Шифраторы атакуют! Методы противодействия и проекты av-софта

[Alex2013]

Уже второй раз за несколько месяцев в Сети проявляется "зловреды" с глобальными аппетитами.

Понятно что по конкретным случаям тут-же появляются различные заплатки и затычки .
Но интересно можно ли сделать что-то достаточно простое и в тоже время надежное для УНИВЕРСАЛЬНОЙ зашиты от угроз вроде пресловутых "шифровальщиков" ?

Разумеется многое зависит от уровня на котором происходит разработка "зловредов" ...

Но все-же наверное есть возможность :
1 Детектирования угрозы на стадии распространения .
2 Детектирования угрозы на стадии шифрования .
3 Быстрого восстановления в случае пропуска "пенальтия" (что вообще полезно даже при полном отсутствии внешних угроз )

Это что называется "навскидку" ...


Зы
(ИМХО) Разумеется лучший способ защиты в отсутствии зависимости от "файловой помойки " в принципе ...

Есть ? Хорошо! нет ? 99% восстановимый ресурс (главное наверное помнить, что там было хотя бы в виде каталога )...
а конкретно программистам думаю стоит как можно больше исходников выкладывать в отрытый доступ ...
(Думаю даже ЗАКРЫТЫЕ проекты можно частично публиковать, делать лайт версии или использовать часть кода в других проектах )
"Очень секретный код" можно распечатать или даже выписать в тетрадку. (обычно подобного в проекте считанные килобайты )
Разное личное медиа "на память " хранить на внешних носителях и делать копии-выборки лучшего .
Важные данные хранить на "нескольких облаках" ( у программистов их обычно немного )
"Большие данные" вообще на рабочих и домашних машинах не хранить в принципе . (пусть у админов серваков голова болит )

Все вышесказанное разумеется банальность , но и она может помочь ...
Кстати , было-бы интересно придумать и нечто мене банальное . Как думает что еще можно предложить ?
-------------------------------------------------
По софт проектам "на тему топика".

1 Простая "Спец. утилита" быстрого восстановления ОС
(Как не покажется странным проект довольно не тривиальный и имеет массу "подводных камней")
2 Утилита "мгновенной установки" чистой ОС (в обход медленных стандартных инсталлятров и возможно по сохраненному шаблону-конфигурации )
3 Утилита сохранения установленных программ (что-то вроде более продвинутого внешнего деинсталятра )
4 Простой файловый ревизор ( тут все понятно слежение за открытием закрытием и изменением )
5 Каталогизатор "файловых помоек" (С указанием оттуда что взялось и возможно встроенный поиск источников возобновления )
....

Еще интересно есть ли простой способ перекрыть доступ к ФП для любых "чужих" программ и процессов ...
(без шифрования, паролей и тд с использованием только стандартных или простых средств и методов )

[Лекс Айрин]

Посмотри Кубес Ос(Qubes Os). Если бы оси были построены примерно так же, то проблема с заражениями решалась бы простой перезагрузкой.
А вообще, есть куча методов... только о них мало кто знает и еще меньше пользуются. Например, заморозка системы.

2 Утилита "мгновенной установки" чистой ОС (в обход медленных стандартных инсталлятров и возможно по сохраненному шаблону-конфигурации )

Это называется "разворачивание образа" и очень часто используется прошаренными админами для быстрого восстановления системы. Причем, образ обычно идет типовой и со всеми установленными программами. Конечно, данные пользователя теряются((

[Alex2013]

Посмотри Кубес Ос(Qubes Os). Если бы оси были построены примерно так же, то проблема с заражениями решалась бы простой перезагрузкой.

Ну витруалка случай "чуть" особый . (Возился много и долго.. даже до Xen дабирался ... помогает.. но не всегда УДОБНО и не очень надежно )
Наверное интереснее что-то вроде (WUBI) но более универсальное для ЛЮБЫХ осей...
То есть сделать так чтобы загрузка ОСи "уходила" с физического раздела "в обычный файл" Пара осей (одна в офф-лайн ) + бкакп основной почти полностью решают проблему простого и главное БЫСТРОГО восстановления штатными методами .

Это называется "разворачивание образа" и очень часто используется прошаренными админами для быстрого восстановления системы. Причем, образ обычно идет типовой и со всеми установленными программами. Конечно, данные пользователя теряются((

Это будет нужно только для РЕЗЕРВНОЙ ОСи задача, которой, вcего лишь восстановлении загрузки и при необходимости копирование файла(или пары тройки фалов в случае нескольких ОС ) бкекапа. (С "сетевой" убунтой, кстати, у меня все устроенно именно так )
Если бы так-же ( то бишь копированием ОДНОГО файла ) восстанавливалась и "основная офлайн " семерка (используемая в основном для программирования и чтения ) я бы вообще хлопот не имел ...

