¿Limitar el acceso de escritura a un directorio de respaldo ayudaría a protegerlo de ransomware?

4

Sé que esto es similar a esta pregunta , pero no creo que sea un duplicado.

Tienes un programa que realiza automáticamente copias de seguridad periódicas de todos tus archivos en una carpeta o en una unidad montada.

Supongamos que configuró su sistema para que el único proceso que tenga acceso de escritura a esa carpeta / unidad sea el proceso que realiza las copias de seguridad.

¿Esto disminuiría significativamente la probabilidad de que varios programas de ransomware puedan tocar el contenido de esa unidad / carpeta?

¿Al menos protegería contra los programas de ransomware que se ejecutan sin privilegios de administrador / root?

¿Existe alguna posibilidad de que pueda protegerse de aquellos que han adquirido privilegios de administrador / raíz? (¿La mayoría de los ransomware tienen eso?)

Supongo que en un escenario realmente malo, donde el ransomware está escrito y equipado de manera muy inteligente, casi siempre existe la posibilidad de que pueda usar varias maneras de sortear la mayoría de las cosas. Si bien eso es interesante, estoy más interesado en una situación práctica, y lo que realmente puede suceder si el ransomware de la vida real se enfrentara a tal situación. (El acceso de escritura al directorio de copia de seguridad está limitado únicamente al proceso que realiza la copia de seguridad).

Si esto realmente nos ayudaría a protegernos, ¿es relativamente fácil configurarlo en varios sistemas operativos de escritorio?

No solo estoy interesado en Windows, ya que también ha habido casos confirmados de ransomware en sistemas operativos tipo Unix / Unix.

    
pregunta Revetahw 19.04.2016 - 07:23
fuente

1 respuesta

3

Tener un directorio de copia de seguridad de solo lectura al que solo acceda un usuario de copia de seguridad tendrá un impacto positivo en la cantidad de ransomware que puede destruir / alterar sus copias de seguridad. Dependiendo de esta solución, únicamente no protegerá completamente su sistema.

Hay una serie de factores relacionados con el ransomware, lo que significa que debería usarse una estrategia integral contra el ransomware. Hice una investigación básica y descubrí que, si bien este ransomware se frustraría solo con esto, no es infalible. Aquí algunos otros consejos útiles:

Desmontar copias de seguridad

Mientras los archivos sean accesibles en el nivel del kernel, existe la posibilidad de un ataque de escalado de privilegios que pueda pasar por alto los permisos de los archivos. Preferiblemente, su copia de seguridad debe existir en una máquina dedicada conectada a través de la red y debe ser montada por el usuario de la copia de seguridad antes de copiar archivos. Esto reduce el tiempo de exposición para que esos archivos se cifren.

Copias de seguridad de red

No guarde la copia de seguridad en la misma computadora que está usando. Esto también es práctico en el sentido de que cuando su disco duro falla, puede ir a su copia de seguridad y restaurar desde allí. Ellos van mal de vez en cuando. Tuve un disco duro este año, comencé a lanzar errores ilegibles del sector y era una copia de seguridad (pero ya se había hecho una copia de seguridad antes de que se dañara).

Ejecutar como usuario normal

Muchos usuarios deciden ejecutarse como administradores locales (especialmente los usuarios de Windows), lo que hace que la escalada de privilegios sea más fácil o no necesaria. Asegúrese de que solo haya iniciado sesión como root / Administrator para instalar los programas, y ejecútelo como un usuario normal en cualquier otro momento.

Renombrar archivos

Cree un esquema de nombres para sus extensiones de archivo. La mayoría del ransomware en realidad solo busca ciertos tipos de archivos, como imágenes, películas, documentos y hojas de cálculo. Cosas que tienden a preocuparte. Si sus archivos de copia de seguridad tienen extensiones diferentes, la mayoría del ransomware ignorará esos archivos en favor de los archivos que cree que le interesan.

Sistemas de parches

Muchos paquetes de ransomware dependen de vulnerabilidades en Java, Flash, un navegador o sistema operativo específico o un controlador. Asegúrese de parchear su software con la mayor frecuencia posible. Las infecciones de drive-by todavía son comunes, aunque la mayoría de los softwares de drive-by tienden a no usar ataques de escalada de privilegios últimamente, así que simplemente mantener su software actualizado podría ser una ventaja importante. Esto incluye software de terceros como Magento, Drupal, etc.

Anti-Virus

Mantenga un programa antivirus en ejecución en su máquina, con coincidencia heurística, si está disponible. La mayoría de los proveedores han aprendido a decir cuándo un ransomware no es bueno.

Honeypot (?)

No conozco ningún producto comercial que haga esto, pero podría crear un honeypot en su sistema de archivos en solo unas pocas líneas de código. Básicamente, cree una carpeta llamada "a" en su directorio de inicio (/ home / a o / Users / a), y escriba un pequeño programa que se enganche en el ioctl para esa carpeta. Termine cualquier programa que intente leer desde ese directorio. Como alternativa, simplemente escriba un demonio que se enganche en su carpeta de copia de seguridad y finalice los programas que no tengan el ID de usuario de copia de seguridad adjunto.

Ten en cuenta que todavía hay otras formas de modificar tus archivos. En teoría, un virus hipervisor podría controlar su hardware y corromper todo sin que usted lo supiera, hasta que fue demasiado tarde. Ningún plan que se te ocurra será 100% infalible. Sin embargo, al administrar con cuidado sus copias de seguridad fuera de línea, parchear regularmente y restringir los privilegios de su cuenta de usuario, evitará que la mayoría del ransomware lo dañe. Esta es la misma estrategia básica que usaría para protegerse contra cualquier otro tipo de virus.

    
respondido por el phyrfox 19.04.2016 - 09:55
fuente

Lea otras preguntas en las etiquetas