Találkoztál már ransomware által eltitkosított linuxos géppel?

Titkosítás, biztonság, privát szféra

Igen.
2% (7 szavazat)
Nem.
91% (407 szavazat)
Egyéb.
1% (4 szavazat)
Csak az eredmény érdekel.
7% (31 szavazat)
Összes szavazat: 449

( carlcolt | 2017. 01. 09., h – 11:27 )

Es macOS-t / OS X-et futtato Mac-kel? ;)

( Takaya | 2017. 01. 09., h – 12:02 )

Ha dualbootos volt, es a win alol titkositotta az szamit?

--

"You can hide a semi truck in 300 lines of code"

( gelei v | 2017. 01. 09., h – 12:14 )

Én ransomware által eltitkosított windows-os géppel sem, találkoztam, de subscribe.

En windowson talalkoztam vele, egyetlen esetben tudom a teljes lefolyast:
Friss, win7 gep volt, kb fel eve tortent:

User kapott egy emailt(angol) miszerint szamlaja erkezett, lasd csarolmanyt.
A csatolmany egy zippelt js file volt, valami windows komponens maradt defaultba a js fileokhoz megnyitasra, nem irta at a firefox, chrome a tarsitast.
User elinditotta, nem tortent lathato dolog ezert nem foglalkozott vele, a virus (locky) pedig elindult, es elkezdte bekodolni amit csak ert, es ertekesnek tunt, kepek, videok, dokumentumok, stb.
Ezen tevekenyseget folytatta egeszen ujrainditasig, mikoris mar egy fekete alapon piros szovegre cserelte a hatterkepet, reszletezve hogy hova hany bitcoint kernek, es ehhez hogy juthat hozza a felhasznalo.

Szerencsere a torolt fileok viszaallitasaval eleg sok mindent sikerult megmenteni, azota a user pedig megtanulta hogy ertekes dolgokat csak a nasra mentunk, ahol zfs, auto snapshot van, mi pedig megtanitottuk az amavist hogy js, es zippelt js fileok blokkolandoak...

Linuxon erdekelne foleg meg szerintem azokat is akik plusszoltak. A windowsos fertozes egyertelmu semmi varazslat nincs benne.

Linuxon nem igazan tudom egyelore elkepzelni nagyobb balfaszkodas nelkul. Szoval aki Linuxon latott (szavaztak tobben is) az sziveskedhetne leirni mi volt hogy volt hogy lehessen tanulni az esetbol.

Az a kérdésem, hogy olyan helyről kapott angol nyelvű e-mailt ahol számlája van, azaz életszerű volt-e neki az e-mail? Mert teljesen mind1, hogy hova mentesz, és mit blokkolsz, ha az alapvető biztonsági szabályokat nem tartja be az illető ÉS (!) nincs személyes anyagi vonzata a helyreállítás költségének.

Minden partneremnek javaslom, hogy vegye bele és/vagy egészítse ki a munkaszerződéseket egy munkajogásszal közösen kidolgozott "IT mellékletet"-el amely a hatályos jogszabályok által biztosítja kétoldalú (tehát a munkáltatóra is kötelezően) jogok és kötelezettségekből eredő esetleges (kár)események rendezésének módját.

Szia!

Nem, nem volt eletszeru az email, viszont (boven) eleg meggyozo volt hogy egy angolul hianyosan tudo szemelyt megtevesszen.

A masik kerdesben nem ertek egyet, mivel szerintem a munkavallalot vagy megfelelo oktatasban kell reszesiteni, vagy (es ez sokkal eletszerubb) olyan rendszert kell tervezni alajuk ami megakadalyozza ezeknek a problemaknak a kialakulasat.

Tapasztalataim szerint nem lehet elvarni egy irodai dolgozotol (foleg azoktol akik nem fiatalok) hogy tisztaban legyenek azzal hogy a js file az nem excel, foleg miota letezik xls, xlsx, ods, xlsm, es meg ki tudja micsodak...

Kicsit mint a "Mayday, air crash investigation" a hiba soha nem egy tenyezobol fakad, es nem azt a "kisembert" kell elovenni erte aki a gombot vegul megnyomta.

+1
Mar tiz eve is azt mondtam, kuldtel te a Fedex-szel barmit is ? Akkor miert nyitod meg az arrol szolo visszaigazolast?
(Akkor meg nem titkosito cuccok voltak)

Lekopogom, nalunk azota sem kapta be senki, havonta egyszer szolnak az adminisztracion, hogy nezzem meg, mert gyanus es alt. igazuk van. Neha en is kapok (atcsuszik az ESETS-en meg mason), nem nyitom meg, max mas rendszeren, virtualboxban vagy a forrasat.

--
http://www.micros~1
Rekurzió: lásd rekurzió.

nálunk kb októberben történt. Kolléga a céges mobilszolgáltató 100%-ig hitelesnek hitt emailjében kattintott egy linkre, és ennyi volt. Semmi zip fájl vagy más csatolmány. A TrendMicro nem fogta meg.

