А един компютър без достъп до интернет а само във вътрешна мрежа не е ли вариант?

преди 2 минути, petie1 написа:

А един компютър без достъп до интернет а само във вътрешна мрежа не е ли вариант?

или по-малко ПАРАНОЯ!

преди 3 часа, dimo70 написа:

Въпрос към специалистите - как най-сигурно да направим бекап на компютър с няколко диска, но така че архива да е защитен от криптиране? Има ли такива варианти?

Уточнявам предварително, архивиране в облак, както и на външен диск с последващо откачане от компютърната система не са варианти.

Това да не са кодовете - за изстрелване на ядрените ракети?

преди 3 часа, Raze написа:

Предполагам става въпрос за windows. Mоже да пробваш да демонтираш дяла с архива и да му премахнеш буквата от disk management, за да няма достъп. Също и да ограничиш правата на потребителите да не могат да стартират и инсталират външни приложения.

Или всеки "back-up" (чете се -БЕК-ЪП) файл на отделен носител.

преди 5 минути, jhoro написа:

Или всеки "back-up" (чете се -БЕК-ЪП) файл на отделен носител.

? Нещо не разбра ли?

преди 2 часа, icotonev написа:

Аз да се намеся малко ...златното правило е да използвате правилото 3-2-1..:

Има и по-просто правило - правилото "НУЛА"!

В момента имам нула важна и незащитена информация, която я няма на поне още 3-4 места!

 

По-здрави на... питащия!

преди 3 минути, Raze написа:

? Нещо не разбра ли?

Нищо не разбрах!

преди 6 минути, jhoro написа:

Има и по-просто правило - правилото "НУЛА"!

В момента имам нула важна и незащитена информация, която я няма на поне още 3-4 места!

 

По-здрави на... питащия!

Нищо не разбрах!

Човека не иска да ползва външни дискове/памети или онлайн хранилища. Затова му предлагам да демонтира дяла/дяловете, които ще ползва за архив. По този начин няма да са видими за системата и съответно за криптовируса. Това все пак е моя теория, но би трябвало да сработи без проблеми, не вярвам да има чак такива вируси, дето да сканират всички дискови дялове, дори и неактивните и да криптират информацията и по тях. Може и да се направи дял с друга FS - например някоя, която е видима само под линукс (Ext2, Ext3, Ext4 и така нататък) и се достъпва през специализиран софтуер, както и да се криптира даден дял, да му се ограничат правата и така нататък. Разбира се, още по-сигурно е да не се използва windows, а някоя линукс дистрибуция.

преди 10 минути, Raze написа:

1. Човека не иска да ползва външни дискове/памети или онлайн хранилища.
2. Затова му предлагам да демонтира дяла/дяловете, които ще ползва за архив. По този начин няма да са видими за системата и съответно за криптовируса. Това все пак е моя теория, но би трябвало да сработи без проблеми,
3. не вярвам да има чак такива вируси, дето да сканират всички дискови дялове, дори и неактивните и да криптират информацията и по тях.
4. Може и да се направи дял с друга FS - например някоя, която е видима само под линукс (Ext2, Ext3, Ext4 и така нататък) и се достъпва през специализиран софтуер, както и да се криптира даден дял, да му се ограничат правата и така нататък. Разбира се, още по-сигурно е да не се използва windows, а някоя линукс дистрибуция.

Оффф ... пак ли си гледал "Мъже в черно" - 5?

1. Човекът не искал!!! То и аз не искам,да ползвам "жично електричество" - щото се плаща, ама се налага!
2. Добра идея, но ... не е перфектна!
3. По-глупавите вируси проверяват наред! Намирането на дяла е едно, а последващото въздействие ...
4. Това е "малка стъпка зачовека ...". Най-добре да не се ползва компютър!

преди 1 минута, jhoro написа:

Оффф ... пак ли си гледал "Мъже вчерно" - 5?

Нещо не разбирам въпроса? Този филм не е ли само до трета част? Ако става въпрос за MIB, това 'вчерно' какво значи? Днес мярнах втората част по някоя от кабелните ТВ. И освен да спамиш, с какво помагаш на въпроса на автора?

преди 2 минути, Raze написа:

Нещо не разбирам въпроса? Този филм не е ли само до трета част? Ако става въпрос за MIB, това 'вчерно' какво значи? Днес мярнах втората част по някоя от кабелните ТВ. И освен да спамиш, с какво помагаш на въпроса на автора?

Щях да се учудя, ако разбереш нещо - дето ... още не съм го написал!

Към автора:

• направи си какъвто архив искаш,
• сложи го в папка "My pictures",
• промени името на  ... "каквото искаш" и разширението на "*.jpg"
• и спи спокойно!

преди 1 час, jhoro написа:

Към автора:

• промени името на  ... "каквото искаш" и разширението на "*.jpg"

Под Линукс каквото и разширение да сложа на файл (или никакво), системата го разпознава правилно и го отваря със съответната програма, ако кликна двойно или го отбележа и натисна Enter.

