Limite los posibles daños del ransomware en un servidor de archivos

Navega tus respuestas
-1

Lo primero que debo decir: sé que necesito una copia de seguridad y tengo una, por supuesto, pero mi pregunta no es sobre la seguridad de los datos, sino sobre cómo reducir el posible tiempo necesario para restaurar los datos.

Ya estoy limitando el acceso de escritura de todos los usuarios en la medida de lo posible para evitar una situación en la que un host infectado pueda cifrar todos los datos en el peor de los casos. Además, es relativamente poco probable que el propio servidor de archivos se infecte porque el único servicio accesible desde las estaciones de trabajo son los recursos compartidos SMB.

Lo que me gustaría tener es una forma de detectar el comportamiento malicioso y prevenir más si es posible. Por ejemplo, cuando un cliente abre y cambia archivos rápidamente de una manera sistemática, ¿no sería esto una señal clara de ransomeware y no hay una manera de evitar esto?

    
pregunta davidb 14.06.2016 - 22:21
fuente

2 respuestas

2

Muchos virus ransomware de cifrado de archivos agregan una extensión de archivo "única" al nombre del archivo afectado y dejan un "manual" de cómo descifrar los archivos en los directorios afectados. Esta es una de las formas más fáciles de detectarlos.

En los servidores de archivos de Windows puede configurar el administrador de recursos del servidor de archivos para buscar esos archivos y bloquear la creación o enviar alertas de correo electrónico. Para los servidores Unix probablemente ya hay algunos scripts. Aquí hay un hilo de reddit que habla sobre esto: enlace

Por supuesto, no detectará todos los virus ransomware, pero tiene una alta probabilidad de detectar los virus comunes.

Si detecta un archivo cifrado, puede realizar acciones como bloquear al usuario que creó / editó el archivo y / o enviar algunas alertas, etc.

    
respondido por el Knorke 15.06.2016 - 15:36
fuente
-1

La mejor manera que recomendaría sería utilizar una solución de almacenamiento que ofrezca almacenamiento a nivel de bloque versus almacenamiento a nivel de sistema de archivos. Muchas soluciones SAN y soluciones de almacenamiento basadas en clusters más brillantes como gluster y ceph ofrecen instantáneas periódicas de los bloques de almacenamiento. Tienes ransomware? Retroceda a su instantánea más actual. Poof, no hace daño. (Después de purgar el host infectado, por supuesto).

En lo que respecta a detener el ransomware, la educación sólida del usuario ayuda a evitar que esas cosas entren en su red. También puede prohibir el tránsito de tipos de archivos ejecutables por correo electrónico, ya que la mayoría del ransomware es similar a un virus y requiere la acción del usuario. He oído hablar de un gusano ransomware, zcrypt, aunque parece que su impacto ha sido mínimo y se ha detectado en varias soluciones antivirus.

    
respondido por el Desthro 15.06.2016 - 00:37
fuente

Lea otras preguntas en las etiquetas

¿Qué pasa si alguien roba las claves privadas de una entidad DKMS? URL de fuerza bruta con rango de números