[Лекс Айрин]

Это будет нужно только для РЕЗЕРВНОЙ ОСи задача которой свеголишь восстановлении загрузки и при необходимости копирование файла бкекапа.

Не поверишь! Для этого есть обычная флешка с мультизагрузчиком, которая подхватывает ЛЮБУЮ ось. А уже загрузившись в нее можно восстановить стандартный бутсектор для этой оси. Есть и программы разворачивающие с флешки бекап, но, кстати, восстановление бекапа прямо из системы не рекомендуется хотя бы потому, что система может тупо лежать хладным трупом. И зря ты думаешь, что подобное будет нужно только для восстановления системы -- разворачивание образа это стандартная процедура создания рабочего места в средней фирме. Там просто некогда заморачиваться с настройкой и тюнингом каждой копии оси. Потом, конечно, можно периодически делать бекап уже рабочей системы, но, если правильно организовать рабочее место, то даже при накатывании стандартного образа вместо посыпавшейся системы не произойдет ничего страшного -- просто надо будет найти расположение нужных рабочих файлов. Возможно, поставить экзотику типа 1С-предприятие.

Наверное интереснее что-то вроде (WUBI) но более универсальное для ЛЮБЫХ осей...

Это самый тупой и глючный способ. Лучше честная виртуалка, которая завязана на физический раздел.. Типа того же виртуалбокса. Ну или что-то типа драйвера Wine.

То есть сделать так чтобы загрузка ОСи "уходила" с физического раздела "в обычный файл"

Самый простой способ это загрузить ядро оси в биос, туда же добавить восстановление стандартной конфигурации. Ну и драйверы файловых систем... только этот путь закрыт для стандартных компов. Для телефонов/планшетов и прочих недокомпов это самое то.

[Alex2013]

1 Загрузка с флешки полумера, дальше то что ? И часто в этом нет необходимости (например у меня моя очень нестандартная настройка экрана в убунте иногда падает так что настраивать с нуля лень ... пару не сохраненных каталогов с "сетевой добычей "в архив + 10 минут копирования ... и конец проблеме )

2 "Честная виртуалка" гораздо более прожорлива в ресурсах ... ( UWBI тоже чуть тормозит фс но СРАВНИВАТЬ с даже аппаратной
виртуалкой просто невозможно) Плюс почти полная независимость от версии внешней оси или виртуалки ( Уровень загрузчика XXX-ldr) Кроме-того как показывает мой опыт физический раздел Линух гораздо более подвержен облому и разрушению (кривые руткиты, креки, регистрировалки и просто утилиты с виндов и окрестностей даже в полном офлайн "творят множественные злобные чудеса " с "нативным" линукс разделом ) файл WUBI на разделе с NTFS кажется прямо таки непробиваемым так как в принципе НЕ ОТЛИЧАЕТСЯ от любого другого файла ! (Противо-линусовые закладки (не знаю уж где в биос или просто в загрузчик ) от продавцов недорогой техники тоже идут лесом ...
... ага, смешно! купил нот С ЛИНУКСОМ и кучей глюков ... поставил винду вроде работает ... снова ставлю линукс "физически" опять глюки ... ставлю WUBI все работает как бы даже надежнее чем винда .... Ку ! Возможно впрочем что память чуть гючная попалась явно выявить тестами не получилось... но после замены одной из планок все стало куда как стабильнее )


3 Планшет с 10-й именно так один раз восстановил .... (хотя есть сомнения в том что бекап находится в прошивке )
Ноты с ОМЕ тоже поддерживают что-то похожее ( засечет скрытого раздела на винчестере )

[Лекс Айрин]

Загрузка с флешки полумера дальше то что ?

Смотря с какой флешки! Есть и такие, которые предназначены специально для восстановления систем. Ими можно и бут-сектор поправить, и пару каталогов перекинуть и систему из образа/бекапа поднять. И неважно какая система стоит на целевом компе.

UWBI тоже чуть тормозит фс но СРАВНИВАТЬ с даже аппаратной
виртуалкой просто невозможно

Смотря как сравнивать. Uwbi это способ гарантированно потерять обе системы, если что-то случится с разделом. А если у тебя системы на разных разделах, а то и в разных файловых системах, то разницы никакой.

