Cerco consigli per backup anti cryptolocker.

[calvax]

Cerco consigli per un programma di backup per prevenire i danni da cryptolocker nel pc dei miei genitori.

Il fatto è che non basta un hard disk usb (o sata) sempre collegato: in quel caso il cryptolocker andrebbe a crittografare anche i dati sull'hard disk di backup.
Quindi ci vorrebbe qualcosa come un nas esterno raggiungibile solo via rete e sul quale il computer con i file da backuppare sia in grado solo di inviare comandi di upload ma non di cancellazione o modifica dei files esistenti.
In questo modo un eventuale virus anche se prendesse il controllo del softare di backup non sarebbe in grado di crittare i files sul nas, perché il nas risponderebbe picche ad eventuali comandi di sovrascrittura o cancellazione di files già esistenti.
Ma non so se esiste un sistema del genere: i nas che ho avuto in passato se consentivano la scrittura ad un determinato login, consentivano anche la sovrascrittura: in altre parole l'unica possibilità di discriminare è tra "solo read" / "read and write" / "administrator"; invece a me servirebbe un accesso "write but not overwrite" o giu' di lì.
C'è qualche soluzione di questo tipo?
Ad esempio dropbox sarebbe utile per questo scopo, perché anche in caso di sovrascrittura mantiene i files precedenti.
E' vero che molti programmi di backup hanno il versioning... ma anche con il versioning il problema rimane, se il virus è stronzo e va a crittare direttamente i files nel disco di backup.

Oppure, piu' banalmente, siccome i miei genitori non hanno accesso Administrator, un hard disk esterno su cui solo Administrator puo' accedere in scrittura.
Il programma di backup ovviamente girerebbe con privilegi amministrativi e può quindi scrivere nel disco riservato al backup.
Il cryptolocker invece, supponendo che giri con privilegi non amministrativi (se lo prende l'utente non admin non dovrebbe avere privilegi admin) non puo' intaccare il disco di backup.
Potrebbe funzionare?
Domanda da novellino: i permessi ntfs funzionano solo sul disco di sistema o anche su dischi secondari/esterni?
Perche' allora metterei il disco come sola lettura per tutti e lettura/scrittura per l'utente Administrator
E come programma di backup incrementale cosa mi consigliate di usare? Vanno bene sia consigli di programmi free che a pagamento purché non eccessivo;
Grazie

 

[Il cecchino Jackson]

Scusa. Io ho due hd esterni che ovviamente tengo scollegati e quando devi metterci qualcosa li collego apposta. Non sono esperto , anzi , ma: tu perchè lo devi tenere sempre collegato?

- - - Updated - - -

E ne ho due perchè metti che va puttane uno.. Le che più importanti le salvo sui cloud, per i quali non è attiva la sync automatica

 

[calvax]

Scusa. Io ho due hd esterni che ovviamente tengo scollegati e quando devi metterci qualcosa li collego apposta. Non sono esperto , anzi , ma: tu perchè lo devi tenere sempre collegato?

- - - Updated - - -

E ne ho due perchè metti che va puttane uno.. Le che più importanti le salvo sui cloud, per i quali non è attiva la sync automatica

Allora, il PC è dei miei genitori, non molto esperti, quindi non è fattibile l'idea del backup "manuale" con l'hard disk che si stacca e si riattacca.
Io ho una pennetta da 128 gb e ogni tanto, quando li vado a trovare, gli faccio una copia di tutto su pennetta, vabbeh...
...ma mi servirebbe un sistema di backup incrementale continuo.
Quella del cloud puo' essere una buona soluzione, ma il "gratis" è di solito limitato a 5gb

Chedo: un hard disk usb (che già ho), posso formattarlo NTFS e poi attribuirgli permessi di scrittura solo per l'amministratore?
In quel caso il cryptolocker (che girerebbe come utente normale) si attaccherebbe al tram?