ПП. Добавка: става въпрос за разнообразни файлове, създадени под различни операционни системи.

Информацията за файла, така наречените метаданни, е вътре в него.

Това е още от времето преди Майкрософт да изкара Уиндоус. И е логично и удобно.

преди 35 минути, Марчо Пирчов написа:

Под Линукс каквото и разширение да сложа на файл (или никакво), системата го разпознава правилно и го отваря със съответната програма, ако кликна двойно или го отбележа и натисна Enter.

И под Линукс, и под .. каквато и да е ОС - има асоциирани типове!
Кой файл - с коя програма се отваря.

преди 2 часа, jhoro написа:

Щях да се учудя, ако разбереш нещо - дето ... още не съм го написал!

Към автора:

• направи си какъвто архив искаш,
• сложи го в папка "My pictures",
• промени името на  ... "каквото искаш" и разширението на "*.jpg"
• и спи спокойно!

Ransomware-a първо jpg-a криптира на системата, заедно с разширенията на office пакетите, pdf файловете и т.н.

преди 5 минути, B-boy/StyLe/ написа:

Ransomware-a първо jpg-a криптира на системата, заедно с разширенията на office пакетите, pdf файловете и т.н.

Ок - сложи си друго разширение. Например - "*.Bboy" file хtype!

преди 7 минути, jhoro написа:

Ок - сложи си друго разширение. Например - "*.Bboy" file хtype!

Това не е ефективно. Повечето ransomware използват EFS calls използвайте NTFS файловата система и криптират всичко наред, което могат да прочетат игнорирайте дори разширенията. Най-добре е ако файла е скрит, заключен или с понижени права (както прави Secure Folders, Folderfication) и т.н.

Друга добра е neushield, която възстановява файловете в работещо състояние използвайки Mirror Shielding:

https://www.neushield.com/learn/mirror-shielding/

 

преди 18 минути, B-boy/StyLe/ написа:

Това не е ефективно. Повечето ransomware използват EFS calls използвайте NTFS файловата система и криптират всичко наред, което могат да прочетат игнорирайте дори разширенията. Най-добре е ако файла е скрит, заключен или с понижени права (както прави Secure Folders, Folderfication) и т.н.

Друга добра е neushield, която възстановява файловете в работещо състояние използвайки Mirror Shielding:

https://www.neushield.com/learn/mirror-shielding/

 

За повечето не знам, но тези които съм виждал определено гледат само разширението на файла. Поради някой безумни грешки на потребителите някои файлове бяха запазени.

Също така е и скоростта им на криптиране - за да са бързи и да не успееш да ги усетиш (защото съм хващал вирус в действие) криптират само части от файловете - все едно отхапват част и криптират само нея. Същото е и за разширенията - кое е по-бързо - да види разширението или да чете метаданни.

Че гледат и разширенията гледат, но да използваш за защита файл със сменено разширение е като да стоиш навън с чадър насред полето при гръмотевична буря и да се молиш да не те удари. Те добавят на практика всички по-известни разширения във всяка една нова версия. Разбира се имат и whitelist като подминават системните файлове, защото все пак не искат да сринат ОС на потребителя за да може той да им плати откупа. (евентуално). Отделно, както и сам каза има и такива, които криптират цели дискове (започвайки от MBR записа) и тогава разширението също не важи.

Последно реших да направя така: освободих място на втория диск и създадох там ext4 дял. С помоща на IFW архивирам там без да достъпвам или да монтирам дяла по друг начин.Това би трябвало да подсигури архива.

Винаги има риск да се повреди физически диска. Затова само на един архив и на един диск никога не трябва да се разчита. На колкото повече независими носителя имаш информацията, толкова по-вероятно е при проблем или повреда на някой от носителите да я възстановиш.

преди 32 минути, Raze написа:

Винаги има риск да се повреди физически диска. Затова само на един архив и на един диск никога не трябва да се разчита. На колкото повече независими носителя имаш информацията, толкова по-вероятно е при проблем или повреда на някой от носителите да я възстановиш.

Това е ясно. На практика това е втори архив. Първия е на друг диск.

Това не е ефективно.

То си се знае, че всяко нещо е ефективно до някаква степен. Пълно щастие … няма!

Повечето ransomware използват EFS calls използвайте NTFS файловата система и криптират всичко наред, което могат да прочетат игнорирайте дори разширенията. Най-добре е ако файла е скрит, заключен или с понижени права (както прави Secure Folders, Folderfication) и т.н.

Виж се - колко условия вмъкваш, по дефаулт - файлова система, файлова организация, разширения, удължения …
Човека си го е направил много елегантно

Последно реших да направя така: освободих място на втория диск и създадох там ext4 дял. С помоща на IFW архивирам там без да достъпвам или да монтирам дяла по друг начин.Това би трябвало да подсигури архива.

