Server, backup e virus CryptoLocker

Tutte le risposte

• 

  

  0

  Registrati per votare

  da cryptolocker non ti puoi difendere in alcun modo se non formando gli utenti nel prestare molta attenzione a quello che fanno (siti visitati, mail ricevute) perchè non c'è sistema di backup o server che possa bloccare l'attacco.

  una possibilità è data dal mettere "falsi bersagli" ossia directory condivise con file di dati inutili molto corposi in modo che la crittografia richieda molto tempo all'eseguibile per portare a termine il danno.

  tutto questo purchè si sia abbanstanza pronti a staccare la macchina untrice dalla rete.

  comunque, ti ripeto, non c'è un sistema di difesa che ti metta al riparo assoluto dal fenomeno.

  ciao.

  ---

  Edoardo Benussi
  Microsoft MVP - Cloud and Datacenter Management
  edo[at]mvps[dot]org

  mercoledì 8 febbraio 2017 16:23

  Moderatore
• 

  

  0

  Registrati per votare

  Grazie per la risposta Edoardo,

  Considerando la tua affermazione e considerando la nostra situazione finanziaria, se ti chiedessi un consiglio "da buon padre di famiglia" cosa mi consiglieresti?

  Continuare con OneDrive e l'accortezza? Spingere per un server ed i relativi backup?

  So bene che un backup sarebbe una sicurezza in più, ma vorrei farlo mettere a budget nel futuro se ci saranno più soldi.

  Grazie.

  mercoledì 8 febbraio 2017 17:39
• 

  

  0

  Registrati per votare

  Se davvero affidate TUTTI i dati importanti a One Drive, c'è da considerare anche che in caso di infezione avete la possibilità di fare il restore delle versioni precedenti (a mia memoria solo nelle versioni business, o almeno era così una volta).

  Potete fare il restore di 1 singolo file oppure in blocco di tutti i files (in questo caso solo contattando il supporto dedicato)

  https://support.microsoft.com/en-us/help/3134213/how-to-recover-missing,-deleted-or-corrupted-items-in-sharepoint-online-and-onedrive-for-business

  Lo stesso vale per gli altri servizi storage online (google drive e dropbox)

  giovedì 9 febbraio 2017 08:12
• 

  

  0

  Registrati per votare

  verifica se è vero quanto dice Victor perchè quella è una delle poche armi contro cryptolocker:

  se tu avessi un server ti avrei suggerito l'attivazione delle shadow copies che è la sola modalità in cui riesci a recuperare i dati visto che i backup classici vengono criptati pure alla stessa stregua dei files di dati.

  ciao.

  ---

  Edoardo Benussi
  Microsoft MVP - Cloud and Datacenter Management
  edo[at]mvps[dot]org

  giovedì 9 febbraio 2017 08:27

  Moderatore
• 

  

  0

  Registrati per votare

  A proposito di OneDrive (che avremo nella versione Business ben presto) il dubbio è che le copie mi risultano esistere se hai modificato il file, non se è il da un anno senza averlo mai toccato. Comunque chiederò al supporto.

  Per "Shadow copies" immagino tu ti riferisca all'immagine totale del tuo sistema che viene fatta a periodi fissi (come i vecchi bkp giornalieri su tape) e che poi dovrai esportare su un servizio di stockaggio su cloud. Giusto?

  giovedì 9 febbraio 2017 11:49
• 

  

  0

  Registrati per votare

  C'è un business importante dietro e quindi molto studio per fare in modo di guadagnare più bitcoin possibile.

  Temo che anche le cartelle honeypot o falsi bersagli possano poco contro la criptografia che usano. Loro non hanno bisogno di proteggere il file da occhi indiscreti criptandolo interamente, ma di renderlo inservibile nel minor tempo possibile, per cui in realtà non criptano tutto il file, ma una piccola parte indispensabile. Per intenderci ho verificato con una cartella di file avi da 1 gb l'uno e la criptografia è stata velocissima.

  Non so come funzionano le copie precedenti di dropbox che citate, ma se loro hanno la versione free ho paura che non siano disponibili e se viene infettato un qualsiasi pc poi cripta la cartella locale di dropbox poropagando il disastro agli altri client dropbox...

  L'arma migliore è formare l'utente perché non si lasci fregare dal solito allegato, ma personalmente per quanto io mi sia impegnato con tanto di riunioni mirate solo al cryptolocker qualcuno che ci casca c'è sempre.