"a user pedig megtanulta hogy ertekes dolgokat csak a nasra mentunk, ahol zfs, auto snapshot van"

Nálunk volt egy pár közös network share, amit betitkosított. Milyen policy létezik arra Windows alatt, hogy valaki hozzá férjen egy share-hez, de ez mégse történjen meg? Jelenleg csak arra tudok gondolni, hogy nem engedjük elmenteni a felhasználó/jelszó kombót, illetve ReadOnly csatolás. Egyik sem életszerü. Ötletek?

--------
HOWTO: Zentyal+Zarafa+Setup+Outlook+Thunderbird+mobilephone sync

Szia!

En nem azt akadalyoznam / akadalyozom meg hogy megtortenjen, hanem biztositanam a megfelelo biztonsagi masolatok megletet.
Ha a nason nem ext, vfat, ntfs van hanem mondjuk zfs, vagy btrfs, akkor a megfelelo scriptezessel ez megoldhato, most worst case 1 napnyi muka megy karba a snapshotok miatt. (ezt persze lehet rovidebbre is venni, akar par percre is...)

Mindez segit olyan dolgokban is, hogy, oops, felulirtam, jaj, hova mentettem, bakker, nem azt kellett volna torolni, hogy is nezett ki ez a dokumentum tegnapelott?

Ezek mellett enni kvazi nem vagy alig ker...

köszi a választ.
Hozzávetölegesen hogyan kell tervezni a szabadon használható hely mennyiségét a snapshotok tárigényéhez visznyítva?
Nekem heti 1x a gépemen megy egy drive snapshot inkrementális mentéssel munka közben. Mielött elindul, áthelyezi a múlt heti mentést egy "lastrun" mappába, hogy az aktuális mentés ne a múlt hetit írja felül. Viszont Windowsról bezsélve, egyre durvább a helyigénye ennek a stratégiának.

--------
HOWTO: Zentyal+Zarafa+Setup+Outlook+Thunderbird+mobilephone sync

A snapshot, nagyjabol kb. annyi helyet ker enni, ami tenylesegesen minimalisan szukseges:
amennyi a difi.
Raadasul, azt hiszem van annyira okos (bar meg nem mertem), hogy tegyuk fel van egy 4MB-os fajlod.
Azt megnyitja egy progi, ami valtoztat rajta 1 byte-ot, akkor a snapshotnak kell 1 blokknyi (ez mar fajlrendszerfuggo, tipikusan 512b, 1k, 4k, ...) hely, es kesz.

Szoval a zfs igazan takarekos.

De meg ha nem is igy csinalja, vagy a program imitalja, mintha ujra kiirna az egesz fajlt, es az osszes bajtjanak valtozasat, akkor is, max. a megvaltozott fajl meretenek helyfoglalasaval kell szamolni a snapshoton.
Illetve, mivel egy share-ben sok fajl lehet: a megvaltozott fajlok helyfoglalasaval.

Btw. Van a zfs-nek egy szep feature-je:
ro modban a dataset .zfs/snapshots alkonyvtaraban megtalalod a snapshotok adatait is, nem kell hozza rendszergazdat hivni, hogy visszaadjon neked vmi. adatot.
Trukkos a zfs, mert a rejtett-nel is rejtettebb: az ls parancs meg ls -la eseten sem mutatja a dataset gyokereben a .zfs konyvtarat, de enged belelepni :)
Ugyanez, ha samban / nfs-en csatolod fel: ha explicit megmondod kliens oldalon, hogy a /.zfs -be akarsz bemenni, akkor tudsz.

Nem, mert dekrementális backup. Úgy csinálja, hogy a legutolsó állapot van meg tökéletesen. Ha csinálsz most egy újabb backup-ot, akkor ami változik, abból csinál egy tömörített differenciát, de visszafelé, tehát az újhoz képest tudja majd így előállítani az eggyel régebbit. Aztán persze ami változott, azt update-eli lényegében rsync-kel. Tehát csak azt kell frissítenie, ami változott, de a legfrissebb állapot van meg teljes egészében, s a differenciák ehhez képest időben visszafelé.

Ennek az az előnye, hogy sohasem kell full mentést csinálni, mert mindig az van. Nem kell attól tartani, hogy a régi állapothoz képest a jelenlegi már nagyon eltér, szinte semmi köze hozzá, s a sok diff-ből kellene előállítani. Itt simán megteheted, hogy például a 2-vel régebbi differenciákat törlöd.

tr '[:lower:]' '[:upper:]' <<<locsemege
LOCSEMEGE

A leírása alapján: "The target directory ends up a copy of the source directory, but extra reverse diffs are stored in a special subdirectory of that target directory, so you can still recover files lost some time ago."

Ha jól vettem ki, mindig teljes mentést csinál, csak pluszban csinálja a diffeket. Ez a plusz diff miért jó, hiszen minden korábbi mentésed teljes mentés? Vagy megadható neki, hogy az aktuális mentésben az extra könyvtárban legyen benne az elmúlt két évnyi változás, nem csak a legutolsóhoz képest? Mert az ötlet szimpatikus, csak vannak még fehér foltok.

