Ransomware

janosik
Posty: 66
Rejestracja: śr lis 30, 2016 12:39 pm

Re: Ransomware

Postautor: janosik » sob paź 28, 2017 9:59 pm

Jedyne co zrobiłem to poinstruowałem osobę która uruchomiła program żeby tego nie robiła. Tutaj zawinił człowiek i jego niewiedza. Program av był aktualny.
9 x DS 216j / 2-4TB WD RED/Seagate IronWolf
2 x DS 216se / 3 TB / Toschiba
1 x DS 115j / 2TB WD RED

Przemuss
Posty: 469
Rejestracja: wt gru 15, 2015 12:19 pm
Lokalizacja: Żyrardów

Re: Ransomware

Postautor: Przemuss » sob paź 28, 2017 10:11 pm

A wiesz chociaż skąd ta osoba wzięła ten niebezpieczny program?
Są w sumie 2 drogi:
- na USB
- dostała linka poczta i go uruchomiła

Wysłane z mojego LG-H440n przy użyciu Tapatalka
Administratorzy dzielą się na tych, którzy robią kopie zapasowe i tych, którzy będą je robili.

Serwery NAS:
Synology DS211j, DS1511+, RS2212RP+ DS1513+

"Zasłanianie się dysleksją, to jak chwalenie się małym fiu...."- by Pati
gg 2101676

Awatar użytkownika
BWaliszewski
Posty: 179
Rejestracja: pt gru 18, 2015 2:55 pm
Lokalizacja: Poznań
Kontaktowanie:

Re: Ransomware

Postautor: BWaliszewski » ndz paź 29, 2017 11:30 am

@Przemusss - z moimi klientami bywa różnie. Generalnie wszyscy przeszli mniejsze lub większe szkolenia - ale to nie zawsze działa. Niby świadomość jest - ale pośpiech, napięcie i stres, często powodują, że użytkownik i tak kliknie przysłowiową FV od "Orange". NIgdy do końca nikogo nie obwiniam, nie szukam winnych w takich przypadkach... po prostu działam. Użytkownik i tak jest w stresie, że przeskrobał.

W dużych firmach mamy pewne ustalenia [ja <=> pracownicy]. Wszystko co jest NIEPEWNE w @ - wysyłają do mnie, a ja to uruchamiam, bądź badam - na specjalnej maszynie, odłączonej od sieci. Ustalenie się sprawdza i kilka razy uratowało to dane użytkownika

Zabezpieczenia jakie wdrażam, to:
1. Dodatkowy backup wewnętrzny [najczęściej za pomocą Active Backup - żeby nie mapować katalogów]
2. Migawki na wszystkich serwerach
3. Oczywiście komputery też się kopiują [pełen profil] na serwer NAS za pomocą wbudowanego systemu backupów [mówię o świetnym moim zdaniem systemie wbudowanym w Windows'10 - doskonale działa z Synology].
4. Myślałem jeszcze o regułach w outlookach, które by wywalały określone @... no ale autorzy szkodników są przebiegli i to się niestety nie sprawdza.

Powyższe oczywiście dotyczy tylko ransomware, bo dla "zwykłych" wirusów w grę wchodzą jeszcze inne zabezpieczenia na routerach czy firewallach oraz odpowiednie programy antywirusowe na komputerach.
RT1900ac / SRM 1.1.5-6542 Update 3
DS916+ / DSM 6.1.3-15152 Upd.8 / 4x WDRed 3TB RAID6 / 2GB
RS815+ / DSM 6.1.3-15152 Upd.8 / 4x WDRed 3TB SHR / 2GB
RS810+ / DS412 / DS212j... etc

Przemuss
Posty: 469
Rejestracja: wt gru 15, 2015 12:19 pm
Lokalizacja: Żyrardów

Re: Ransomware

Postautor: Przemuss » ndz paź 29, 2017 5:29 pm

Do tego właśnie dąże iż samo poinstruowanie pomaga na kilka dni a czasem nawet w ogóle. Wszystko zależy od pracownika.
Osobiście mam wdrożone:
- całkowita blokada dysków USB
- częściowa blokada czytników płyt CD/DVD
- podział sieci na vlany
- autoryzacja po mac adresie (obcemu router się nawet nie odezwie)
- podwójny backup (pamięć z 30 dni + migawki)
- przymierzam się jeszcze do blokady obcych plików exe (jedynie z konkretnych katalogów z dysku C będą dopuszczalne). Ale czy to mi wyjdzie się okaże.



Wysłane z mojego LG-H440n przy użyciu Tapatalka
Administratorzy dzielą się na tych, którzy robią kopie zapasowe i tych, którzy będą je robili.

Serwery NAS:
Synology DS211j, DS1511+, RS2212RP+ DS1513+

"Zasłanianie się dysleksją, to jak chwalenie się małym fiu...."- by Pati
gg 2101676

Awatar użytkownika
BWaliszewski
Posty: 179
Rejestracja: pt gru 18, 2015 2:55 pm
Lokalizacja: Poznań
Kontaktowanie:

Re: Ransomware

Postautor: BWaliszewski » ndz paź 29, 2017 8:00 pm

Tylko pamiętaj, że w niektórych przypadkach [charakter pracy danej firmy] - blokada USB i dysków USB - po prostu nie jest możliwa. VLAN'y - ok i blokowanie w MAC'ów w macierzystym - też ok i nad tym pomyślę [bo mam VLANy bez blokad].