 

[Il cecchino Jackson]

Non ho le competenze per risponderti . Ma ovunque ho letto che il consiglio più sicuro e diffuso è tenere l'hd staccato!
per non esperti non vedo cosa sia meglio che tenere un hd staccato. Basta, penso, insegnare ad attaccare e cliccare " invia a"

 

[Utente cancellato 35177]

Puoi usare i permessi NTFS anche sul disco esterno.
I ransomware attuali intaccano le unità mappate e/o collegate e agiscono con i permessi dell' utente infetto, ciò non toglie che domani stesso potrebbero inventare un modo per bypassare anche questa limitazione.
Perciò resta la soluzione più naturale e sicura, backup staccato fisicamente.
Se vuoi limitare il rischio potresti usare un nas che si accenda solo ad una data ora per eseguire il backup per poi spegnersi, usando un' utenza diversa per le operazioni di salvataggio.
Tieni abilitate le shadow copy sui dischi del pc.

 

[calvax]

Puoi usare i permessi NTFS anche sul disco esterno.
I ransomware attuali intaccano le unità mappate e/o collegate e agiscono con i permessi dell' utente infetto, ciò non toglie che domani stesso potrebbero inventare un modo per bypassare anche questa limitazione.
Perciò resta la soluzione più naturale e sicura, backup staccato fisicamente.
Se vuoi limitare il rischio potresti usare un nas che si accenda solo ad una data ora per eseguire il backup per poi spegnersi, usando un' utenza diversa per le operazioni di salvataggio.
Tieni abilitate le shadow copy sui dischi del pc.

Grazie per la risposta.

Nel frattempo ho visto che il cloud di un noto motore di ricerca (scusate, non so se si possono fare nomi) dà 15 GB gratis, sono sufficienti.
Inoltre creerò una cartella accessibile solo ad administrator, su un disco che sarà sempre collegato, ma c'è anche, in aggiunta, il backup in cloud quindi dovrebbe bastare come sicurezza.

 

[Il cecchino Jackson]

Tieni abilitate le shadow copy sui dischi del pc.

ciao scusate, questo interessa anche me , perchè non sono sicuro di averlo mai capito bene: come si fa? Bisogna tenere attiva la creazione di punti di ripristino automatici ? Grazie

 

[calvax]

Puoi usare i permessi NTFS anche sul disco esterno.
I ransomware attuali intaccano le unità mappate e/o collegate e agiscono con i permessi dell' utente infetto, ciò non toglie che domani stesso potrebbero inventare un modo per bypassare anche questa limitazione.
Perciò resta la soluzione più naturale e sicura, backup staccato fisicamente.
Se vuoi limitare il rischio potresti usare un nas che si accenda solo ad una data ora per eseguire il backup per poi spegnersi, usando un' utenza diversa per le operazioni di salvataggio.
Tieni abilitate le shadow copy sui dischi del pc.

Ma il cryptolocker le shadow copy non le tocca?

 

[Il cecchino Jackson]

Si, ma ho letto che con account standard e UAC massimo , dovrebbe hhiederti il permesso

 

[Utente cancellato 35177]

Proprietà del computer > Protezione del Sistema, da lì puoi abilitare le shadow copy (in italiano "versioni precedenti") dei file assegnando lo spazio che preferisci.
Verifica che anche il relativo servizio non sia disattivato ma automatico.

Dalla mia esperienza vari clienti se la sono cavata grazie alle shadow copy, ma in un caso anche quelle non hanno salvato i files ed è per questo che finchè non troveranno un modo di impedire ai ransomware di fare disastri è meglio mantenere dei backup aggiornati.
@calvax: personalmente non amo l' idea di avere i miei files su di un server in cloud, in un altro thread si discuteva appunto dei vari leak di dati e del fatto che una volta che metti un file online perdi effettivamente traccia di dove venga copiato/replicato o di chi possa averne accesso.
Se parli di 15 GB sufficienti, persino con una banalissima chiavetta USB ormai te la cavi a buon mercato, crei un task di backup con un software free come freefilesync e spieghi ai tuoi genitori di lanciarlo collegando la chiavetta una volta al giorno/settimana/mese/quello che preferisci.

