videti sta ima na mrezi. Koleginice ne trebas ubediti da ne mapiraju mrezne resurse nego da se obuce za osnovni rad sa racunarom koji je povezan na Interenet.

Licno smatram da je trebalo (sad je kasno ali pre jedno 30+ godina) uvesti obavezno polaganje za dozvolu za pristup Internetu. Kao sto moras imati vozacku dozvolu za ucesce u drumskom saobracaju tako da ti treba i "net dozvola" za ucesce u Internet saobracaju.
 
Odgovor na temu

[es] :: Zaštita :: Ransomware kao oblik malicioznog softvera

Strane: 1 2 3

[ Pregleda: 8354 | Odgovora: 56 ] > FB > Twit

Postavi temu Odgovori

Navigacija
Lista poslednjih: 16, 32, 64, 128 poruka.