файл WUBI на разделе с NTFS кажется прямо таки непробиваемым так как в принципе НЕ ОТЛИЧАЕТСЯ от любого другого файла !

Это не плюс, а минус. Любой неверный шаг пользователя снесет "ненужный" файл сходу. Да и есть шанс, что такой файл раскроется как обычный архив.

(Противо-линусовые закладки (не знаю уж где в биос или просто в загрузчик ) от продавцов недорогой техники тоже идут лесом ...

В нормальном биосе эти противолинуксные закладки отключаются на раз-два. Посмотри, например, здесь http://pronetblog.by/uefi-boot-chto-eto ... uchit.html Отключали и ставили целый зоопарк. А если нет, то мать возвращается по гарантии, так как невозможно использовать... т. е. она считается неисправной. Если это ноут с предустановленным линуксом, то он тем более возвращается целиком, т. к. производитель (продавец) гарантирует работу под данной системой. Конечно, лучше данный факт оговаривать при покупке. Это, так называемый money back -- возврат товара по причине того, что он не подошел. Поверь, в нормальной фирме у меня с этим была только одна проблема -- как раз перед возвратом сняли кассу. Я просто доплатил и купил другую железку.

Планшет с 10-й именно так один раз восстановил .... (хотя есть сомнения в прошивке )

Я и семерку так восстанавливал. Да, это как раз и есть стандартное восстановление из бекапа. И, естественно, за счет скрытого раздела.

[Pavia]

Smb отключить в место неё использовать ftp. Дыры там находятся реже, серверов куча.
Фаервол не отключать, а настраивать.
Резервное копирование с 15 кратным дублированием.
Запрет на запуск неизвестных программ, исключение папка с вашими проектами - даже лучше диск.
Папку пользователя вынести на отдельный диск. Хотя бы "мои документы"

[olegy123]

Alex2013, на сколько понимаю дальше винды не ходили.
На самом деле в крупных предприятиях уже давно применяются разные технологии установки, сохранения(в том числе на лету), резервирования.
Теже VMware,Huper-V - там все в коробке есть. Даже Virtualbox обладает достаточным функционалом. NAS- вообще могут сами сохранять независимо от системы-владельца. В linux-е есть файловые системы которые работают инкрементно.

Самому пришлось разрабатывать структуру сохранения данных на крупном предприятии. Тем самым бороться не только всяких зловредных программ, но и от человеческого фактора, когда сотрудник хочет восстановить документ который "нечайно" удалил, или сделал преднамеренно.
Для IT отдела это первоочередная задача. Есть достаточный функционал.

[Pavia]

Очень интересно, вы на каждую персоналку ставите виртуальную машину?

В linux-е есть файловые системы которые работают инкрементно.

И что с того? Вы её используете?

[olegy123]

Smb отключить в место неё использовать ftp. Дыры там находятся реже, серверов куча.

SMB не всегда отключишь, из-за прав доступа. FTP не спасет от шифратора и удаления.

Запрет на запуск неизвестных программ, исключение папка с вашими проектами - даже лучше диск.

Даже работа с правами (не админ) в WindowsXP на 99% спасает от вирусов, можно легко и просто работать без антивирусными программами. Тем более они собирают о вас инфу - тут даже антивирусник может оказаться более зловредным чем иной злой backdoor вирус.

Добавлено спустя 28 минут 55 секунд:
Re: Шифраторы атакуют! Методы противодействия и проекты av-софта

Очень интересно, вы на каждую персоналку ставите виртуальную машину?

У меня стоит linux c KVM-кой,
есть Debian,CentOS, Windows10, и еще осей для игр, для кодинга, для свободного время провождения от торрентов до pornхабов.. зачем мне антивирусы? ну стырят вирусы мои сейвовки игр - мне не жалко.

И что с того? Вы её используете?

nilfs2 - я не стал вводит потому что тогда был статус "testing", на крупном предприятии вводить то что "testing" - посчитал опасно. Да и с квотами(глубина бэкапа) нужно было задавать опционально.

[Pavia]

SMB не всегда отключишь, из-за прав доступа.

А вот тут хотелось бы по подробнее кто это человек у которого права отобрать нельзя.

FTP не спасет от шифратора и удаления.

Меня спасет, у меня односторонний шлюз.

Даже работа с правами (не админ) в WindowsXP на 99% спасает от вирусов, можно легко и просто работать без антивирусными программами.

