Skrivet av Yorgo_:
Ransomvirus...
...som enligt mig är bland det värsta du kan råka ut för.
Kan inte annat än hålla med - det är värre än vilken hårddiskras, stöld, brand etc. som helst eftersom du vet att filerna finns där men utom räckhåll om du inte betalar priset. - Jag sätter den här risken som allra högst för fatal skada på företag och hela backupfilosofin har ändrats radikalt pga. detta på företaget jag jobbar på... Det var 2 på ca 8 anställda som gick på postnordviruset förra året vid den här tiden - AV-programmen fångade upp detta som tur var - den här gången - och blev en ögonöppnare och detta kan hända igen av mer sofistikerade program som tar sig in på annat sätt - som tex. via flashplayer mfl. program med zero-day hål och då behövs det ingen användaraktivitet mer än lite slösurfning för att få in skiten på datorn...
---
Hittills har dessa varit ganska snälla och inte försöker sprida sig inom företagsnäten och 'bara' nöjer sig med att kryptera alla filer den ser från den angripna klientdatorn - men det är inget man skall förutsätta att nästa ransoware-angrepp är så 'snäll' och uppfostrad...
---
Hur är det med backupper och regelbunden backup (av klientdatorer)?
Finns inget sådant så är det dags att titta över det _NU_ och då handlar det om att göra 'dold' backup via service/demon som att gå via ssh, rsync, via borg-backup om man kan installera det i NAS - dvs. att de backuppade filerna läggs dolt på sådant sätt att dessa inte är åtkomliga över nätverket av någon alls mer än via sina backupprogram (då i restore-läget).
Alla backupprogram som skriver direkt på filsystem för att lägga sina backupfiler är bara att skrota - allt som användaren kan komma åt via filhanterare och Explorer på hårddiskar (externa liksom interna), nätverksvolymer och även molntjänster som presenterar sig som mapp eller filsystem på klientdatorn - kommer också ransomwiruset åt (och lite till) och kan kryptera.
NAS kommer bli den viktiga navet för backuphanteringen och i princip 'alla' köpe-NAS stöder lägst 'ssh' och 'rsync' som kan accessas utifrån från klienter. NAS måste också sättas upp för en dold backup av sina publicerade filer över nätverksvolymer och denna måste också göras på generationsbasis och tillräckligt många generationer för att klara av en långhelg/semesterperiod där man kan gå tillbaka dag för dag typ minst en månad bakåt. NAS måste också ha regelbunden backup till annan NAS, molntjänst eller lägst extern HD. Modernare, lite större köpeNAS med BTRFS eller ZFS som filsystem så kan det lösas med dagliga snaphot (som ställs för Read-only läge) på de publicerade nätvolymerna medans de enklare och billigare NAS med ext4 som filsystem så får man leka med rsync, hårda länkar (på liknande sätt som apples time-machine och använder hårda länkar), skriptar och cron för att lösa detta.
Backupklienter då ?
När det gäller backupklienter för windows som kan "posta" sina backupfiler via 'ssh' eller annan krypterande transport och service-tjänst och den vägen komma utom synhåll för virusangrepp så dräller det verkligen inte av dessa (har inte inventerat den kommersiella sidan men det dräller troligen inte av dessa där heller och som kan gå via server och krypterad länk och de som kan är ihopsatt som helhetslösning och krav på större servrar samt licenser. Större företag klarar kostnaderna för sådant men inte få-mansföretag...)
Backupprogram som följer med externa hårddiskar som WD och Seagate etc. i snygga grafiska paket kan man slänga direkt då de jobbar direkt på diskens filsystem och därmed fullt åtkomlig för en ransomwarevirus.
Påfallande många som fått ransoware-virus på sina datorer har också krypterat upp sina backupper ohjälpligt (de som har) för att den är inkopplad samtidigt när de jobbar eller kopplas in när de upptäcker att det är strul att öppna sina filer och innan de förstår att de har fått virus i burken.
---
Själv använder jag "Duplicati" för windows, som har duplicity som förebild inom linux-världen, har infrastruktur nog för att hantera detta med SSH och SSL för att dumpa sina filer via SSH-konto på tex. NAS samt har versions/generationsbackup, vilket gör att om angreppet startar sen fredag eftermiddag och inte upptäcks förrän på måndagen morron så är inte alla backupper sönderskrivna med sin motsvarande nyaste krypterade kopia, vilket det annars blir om man bara gör en daglig spegelfilstsystem-kopia på nasen av sina klientdatorer.
Kort sagt ransomware-hotet gör att man måste tänka ut helt nya lösningar för att säkra sina data och bygga för att tåla ett angrepp utan för mycket förluster (typ förlust av någon dags arbete som mest) - för det handlar inte om ett 'om' utan 'när' man får in ett sådant angrepp i företagsdatorer - se till att vara rustade för detta, skäll inte de som gör misstagen och får in skiten på företagsnäten, då sådant kan hända även den bäste i en stressad situation - för det hela _är_ utformat för att folk _skall_ fastna på kroken!!
