¿Cómo protegerse contra virus que toman archivos como rehenes al encriptarlos?

Navega tus respuestas
4

Hoy estuve infectado por CoinVault, un nuevo malware similar a CryptoLocker, creo. Antes de hoy desconocía todo este tipo de malware. Afortunadamente, estaba protegido por copias de seguridad fuera de línea, pero he estado pensando mucho en cómo evitar que este tipo de cosas vuelva a suceder, y no estoy seguro de estar satisfecho con lo que he descubierto.

Las copias de seguridad regulares son obviamente muy importantes, pero no veo esto como la solución final. Incluso las copias de seguridad fuera de línea están en línea para el proceso de copia de seguridad, lo que significa que no ha eliminado el potencial de infección de estas copias de seguridad, solo lo ha minimizado en un breve período de tiempo. Si su sistema es vulnerable a los cryptolockers, también lo es su copia de seguridad fuera de línea.

Entonces, ¿cómo estar seguro de que su sistema no es vulnerable? He visto que se sugiere aquí para configurar las políticas que impiden que el exe ejecute en% AppData % o% Temp%. Pero, ¿cómo sabemos que el malware no puede iniciarse desde otra ubicación? ¿Son estos los únicos lugares donde el malware puede inyectarse desde un navegador? Además, la configuración de política mencionada no está disponible en las versiones de inicio de Win7. ¿Puede ayudar UAC aquí, o solo funciona para aplicaciones instaladas y no para archivos ejecutables simples? Idealmente, me gustaría tener un exe en mi sistema capaz de ejecutarse a menos que lo haya incluido en la lista blanca ... ¿es esto posible en las versiones caseras de Win7?

Mi plan de protección actual es:

  • coloque el UAC en la configuración más segura (actualmente en el más riesgoso)
  • cambiar mi usuario normal a privilegios no administrativos

No estoy seguro de si esas dos cosas solo me hubieran ayudado aquí, pero me gustaría bloquear a todos los ejecutivos arbitrarios también si puedo, que es la única área con la que estoy luchando.

    
pregunta Dave Johnson 02.01.2015 - 07:16
fuente

1 respuesta

6

Para protegerse contra esto, necesita algún tipo de copia de seguridad en línea versionada. Donde todos los cambios se guardan como una diferencia con respecto a la copia de seguridad anterior, y siempre puede revertir a cualquier fecha / hora.

Básicamente, su copia de seguridad versionada debería funcionar con independencia de lo que haga en la copia de seguridad, su copia en escritura y siempre podrá revertir.

Esto puede ser como una copia de seguridad incremental basada en archivos en un servidor de respaldo o NAS, pero también puede hacer esto a nivel de bloque con LVM / snapshots en un servidor de respaldo, tal como almacena snapshots diferenciales sobre el sistema de archivos para que Siempre puede recuperar cualquiera de estas instantáneas antes de tiempo.

Lo importante a considerar, es que el sistema de control de versiones incrementales DEBE implementarse en el lado del servidor. Por ejemplo, presente una unidad compartida al equipo cliente. Cada vez que se escribe un archivo en esta unidad compartida, el SERVIDOR (que es inaccesible para el virus) verifica si ese archivo ya existe, y escribe un archivo de diferencias incrementales en la unidad del servidor si ya existe.

Por lo tanto, todo lo que el virus haga en la unidad compartida siempre se guardará como un diferencial incremental.

Sólo permitir que se ejecute software "confiable" es básicamente imposible tanto en Windows como en Linux, ya que un sistema operativo tiene MUCHO código ejecutable que se ejecuta como parte del sistema operativo. En todos estos códigos ejecutables, siempre hay puntos de entrada donde los módulos se pueden conectar y ejecutar, y el cierre de todos estos puntos de entrada es básicamente imposible. Un ejemplo de punto de entrada es registrar una DLL ejecutable desde regsvr32.exe. Lo único que puede hacer es restringir el software ejecutable para que no modifique ciertos archivos, pero eso también significa que debe evitar modificar ese archivo también, ya que cualquier cosa que pueda hacer, el virus también puede hacerlo. La única manera de bloquear completamente un código que no sea de confianza es mediante un microcontrolador, y eso es EXACTAMENTE por qué existen las tarjetas inteligentes.

    
respondido por el sebastian nielsen 02.01.2015 - 09:38
fuente

Lea otras preguntas en las etiquetas

¿Qué tan seguro es proteger el contenido confidencial mediante la URL con el hash MD5 y sin otra autorización? ¿Hay algún método para prevenir / rastrear el ataque DDoS?