  In una realtà con poche risorse come può essere quella che descrivi io direi:

  1)Dedicare in via esclusiva un PC/NAS/SERVER alla condivisione. Se il pc che condivide i dati è utilizzato per lavoro e l'utente clicca sull'eseguibile malevolo finisce per compromettere tutto.

  2)Usare i permessi NTFS secondo la regola che l'utente deve avere il minimo dei permessi per accedere alle sole cartelle di cui ha bisogno - Gli uffici devono avere cartelle dedicate e non accedere ad un calderone di file unico. Poiché il cryplolocker aglisce nel contesto dell'utente, cripterà solo un numero limitato di file.

  3) il backup è ovviamente la cosa più importante e deve essere VERIFICATO PERIODICAMENTE. Il backup non deve essere in una cartella condivisa raggiungibile dai client, ma deve essere vista solo dal server. Il server non dovrebbe infettarsi con criptolocker perché non è utilizzato interattivamente da utenti

  4) Non ti sbattere tanto per recuperare dati personali dell'utente non vitali per l'azienda che magari erano stati messi in una cartella locale. L'utente presterà molta più attenzione in futuro e si lamenterà con tutti gli altri utenti dei danni del cryptolocker somministrando di fattoi il corso che avresti dovuto fare tu.

  Già con un nas da poche centinaia di euro potresti cavartela, ormai anche i nas hanno soluzioni similari alle shadow copy...

  
  

  • Modificato Marco Guerzoni giovedì 9 febbraio 2017 21:21

  giovedì 9 febbraio 2017 21:05
• 

  

  0

  Registrati per votare

  sulla 3) dissento: tipicamente si usano i file server proprio per concentrare i file di dati aziendali che il file server è il primo bersaglio del cryptolocker.

  ---

  Edoardo Benussi
  Microsoft MVP - Cloud and Datacenter Management
  edo[at]mvps[dot]org

  venerdì 10 febbraio 2017 08:07

  Moderatore
• 

  

  0

  Registrati per votare

  
  

  Per "Shadow copies" immagino tu ti riferisca all'immagine totale del tuo sistema che viene fatta a periodi fissi (come i vecchi bkp giornalieri su tape) e che poi dovrai esportare su un servizio di stockaggio su cloud. Giusto?

  mi riferisco a questo

  https://technet.microsoft.com/it-it/library/cc771893%28v=ws.11%29.aspx?f=255&MSPPError=-2147217396

  ---

  Edoardo Benussi
  Microsoft MVP - Cloud and Datacenter Management
  edo[at]mvps[dot]org

  venerdì 10 febbraio 2017 08:12

  Moderatore
• 

  

  0

  Registrati per votare

  Se "dissenti" mi spavento e ti chiedo di spiegarmi meglio perché dovrebbe riuscire a attaccare il file server col backup.

  Nelle mie convinzioni e in base ai test che ho fatto con i campioni che man mano mi arrivavano, il virus non infettava la macchina e non sfruttava vulnerabilità, ma semplicemente agiva in nome e per conto dell'utente che aveva cliccato sull'eseguibile. In pratica l'utente (il virus) esegue una modifica sui soli file per cui ha autorizzazione di modifica, quindi le sue cartelle del profilo e le sue condivisioni autorizzate. Nulla di piu'.

  Non ho mai notato grosse differenze, se non le estensioni che attribuivano ai file criptati, l'ordine in cui criptavano (prima I dischi condivisi o I doc locali oppure qualcuno criptava solo I file del profilo...), ma mai mi e' capitato che il criptolocker si diffondesse su altre macchine diverse dalla macchina dove ha cliccato l'utente.
  Forse perche' mi sono capitate infezioni meno cattive, o forse perche' le macchine erano sempre tutte patchate, ma la mia esperienza fino ad oggi e' questa.

  venerdì 10 febbraio 2017 08:41
• 

  

  0

  Registrati per votare

  nessun spavento, sono io che ho interpretato male quello che hai scritto.

  credevo ti riferissi ai normali file server alle cui condivisioni accedono tutti gli utenti mentre tu, invece, avevi premesso che ti riferivi al solo server dedicato al backup a cui puo accedervi solo un account di servizio dedicato.

  diciamo che al momento questo sistema di protezione può andare fino a quando il cryptolocker è basato su un agente virale in esecuzione su una macchina e il danno si propaga alle altre che hanno un ruolo puramente passivo. 

  chiedo scusa per la mia errata interpretazione.

  ciao.

