¡Te damos la bienvenida al nuevo sysarmy --help! Para recuperar tu usuario pedí un password reset.
Ataques Ramsonware
Estimados como están .. bueno por aquí (en la empresa) un poco "preocupado" por estos ataques del tipo ramsonware que tan de moda se han puesto .. en esta oportunidad apelo a su experiencia con respecto a los puntos a tener en cuenta para evitar este tipo de ataque.
Les comento que por mi parte instale antivirus Eset Endpoint 5 en servidores w2k y 2k8, en linux AVG y Clam en otros .. cuento con backups en cinta onsite y offsite, cerré conexiones tipo teamviewer y le explique a los usuarios finales la posibilidad de que lleguen adjuntos o links extraños para que no los abran ..
Bueno .. dejo en ustedes algun dato mas que sea de utilidad para todos .. como siempre me despido a la espera de vuestros comentarios .. salu2 d4ny.-
Les comento que por mi parte instale antivirus Eset Endpoint 5 en servidores w2k y 2k8, en linux AVG y Clam en otros .. cuento con backups en cinta onsite y offsite, cerré conexiones tipo teamviewer y le explique a los usuarios finales la posibilidad de que lleguen adjuntos o links extraños para que no los abran ..
Bueno .. dejo en ustedes algun dato mas que sea de utilidad para todos .. como siempre me despido a la espera de vuestros comentarios .. salu2 d4ny.-
Este hilo ha sido cerrado.
Respuestas
Lamentablemente por lo que vi, por ahora los antivirus no ayudan muchos contra los ransomware.
Lo mas importante es educar a los usuarios a no abrir fotos de gatitos o pr0n que llegan a tu email SI no lo estabas esperando, no importa que el mail lo envío el primo que es "un capo con las compus".
Y si pasa... bueno lo hiciste bien y tenes los backup del día anterior.
Si no es posible ninguna de las dos, limitá el permiso de escritura a una unidad en particular para cuantos menos usuarios sea posible, y tratá a esa unidad como zona de peligro.
Nota: no recuerdo ahora si Acronis tiene una solución similar, investigalo.
Una buena practica para CIFS/Samba puede ser tener todo en un FS que permita snapshots para tener un punto de retorno en caso de ataque. Por ejemplo ZFS con FreeNAS.
Saludos
Tip: Hace poco escuché un caso donde tambien habian "secuestrado" el backup completo, por lo tanto el pobre administrador si bien tenia backups con granularidad y todo no le servian de nada.
Then, asegurate de que los backups estén aislados POSTA y que nadie tenga acceso no autorizado a ellos.
Si te están haciendo el ransom, (o sea: ya te bajaron los pantalones y el ransom es inminente) depende del tipo y la naturaleza se suele manifestar antes de terminar. (high cpu usage, procesos raros, etc), otros no.
Tambien escuché de un tipo de ransomware que despues en la pantalla de pago te ofrece un preview donde te desencripta los archivos un rato para que veas que sigue estando todo ahi, si te topas con ese (y no es una build nueva donde lo arreglaron): dejá un dump corriendo y cuando te llega la password y podes ver tus datos desconectás el patch y buscas en la captura la passwd.
Saludos!
Creo que Ramsonware genero paranoia entre todos, nosotros lo que tambien hicimos fue un screening de extensiones conocidas de ramsonware, de manera que al querer escribir (digamos que cuando la ca*ada está en plena faena) no se lo permita. Actualmente estamos permitiendo solo files relacionados con el trabajo diario.
Otra recomendación es que limites y "compartimentes" el acceso a las carpetas de los usuarios, de manera que si te pega, no se expanda.
te dejo un par de links:
https://gallery.technet.microsoft.com/scriptcenter/Protect-your-File-Server-f3722fce
Cualquier cosa avisa!
Slds!
Saludos.
Algo que se esta utilizando actualmente que esta teniendo muy buenos resultados es utilizar el mecanismo de "Sandboxing", aislando posibles amenazas, tenes varias alternativas de Sandbox.