( ricsip | 2020. 08. 06., cs – 10:39 )

Nem lennék egy mikroszoft core-technológiára (pl. AD) épülő TOP500 cég CIO-jának a helyében sem, nagyon rájuk jár a rúd.

Csak az elmúlt 30 napban beszopta a WastedLocker-t/Ragnarlocker-t a Garmin, a Carlson Wagonlit (CWT), tegnap meg a Canon-tól loptak ki 10 tera adatot.

Ezek után nem csodálkozom, ha a Defender-t max agresszívre pumpálja a MS, 1-2 fals pozitív még mindig kevésbbé bosszantó (jah, könnyen beszél akit nem szopat napi szinten), mint h. egyik reggel a hírekből tudja meg az ember h. a cégét épp megtörték/zsarolják az eljódolt fájlokkal.

Az sem véletlen h. a nagy cégeknél az SMB már tűzfalon tiltva van a LAN-on belül is, és tradicionális jó öreg SMB fileshare-t, file szervert is egyre kevesebben használnak. Helyettük van a sok webes (sokkal kényelmetlenebb) és sync-agentes 3rd party.

Persze az MS is kitalálta a ransomware-biztos onedrive sync-et, ahol file history-ból vissza lehet állítani az elkódol fájlok eredetijét, de én nem bíznék ennek a bombabiztosságában.

Sajnos a w10 újabb meg újabb fícsör update-jeibe belapátolt mindenféle *.guard-jai láthatóan nem védenek ransomware ellen, oda sajnos óránként(!) apdételt AV definiciós fájlok kellenek! Illetve bőszen imádkozni h. ne a te céged legyen az első akitől az MS megkapja az új variáns sample-t a következő esedékes signature update-hez.