Mitigação da aderência do Cryptolocker no servidor SAMBA compartilhado

Navegue suas respostas
0

Eu tenho um cliente que foi recentemente atingido com uma variante muito nova do Cryptolocker. Infelizmente o usuário que foi atingido teve um alto nível de acesso ao sistema. Aparentemente, não há como educar algumas pessoas.

Ocorre que deve ser possível mitigar os danos se for possível fazer uma cópia de cada arquivo (por exemplo, no SSD) sempre que (mas antes de) ser gravado e excluir esses arquivos à medida que eles envelhecem , mas eu não sei como fazer isso.

Alguém conhece as etapas técnicas que podem ser tomadas em um servidor SAMBA do Linux para atenuar o Cryptolocker e que não depende da limitação do acesso do usuário ou da confiança no antivírus. (Nosso software antivírus não atendeu, pois a ameaça surgiu apenas algumas horas antes de o usuário ser atingido)

Colocando dados em um Volume Lógico e tirando instantâneos regulares me ocorreu, no entanto, eu entendo que os instantâneos têm uma grande penalidade no desempenho que eu espero evitar.

    
por davidgo 09.02.2016 / 18:31

3 respostas

2

Eu nunca fui atingido por uma dessas variantes desagradáveis do cryptolocker, mas a falta de um backup de arquivos, seja via snapshots ou algum outro método, é a única proteção que você pode ter.

Além disso, quem lhe disse que os instantâneos têm uma penalidade de desempenho, não está totalmente certo. Sim, tirar uma foto tira alguns recursos, mas, dependendo do tamanho do seu volume ser instantâneo, pode ser insignificante. É difícil dizer sem saber o tamanho e a natureza dos seus dados. Mas você tem que ter uma maneira de fazer o backup desses arquivos, no caso de o cryptolocker acertar ou acertar novamente.

    
por 09.02.2016 / 18:44
1

Se os instantâneos do LVM não estiverem funcionando para você, será necessário examinar os backups periódicos (e possivelmente freqüentes), gravados em um local onde o malware não tenha acesso de gravação. Então você só teria o instantâneo do LVM ativo por tempo suficiente para fazer o backup.

Se isso significa usar Duplicity ou borg-backup ou rsync ou rdiff-backup ou rsnapshot, gravar em uma unidade USB externa ou um servidor na outra extremidade de uma conexão SSH, é com você.

Pessoalmente, eu prefiro o borg-backup, porque ele faz:

  • De-duplicação em blocos de tamanho variável
  • Compressão
  • Funciona bem em SSH
  • Cria um número mínimo de arquivos no servidor de backup
  • É muito rápido após o backup inicial

O Borg é rápido o suficiente para criar incrementais, que eu consideraria criar um instantâneo LVM do sistema de arquivos de origem, fazer o backup com o Borg e, em seguida, remover o instantâneo do LVM. Dependendo da quantidade de dados e arquivos que estão sendo armazenados em backup, isso pode ser inferior a um ou dois minutos por hora em que o instantâneo estará ativo.

Anedota: Usada para fazer backup de um servidor de e-mail baseado em MailDir de 100 GB com rdiff-backup e demorou de 4 a 6 horas por dia e criou muitos e pequenos arquivos no sistema de arquivos de destino. O uso do Attic (o antecessor do Borg) transformou isso em uma operação de 15 a 20 minutos e criou apenas algumas centenas de arquivos no sistema de arquivos de destino. Então, eu não sou mais fã de backups baseados em rsync devido ao grande número de arquivos que são criados no diretório de destino.

Links:

por 03.04.2016 / 19:41
0

No que diz respeito ao snapshot, provavelmente iremos nos direcionar para o ZFS, o que permite snapshots de custo muito menor.

Também adicionamos as seguintes linhas aos compartilhamentos apropriados que, acredito, oferecem alguma proteção contra algumas variantes do cryptolocker, instalando o samba-vfs e fazendo o backup de arquivos que são excluídos - 

    vfs objects = recycle
    recycle:repository = .recycle
    recycle:keeptree = yes
    recycle:versions = yes

Eu também encontrei um post que entra em outro mitigações - incluindo a ativação da auditoria completa e o uso do fail2ban para encontrar extensões comuns usadas pelas renomeações do cryptolocker para atenuar a ameaça.

    
por 02.06.2017 / 08:54

Tags

obtém o endereço IP que modificou um arquivo Amplia a partição usando outro disco [closed]