Hade en liknande incident på mitt jobb förr-förra året mha postnord-phisingen som också hejdades i tid - i det här fallen gjorde AV-programmen sitt jobb, men det skrämmande var att det var mer än en som försökte... på större företag så händer detta tydligen hela tiden och detta belönas oftast med en fullständigt rensad dator och anställde får börja på helt ny kula med sitt datoranvändande, inga mail, ingenting kvar, vilket är tråkigt om man har flera års mailkonversation med sina kunder/uppdragsgivare - så det svider ordentligt...
---
Med denna incident i bakuvudet så gjordes backup-strategin på Nasen omedelbart om med extra diskar och shadow-copy med generationsbackup för 30 dagars daglig backup-historia, utöver off-site-backupen som görs emellanåt.
Det installerades också backupprogram Duplikati på en del klientdatorer då dessa kan sända filer via ssh-konto till NAS:en och därmed dold backup och inte via vanliga filsystem, då allt som är synligt i filsystemväg och nätverksvolymer etc. ur användarsynpunkt - är också angrepp-bar för cryptovirus.
Att hitta backupprogram som har annan väg att sända/lägga sina backupfiler än via filystem och nätverksvolymer är viktigt men dessvärre ganska ovanligt, man kan kasta > 95% av backupprogram-marknaden med flashiga gränssnitt och det är bara en handfull kvar att välja mellan varav några är kommersiella och/eller kopplade till molntjänst och några få är open-source som tex. duplikati.
De flesta köpenas har en linux snurrande - Har du plats i NAS:en för ett par extra diskar (det är därför man alltid köper NAS med minst 4 diskplatser även om man bara använder 2 diskar) så använd dessa diskar som en spegelbackup av den synliga filsystem-delen av NAS med hjälp av rsync (som finns i alla Linux-NAS) och därefter kopiera filer med hårdlänkar till nya direktory - en per dag med 'cp -al' i ett cron-drivet script (allt bygger på att rsync när den kopierar - bryter en hårdlänk om det kommer en förändrad fil med samma namn som den gamla och då förstörs inte de gamla kvarvarande hårdlänkade filerna som finns i de olika backupdirektorys - och den vägen så spar man diskplats!).
Har man bara 2-disk nas, så ja det, går nog att lösa med inkopplade externa USB-diskar, men inte rekommendabelt, och företag har ofta mer pengar att röra sig med för bättre HW.
Detta kan göras med en bash-script och sedan körs dagligen mha cron.
man kan se lite grand om ideerna med
http://www.mikerubel.org/computers/rsync_snapshots/#Increment...
Och det fina är att all infrastruktur finns redan i en redan ganska så enkel NAS med linux i botten och scriptningen kan man själv trixa med och det behövs inte installeras någon programvara utifrån alls (NAS som ASUSTOR är extremt strippat på användbara komponenter och programvaror och det går heller inte ladda in på enkelt sätt som en mer familjär editor som emacs/jove eller midnigth commander utan man har bara 'vi' att leka med...)
Det tråkiga är att just detta med generations/inkrementell backup finns inte som färdiga funktioner eller välprövade skript i de grafiska gränsnitten hos den billigare köpe-nas utan man måste hacka i ordning det själv mha ssh-terminal (tex via putty i windows)
men oavsett hur man löser detta - så måste man prova detta och dubbelkolla och se att allt fungerar som tänkt och kanske övervaka det över en månad och se att inte något dumt händer - lätt att göra missar när man hackar script. En sak som man kan råka på är att spegeldisken plötsligt blir full (speciellt om har en pågående cryptovirus-angrepp då alla filer är 'nya' och tar plötligt plats i spegeldisken tillsammans med alla äldre versioner) och man måste försäkra sig att administratören blir uppmärksammad på detta långt innan diskarna blir smockfulla - ett stor ökning av backuppvolymen på ett dygn är varningsklocka att det är något skit på gång...
På lite modernare NAS med BTRFS som filsystem så kan man schemalägga en daglig snapshot på filsystemet och den kan dessutom väljas att bli read-only om man vill undvika manipulation i efterhand (super-user kan dock alltid ändra snapshot till skrivbar eller ta bort den helt)