Widzę, że należysz do bardzo restrykcyjnych administratorów ;-) Ma to wiele plusów... lubią CIę jeszcze ;-)

Mnie "nie lubią" za hasła, które wymyślam, a tam gdzie wdrażam politykę zmian haseł co miesiąc, to klną mnie przy każdej wizycie ;-)
RT1900ac / SRM 1.1.5-6542 Update 3
DS916+ / DSM 6.1.3-15152 Upd.8 / 4x WDRed 3TB RAID6 / 2GB
RS815+ / DSM 6.1.3-15152 Upd.8 / 4x WDRed 3TB SHR / 2GB
RS810+ / DS412 / DS212j... etc

Awatar użytkownika
BWaliszewski
Posty: 179
Rejestracja: pt gru 18, 2015 2:55 pm
Lokalizacja: Poznań
Kontaktowanie:

Re: Ransomware

Postautor: BWaliszewski » ndz paź 29, 2017 8:00 pm

Do zabezpieczeń które wdrażam - dodam jeszcze rzecz, która nie dla każdego admina jest oczywista, czyli USER zawsze jest USEREM, a nie że ma uprawnienia ADMINISTRATORA...
RT1900ac / SRM 1.1.5-6542 Update 3
DS916+ / DSM 6.1.3-15152 Upd.8 / 4x WDRed 3TB RAID6 / 2GB
RS815+ / DSM 6.1.3-15152 Upd.8 / 4x WDRed 3TB SHR / 2GB
RS810+ / DS412 / DS212j... etc

Przemuss
Posty: 469
Rejestracja: wt gru 15, 2015 12:19 pm
Lokalizacja: Żyrardów

Re: Ransomware

Postautor: Przemuss » ndz paź 29, 2017 9:31 pm

Wszyscy w domenie więc nie mają za wiele praw. Do tego wiele obcięte przy pomocy polis grupowych. User na prawach admina to same problemy. Niestety jest wielu po fachu co tego nie rozumie albo im się nie chce, albo nie wiedzą.

Co do haseł to się nasłuchałem przez pierwsze 3 miesiące od wdrożena jaki to ja zły jestem dla nich. Do tego wymuszona zmiana co 30 dni, wygaszacz z blokadą, pamięć 24 ostatnich haseł by to cwani nie jechali ciągle na jednym, złożoność hasła. Sądziłem że będzie już dobrze ale doczytałem się iż w moim przypadku potrzeba haseł 8 znakowych a nie 6 więc zaczęło się od początku.
Do wymiany danymi miedzy pokojami, wydziałami mają utworzone i podmapowane dyski sieciowe wspólny ogólny i wydziałowy.
Sądzę że tak źle ze mną nie mają.

Wysłane z mojego LG-H440n przy użyciu Tapatalka
Administratorzy dzielą się na tych, którzy robią kopie zapasowe i tych, którzy będą je robili.

Serwery NAS:
Synology DS211j, DS1511+, RS2212RP+ DS1513+

"Zasłanianie się dysleksją, to jak chwalenie się małym fiu...."- by Pati
gg 2101676

janosik
Posty: 66
Rejestracja: śr lis 30, 2016 12:39 pm

Re: Ransomware

Postautor: janosik » śr lis 08, 2017 9:41 pm

Przemuss pisze:A wiesz chociaż skąd ta osoba wzięła ten niebezpieczny program?
Są w sumie 2 drogi:
- na USB
- dostała linka poczta i go uruchomiła

Wysłane z mojego LG-H440n przy użyciu Tapatalka


Tak. Program dostała na maila.
Była to placówka budżetowa więc nie ma tam serwera i domeny. Nie mogę wymusić pewnych zabezpieczeń. Jest ograniczona możliwość konfiguracji bo są wersje Home ulubionego systemu. Konto z ograniczeniami ale niewiele to pomogło.

Blokowanie usb, cd lub inne większe lub mniejsze restrykcje nie wchodzą w grę.
9 x DS 216j / 2-4TB WD RED/Seagate IronWolf
2 x DS 216se / 3 TB / Toschiba
1 x DS 115j / 2TB WD RED

Unr3al2
Posty: 251
Rejestracja: pt gru 11, 2015 11:01 am

Re: Ransomware

Postautor: Unr3al2 » wt lis 14, 2017 10:27 am

Brakuje wam jeszcze blokowania makr w office na stacjach roboczych :)
QNAP TVS-471 / 6.1.3-15152-6 / 2x Segate 2TB RAID1 btrfs / 4GB RAM
DS710+ / DSM 4.2 / Segate 2TB / 2GB RAM mod

Przemuss
Posty: 469
Rejestracja: wt gru 15, 2015 12:19 pm
Lokalizacja: Żyrardów

Re: Ransomware

Postautor: Przemuss » wt lis 14, 2017 9:55 pm

Z poziomu gpo można to zrobić na każdej stacji.

Wysłane z mojego LG-H440n przy użyciu Tapatalka
Administratorzy dzielą się na tych, którzy robią kopie zapasowe i tych, którzy będą je robili.

Serwery NAS:
Synology DS211j, DS1511+, RS2212RP+ DS1513+

"Zasłanianie się dysleksją, to jak chwalenie się małym fiu...."- by Pati
gg 2101676


Wróć do „Kopia zapasowa / Odzyskiwanie”

Kto jest online

Użytkownicy przeglądający to forum: Obecnie na forum nie ma żadnego zarejestrowanego użytkownika i 2 gości