Увы, но в большинстве случаев использование антивирусные программы является обязательным требованием ФСТЭК.

[olegy123]

А вот тут хотелось бы по подробнее кто это человек у которого права отобрать нельзя.

про Active Directory ваш FTP понятие не имеет.

Увы, но в большинстве случаев использование антивирусные программы является обязательным требованием ФСТЭК.

Ну если у вас есть статья в бюджете на антивирусники, почему бы не ставить?
Но если у вас гостевые компьютеры и терминалы - хватит настройка фаервола, с отключением ненужных сервисов - даже привлекать модные программы не нужно.
Вообще - весь офис, на зло, можно загнать в узкие рамки, дать форточку в виде бесплатного WiFi. Но и её можно периодичности закрывать смотря от настроения вашего скверного характера..

Я знал одну контору, где сисадмин вообще талонную систему доступа в интернет утвердил и ввел. Нужно интернет - записывается, рядом с ним стоит компьютер.. Приходит в назначенное время, отмечается в в его журнале.. Говорили, что некоторые сотрудники в юбках имели льготы.

[Pavia]

С AD ftp работает давным давно.
https://www.xlightftpd.com/tutorial/act ... ctory.html
Протокол открытый дороботать под себя можно.

[olegy123]

Xlight - так он под (.. able to run in Windows 200, XP, Vista, 7, 10, 2003, 2008 and 2012.), к тому же платный. А Samba бесплатная.

Протокол открытый дороботать под себя можно.

Там не все открыто/

[Alex2013]

Alex2013, на сколько понимаю дальше винды не ходили.

Будешь, разумеется, сильно разочарован в своих "экстрасенсорных способностях" и предположениях ...

Например на этом форум я самого начала почти исключительно с лнукса пишу ...
И на линукс с разной степенью успеха начал перебираться примерно с конца 90-х...
(Единственное, что до недавнего времени под линукс почти не программировал .)

На уровне пользователя в принципе мог бы вообще от Винды отказаться но... "хомяк" не позволяет (хотя заметь, что даже лень УЖЕ не против ) просто я тащу по жизни все растущие "коллекции привычек" со времени "мохнатого ДОС-а"( а кое что даже с более ранних времен )

На самом деле в крупных предприятиях уже давно применяются разные технологии установки, сохранения(в том числе на лету), резервирования. Те-же VMware,Huper-V - там все в коробке есть. Даже Virtualbox обладает достаточным функционалом. NAS- вообще могут сами сохранять независимо от системы-владельца. В linux-е есть файловые системы которые работают инкрементно.

Самому пришлось разрабатывать структуру сохранения данных на крупном предприятии. Тем самым бороться не только всяких зловредных программ, но и от человеческого фактора, когда сотрудник хочет восстановить документ который "нечайно" удалил, или сделал преднамеренно.
Для IT отдела это первоочередная задача. Есть достаточный функционал.

VMware ГРОМОЗДОК ... ее даже ПОЛНОСТЬЮ удалить из системы целая проблема ...
Ранее была отличная альтернатива от Parallel Software но увы ! Проект сильно комерциализировался и даже пираты перестали его "лечить" ...
Virtualbox все хорошеет и хорошеет ... И для обычного использования в качестве "песочницы" для самых разных нужд его более чем хватает ... НО давай все-же не лукавить ... даже самый быстрый гипервизор вроде Хеn-а загружаемый до загрузки пользовательской ОС ЕСТ РЕСУРСЫ (Аппаратная виртуализация снимает только ЧАСТЬ проблем но ни как не помогает от поедания памяти и разных коллизий с внешними устройствами ... )

В linux-е есть... много чего ! и иногда есть впечатление, что и двухсот лет жизни не хватит чтобы вникнуть во все щели ...
(Пока пользующийся и изучаешь одно, все прочее, кроме общих знаний, банально забывается за ненадобностью )
ЗЫ
ИМХО Для крупного предприятия можно вообще сделать что-то вроде СЕРВЕРА ВМ . (Достаточно мощная спец СБОРКА или небольшой КЛАСТЕР вполне могут решить все задачи реально нужные для работы нескольких сот рабочих мест ... УДОБСТВ в администрации и эксплуатации подобного "чуда техники " прямо таки немереное количество ...)
Но для персональной рабочей станции с ограниченными ресурсами все иначе ... "Горячее переключение" между осями нужно довольно редко и вешать полноценную ось ИСКЛЮЧИТЕЛЬНО "для запуска Virtualbox" сильно накладно и т.д. и т.п.