Я ми обясни, ама „на машинно ниво” - как се „чете и криптира наред”?
Клъстер по клъстер, байт по байт, бит по бит?

Винаги има риск да се повреди физически диска. Затова само на един архив и на един диск никога не трябва да се разчита. На колкото повече независими носителя имаш информацията, толкова по-вероятно е при проблем или повреда на някой от носителите да я възстановиш.

Има и друг риск - при мен има няколко „архива” в „зоната на здрача”.
Слагам кавички на архиви, щото не са всички такива - просто се разпознават така. А са в страната на сенките, защото … Инал съм някакво инфо, бекъпнал съм го някога и дотам. Сега даже не помня - какво има вътре и трябва ли ми изобщо.
Едното нещо е доста приличен файл - 14 GB - който се получи при срив (съпроводен с задиране) на механичен диск. Вътре е някакъв тюрлюгювеч от „четено, писано, брисано, местено - недонаместено и всякакви подобни”!

преди 1 час, jhoro написа:

То си се знае, че всяко нещо е ефективно до някаква степен. Пълно щастие … няма!
Виж се - колко условия вмъкваш, по дефаулт - файлова система, файлова организация, разширения, удължения …
Човека си го е направил много елегантно
Я ми обясни, ама „ба машинно ниво” - как се „чете и криптира наред”?
Клъстер по клъстер, байт по байт, бит по бит?

Пълно щастие може да няма, но поне това безумие със смяната на разширението като единствен метод за защита може да се избегне. Няма лошо, ако се смени разширението към вече други приложени методи, но да се разчита само на разширението извинявай, но е като да си заровиш главата в пясъка и да мислиш, че хищника ще те подмине.

Нищо не вмъквам като условия. Просто ти казвам, че щом ти (потребителя) имаш достъп до данните, то и ransomware-а има достъп до тях. А вече кой ransomware какво използва за криптиране зависи от конкретната фамилия.

Човека да си го прави, както си реши. За всеки влак си има пътници. Събира мнения и си го персонализира, както на него му върши работа. Няма лошо. Аз съм си избрал своя метод за себе си. Колегата @icotonev си е направил негова стратегия. Важното е да са лесни за употреба, ефективни и да има алтернативи.

Нищо не смятам да ти обяснявам. Има достатъчно изписано по въпроса в търсачката от по-големи капацитети от мен. Първия бе GPCode 2006-та, който постави основите на този вид зарази - изнудвачи.

преди 3 часа, dimo70 написа:

С помоща на IFW архивирам там без да достъпвам или да монтирам дяла по друг начин.

Щом IFW си монтира дяла и архивира там, то и вируса може да направи същото.

Вируса не разчита на това какво ще му покаже ОС кои дискове са монтирани. Даже ще обърне по-специално внимание на тия които не са монтирани.

преди 28 минути, vpvelev написа:

Щом IFW си монтира дяла и архивира там, то и вируса може да направи същото.

Ок, но архивирането става за 10 минути и се прави на седмицата веднъж.

А как ви звучи следната архитектура:

• Работна машина с вашето съдържание. Дисковете - мрежово споделени.
• Втора машина - под друга ОС и вижда 'сичкото инфо на дисковете. Firmware, системни файлове, потребителски, вируси и maleware ... всичко е само "единици и нули".
• Втората прави "чат-пат" бекъпи, първата даже не разбира - поне потребителя.
• Инфото е пакетирано и прибрано, а вирусът няма достъп до втората - поради несходство в характерите. Входящия поток - от първата машина - е само "данни" и няма права за изпълнение на код.

преди 55 минути, B-boy/StyLe/ написа:

Пълно щастие може да няма, но поне това безумие със смяната на разширението като единствен метод за защита може да се избегне. Няма лошо, ако се смени разширението към вече други приложени методи, но да се разчита само на разширението извинявай, но е като да си заровиш главата в пясъка и да мислиш, че хищника ще те подмине.

Само като допълнение към този си пост ще напиша и нещо, което пропуснах. После ще чета новите постове в темата, че в момента съм на работа.

Дори да е сменено разширението на файла с цел да се избегне blacklist списъка в ransomware-a, то той пак може да разбере все пак какъв е файла по неговата сигнатура. С Hex редактор ръчно ние също можем да направим това, но си има и направо база с данни, където са вкарани, коя сигнатура за какъв тип файл се отнася:

https://www.netspi.com/blog/technical/web-application-penetration-testing/magic-bytes-identifying-common-file-formats-at-a-glance/

(точка 7 тук):

https://www.raymond.cc/blog/how-to-recover-chk-files-created-by-chkdsk-and-scandisk/

(точка 3 тук):

https://www.raymond.cc/blog/run-exe-files-as-jpg-png-gif-or-under-any-different-extension/

Тази работа - с криптираните от вирус файлове, с цел извличане на някаква облага - ми звучи като мейлите.

"Имаме твой компрометиращи снимки - ще ги публикуваме!"

И аз си го премествам - мейла ... в кошчето.