 

[Il cecchino Jackson]

Esatto quello che intendevo io: ma su w10 almeno si chiama " protezione "

 

[calvax]

Ricordi mica se il cliente a cui il cryptolocker ha fottuto anche le shadow copy usava per lavorare un account con privilegi amministrativi?

 

[Utente cancellato 35177]

No, in quel caso il problema è stato proprio una nuova variante zero day del malware, almeno da quello che ho potuto vedere.
Il problema dei permessi è legato al fatto che i tipici documenti attaccati (file di MS Office, immagini, pdf) sono necessariamente creati dagli utenti che quindi ne devono avere i permessi di scrittura; perciò qualsiasi unità mappata o chiavetta attivi durante l' infezione vengono corrotti.
Fino ad ora i dati sono stati recuperati tramite i backup schedulati che quindi risiedevano altrove, in file e cartelle protetti da scrittura e accessibili solo all' amministratore e all' utente di backup.
Vari clienti hanno dovuto pagare perchè non avevano backup... solo allora capisci quanto siano importanti i backup e l' investimento nella sicurezza. E nella FORMAZIONE degli utenti a non aprire quei dannati link! :)

 

[Il cecchino Jackson]

No, in quel caso il problema è stato proprio una nuova variante zero day del malware, almeno da quello che ho potuto vedere.
Il problema dei permessi è legato al fatto che i tipici documenti attaccati (file di MS Office, immagini, pdf) sono necessariamente creati dagli utenti che quindi ne devono avere i permessi di scrittura; perciò qualsiasi unità mappata o chiavetta attivi durante l' infezione vengono corrotti.
Fino ad ora i dati sono stati recuperati tramite i backup schedulati che quindi risiedevano altrove, in file e cartelle protetti da scrittura e accessibili solo all' amministratore e all' utente di backup.
Vari clienti hanno dovuto pagare perchè non avevano backup... solo allora capisci quanto siano importanti i backup e l' investimento nella sicurezza. E nella FORMAZIONE degli utenti a non aprire quei dannati link! :)

quindi per esempio se io account standard mi creo un file word, attivo le copie shadow, il ransoware cripta anche quelle???
in alternativa quando creo un file word dovrei farlo da admin e poi usare sempre uno standard?

 

[calvax]

Non so come funzionino le copie shadow, ma se queste copie shadow sono su un disco esterno, temo che la limitazione dei permessi ntfs sia bypassabile.
Prendo come esempio 3 utenti tizio e caio e sempronio, va da se che poi tizio sarebbe il programma di backup, caio l'utente da salvaguardare, sempronio il virus
Tizio ha privilegi amministrativi.
Caio ha privilegi non amministrativi: caio
Sempronio ha gli stessi privilegi (non amministrativi) di caio.

Ogni volta che caio aggiorna un file, Tizio, da admin, lo prende e lo copia in una cartella su un disco usb, cartella i cui permessi in scrittura sono riservati ad admin.... addirittura magari salva lo stesso file backuppato con permessi di scrittura solo per admin.

Sempronio, con i privilegi di caio, cerca di entrare nella cartellina del disco esterno ma il sistema operativo gli risponde picche.

Fin qui sembrerebbe andar tutto bene, il virus non puo' accedere al backup (nemmeno caio puo' accederci in scrittura, ma tanto è tizio a fare i backup in automatico, e tizio è admin)

Poi pero' sempronio si fa furbo e anziche' cercare di accedere al disco esterno passando per il sistema, prende direttamente il controllo dell'usb e in un suo s.o. "virtualizzato" creado da lui, del quale quindi è admin, monta il disco esterno e cripta i files.
Un esempio per farmi capire, supponiamo che sempronio anziché il virus sia un umano: installa vmware e ci installa windows xp e dice a wmvare di agganciare il disco usb direttamente, che quindi viene smontato dal sistema esterno e montato direttamente dalla virtual machine la quale lo gestisce come admin :-)