Ransomware..come difendersi?

Visto la grande ondata di questo tipo di malware come segnalato qui e qui come ritenete utile difendersi? Lasciando a parte il backup che è scontato...ma a livello software vi affidate a qualche soluzione particolare, a quanto offre il sistema operativo o solo al buon senso?

A quanto leggo nemmeno mac-os e linux non sono al riparo da questi problemi ma li i software per difendersi sono molto meno sviluppati

Che ne pensate?

Tags: senza un tag
Condividi su:  Facebook,  Twitter.
Repliche (coda):

@bondocks
Purtroppo per ora non c'è "riparo" software.
Il ransomware viene mutato così spesso che gli antivirus sono sempre in ritardo.
L'unico vero rimedio é l'oculatezza, direi la diffidenza, dell'utente.
Ed anche il backup non è affatto scontato perché non sempre è in grado di mettere al riparo se non è eseguito con certi accorgimenti.
Infatti il ransomware è in grado di attaccare tutte le risorse a cui ha accesso, compresi percorsi di rete ed unità esterne.
Occorre poter accedere alle unità di backup con credenziali che sono note solo al programma di backup.
In questo periodo ho pensato ad una strategia di backup che però non riesco a realizzare perché manca un comando per disconnettere, lato client,  l'utente da una cartella condivisa.
Consiste nell'impostare  diritti di sola lettura nelle cartelle destinate a ricevere i backup per tutti gli utenti.
Creare un utente (meglio ancora più di uno)  speciale con diritti RW e far utilizzare quelle credenziali ai software di backup.
Utilizzo Macrium Reflect per eseguire backup sottoforma di immagini disco perché è anche in grado di memorizzare autonomamente le credenziali, senza utilizzare il gestore di credenziali di Windows.
Il problema è che se l'utente "normale" accede alla risorsa utilizzando le credenziali RO, poi è impossibile accedere utilizzando credenziali differenti.
Occorre appunto un comandi che, lato client, sia in grado di chiudere la sessione attuale per rendere possibile accedere con credenziali differenti.

La cosa più preoccupante è che ransomware + attacco sui siti ufficiali (tipo Transmission) è micidiale.

Grazie per il post interessante e ottimo spunto di riflessione.

Ho trovato una soluzione semplice e piuttosto [in]elegante:

se il server SAMBA ha un indirizzo IP statico, allora basta aggiungere un alias allo stesso indirizzo IP nel file hosts. Usare l'alias per montare le share in lettura/scrittura ed il nome normale per montarle in sola lettura.

Ho provato e funziona, anche se l'host è Linux. Mi sa che d'ora in poi aumento la paranoia e cambio tutte le share in R.O. di default, tanto il numero di scritture è estremamente più basso di quello delle letture. 

Se non è chiaro, posso cercare di spiegarlo meglio.

Figatona.

Su LINUX nella configurazione di samba (smb.conf) è possibile specificare degli alias aggiuntivi in modo da centralizzare la faccenda. Insomma, se il server si chiama server (come "il giornale"), si può creare un alias chiamato server_rw e bypassare il problema alla grande.

Se le vostre share le fate girare su un server Windows.... peccato, vi consiglio di cambiare religione.

Test completato, implementazione completata.

Ora tutte le share sul server sono in sola lettura. Ho creato una UBER share in lettura/scrittura solo via amministratore che da accesso a tutte le altre share. Ho creato una share "pubblica" con un utente "pubblico" e separato per la condivisione veloce. Qualsiasi cosa giri con un utente umano ha accesso in sola lettura. Per la scrittura ci vogliono gli account speciali. Wow.

Passo finale. Crashplan su tutti i PC per il backup p2p del folder Home. Crashplan permette di accedere alla history dei file, per cui anche se un malware in locale criptasse i file, ci sarebbe da perdere solo quanto creato o modificato dall'ultimo backup.

Ci sarebbe da trasformare questo in un post/guida.

Ci sarebbe da trasformare questo in un post/guida.

Sarebbe molto interessante.
Noi al lavoro usiamo samba per creare spazi condivisi per gli utenti (Quincy serve rw), ma per i backup si potrebbe valutare questa soluzione.

Ci sarebbe da trasformare questo in un post/guida.

Quoto! Come sai pian piano sto sperimentando e un tassello in più è sempre il benvenuto

 

@FOLBlog:

@bondocks
Purtroppo per ora non c'è "riparo" software.
Il ransomware viene mutato così spesso che gli antivirus sono sempre in ritardo.
L'unico vero rimedio é l'oculatezza, direi la diffidenza, dell'utente.
Ed anche il backup non è affatto scontato perché non sempre è in grado di mettere al riparo se non è eseguito con certi accorgimenti.

Purtroppo non è sufficiente a quanto sembra perchè come leggevo qui  la supposta  dietro il banner

Certo, l'utilizzo di un adblocker aiuta in questo caso e in proposito segnalo questa dritta (ultimo post) che permette di levarsi dalle bolas la fastidiosissima richiesta cookie-law

@Paperino

Sui NAS con doppia interfaccia  di rete ho risolto usando entrambe le LAN (con classe di IP differente) ed attribuendo ai PC due IP address: il "normale" consente di accedere a tutte le risorse della LAN (compresi i backup sul NAS in RO) il secondario consente l'accesso al NAS in modo RW.
Ora provo la tua trovata per i NAS che hanno una sola LAN. 

Il problema del backup per me è risolvibile con CrashPlan senza altri casini. Il fatto è che da parecchio avevo una preoccupazione per le share di rete ma non ci ho mai dedicato tempo per cercare una soluzione. Questo degli alias e degli utenti umani segregati in sola lettura, perfetta per i miei casi d'uso, mi sembra un accorgimento completamente soddisfacente i limiti imposti.

The network hole. Spero di aver fatto cosa utile, lo sarà sicuramente per me visto la mia memoria sempre più vacillante.

Replica:
Testo: (clicca su questo link per gli smiley supportati; regole di ingaggio per i commenti)
(opzionale, per il Gravatar)