  ---

  Edoardo Benussi
  Microsoft MVP - Cloud and Datacenter Management
  edo[at]mvps[dot]org

  venerdì 10 febbraio 2017 08:53

  Moderatore
• 

  

  0

  Registrati per votare

  Aggiungerei che il backup dovrebbe mantenere, possibilmente, diverse versioni (almeno una settimana lavorativa).

  A me è capitato un caso di utente particolamente "sveglio" che si è deciso a chiamarmi solo un paio di giorni dopo aver contratto l'infezione. A quel punto anche i file di backup erano stati sovrascritti ed erano inutilizzabili

  venerdì 10 febbraio 2017 11:06
• 

  

  0

  Registrati per votare

  Per esperienza personale, il buon criptolocker ha infettato un pc della rete aziendale attraverso la classica mail.

  E' stato tempestivamente bloccato, nel giro di 5/6 minuti in quell'arco di tempo ha corrotto il pc "untore" al 30% ma ha criptato circa 780 GB sul server.

  Sono stati fatti due interventi di recupero, il primo mediante Veeam ricostruendo il tutto da disaster recovery in circa 30 h di lavoro per la ricostruzione mentre il secondo su un server muletto partendo dal backup della notte precedente in 8 h di lavoro.

  Morale ho la fortuna di avere una struttura solida e l'azienda non ho praticamente risentito dell'inattività, il server di back up era su dopo 1 h... Per la tua situazione mi permetto di consigliarti di fare un backup quotidiano su una nas e copiare giornalmente i dati su unità esterna (una per ogni giorno lavorativo); alla peggio perdi una giornata di lavoro e ripristini in poco tempo.

  venerdì 10 febbraio 2017 12:17
• 

  

  0

  Registrati per votare

  Grazie a tutti per le informazioni. Le passerò ai miei capi e che prendano la decisione migliore.

  @Lomba - Che tipo di azienda siete? Quanti utenti?

  sabato 11 febbraio 2017 11:57
• 

  

  0

  Registrati per votare

  Se vuoi qui sul forum TechNet ci sono anche altre discussioni relative all'argomento cryptolocker(se ne è discusso parecchio nella community). Magari possono esserti utili:

  https://social.technet.microsoft.com/Forums/forefront/it-IT/4880d7fa-da77-424d-8147-b54e9d067a3e/backup-cryptolocker?forum=windowsserverit

  https://social.technet.microsoft.com/Forums/it-IT/cd516d04-cf0d-4cb9-b5ae-22603979880b/analisi-del-grado-di-protezione-rispetto-a-malwarevirus-di-tipo-cryptolocker?forum=sicurezzait

  • Contrassegnato come risposta Nikola KochmalarskiMicrosoft contingent staff, Moderator lunedì 13 marzo 2017 09:35

  sabato 11 febbraio 2017 12:04
• 

  

  0

  Registrati per votare

  Ancora una volta, grazie per le informazioni che mi avete dato, i miei responsabili hanno capito il problema, mi hanno promesso un server con la conseguente soluzione di backup, ma per il momento non abbiamo budget per questa spesa. 

  Ebbene si, c'è chi ha anche questi problemi...

  Dovendomi scervellare per trovare una soluzione alternativa che mi aiuti a passare indenne fino a quando troveremo i soldi, avrei pensato a due soluzioni.

  1. Settimanalmente dovrei fare il giro delle scrivanie e chiedere a ogni utente di copiare i propri dati su un disco esterno. Tale operazione, però è a volte difficile a causa di gente all'esterno, al telefono (e dopo si dimentica), in telelavoro. Siamo solo in 10 ma questi sono problemi reali.

  2. Creo un secondo conto OneDrive o gDrive per ogni utente. Tale conto non dovrà essere usato per altri scopi che il salvataggio dei propri dati. Settimanalmente (avviso periodico sul calendario di Outlook) ogni utente dovrà connettersi a questo conto, copiare i propri files, chiudere la connessione.

  So che non sono grandi soluzioni, ma penso che fino a quando non avrò budget, questo è quello che posso offrire.

  Grazie a tutti. 

  • Contrassegnato come risposta Nikola KochmalarskiMicrosoft contingent staff, Moderator lunedì 13 marzo 2017 09:35

  mercoledì 15 febbraio 2017 14:05