"Belépés díjtalan, kilépés bizonytalan."
"Vajon mit várok a sorstól, ha hányok az édestől, és izzadok a sóstól."

Anélkül, hogy ismerném az eszközt, szvsz arról van szó, hogy az utolsó mentésed teljes csak. Amikor készítesz helyette egy újat, akkor az előző helytakarékossági okokból törlésre kerül, csak a mostanihoz képesti különbség marad meg.
Így mindig rendelkezésedre áll egy "aktuális" állapotú teljes mentés, amiből szükség esetén elő lehet állítani korábbi állapotokat is, pl. ha ma már mentettél, de kellene egy tegnap délután törölt fájl.

Arról van szó, amit gergov ír, azzal a különbséggel, hogy nem töröl semmit. Igyekeztem leírni, de ezek szerint nem sikerült.

Tehát van egy mentésed, minden alkönyvtárról, file-ró, ahogy kell. Eltelik valamennyi idő, csinálsz egy backup-ot. Ezt lényegében rsync-kel csinálja, tehát csak azokat a file-okat írja felül vagy törli, amelyek az új állapotban változtak a régihez képest. Ennek az a következménye, hogy minden file-od megint pontosan a legutóbbi állapotot fogja tükrözni, mégsem kellett mindent másolni, mert csak a változásokat aktualizálta.

Igen ám, de mielőtt ezt megtenné, azoknak a file-oknak a régi, tehát módosítás előtti állapotáról, amelyeket módosítani kell, készít egy tömörített tar-t annak érdekében, hogy ne csak a legfrissebb, hanem a korábbi állapotot is vissza tudd nyerni, ha szükséges.

Az előnyei:

- differenciális mentést csinál, így nem kell adott esetben több 10 GB-ot másolnia

- a legfrissebb állapotról van file pontos képed, így nem áll elő az a helyzet, hogy néhány backup után nagyon messze jársz a bázistól, tehát sohasem kell full backup-ot csinálni

- mivel a legfrissebből származtatva a korábbi állapotokhoz tartozó differenciák vannak tömörítve tárolni, a régiek dobásához csak törölni kell őket

- a legutolsó backup tényleg file-osan van tárolva, így bármely file-hoz, könyvtárhoz hozzáférés nem igényel semmilyen parancsot, közvetlenül browse-olható, s ha megvan, amit keresel, copy-val másolható. Egyedül a korábbi állapotok visszanyeréséhez kell az rdiff-backup saját parancsát használni. Ilyenre talán egyszer volt szükségem.

tr '[:lower:]' '[:upper:]' <<<locsemege
LOCSEMEGE

olyan nincsen linux alá, ami hasonlít a jó öreg netware állományrendszerére? arra gondolok, hogy megőrzött korábbi verziókat, amiket vissza lehetett állítani. tehát ha felülírtad, szépen visszahoztad a korábbi verziót. ez alapból tudta, nem kellett semmilyen scriptet, programot időközönként futtatni.

"Belépés díjtalan, kilépés bizonytalan."
"Vajon mit várok a sorstól, ha hányok az édestől, és izzadok a sóstól."

igen, de ami érdekes volt, hogy ott mindez a rendszer része volt, automatikusan történt a korábbi verziók mentése. hasonló, mint a sharepoint alatt a verziózás.

"Belépés díjtalan, kilépés bizonytalan."
"Vajon mit várok a sorstól, ha hányok az édestől, és izzadok a sóstól."

( artifex | 2017. 01. 09., h – 13:40 )

Még nem...

"Belépés díjtalan, kilépés bizonytalan."
"Vajon mit várok a sorstól, ha hányok az édestől, és izzadok a sóstól."

( uid_17784 | 2017. 01. 09., h – 14:18 )

A vallassal hogyan all a (...)kozosseg?

( Sanya v | 2017. 01. 09., h – 16:52 )

A nem frissített synology NAS-okat és XPENOLOGY-kat támadta 2015. nyarán egy féreg. Igazság szerint egy féléves, befoltozott, de fel nem telepített sérülékenységet kihasználva.

( cherockee v | 2017. 01. 10., k – 09:22 )

Igazán elmondhatná az a most 6 fő, hogy hol milyen körülmények között találkozott vele, én tűkön ülök.

( Gaab | 2017. 01. 10., k – 19:55 )

Eddig meg nem talalkoztam olyannal, aki ismert volna olyat, akivel ilyen megesett volna. Termeszetesen ez nem zar ki semmit :)

( agostonl | 2017. 01. 11., sze – 11:10 )

1 hete kaptam egy decryptor 4-el titkosított gépet (https://noransom.kaspersky.com/)
Az orvos (merthogy inteligens, meg mindenre kattint...) teljes profilját elraktam, ha majd lesz hozzá visszafejtő algoritmus, visszakapja a cuccait.
Ja és mivel nem volt rendszergizda joga, csak a profilja volt az áldozat (pedig van a gépen még 8 másik profil is.

Addig ütném azt, aki ezeket kitalálta, amíg mozog. :/

"Az atombombát és a C vitamint is a Magyarok találták fel...
Mindkettőből elég, napi 500 mg. - by Bödőcs Tibor"