dimo70
 - Стаж: 6 лет 11 месяцев
- Сообщений: 3774
- Репутация:27[+] [-]
- Откуда: BG
|
conty9, очень интересно. Если вариант через команды есть будет еще лучше. 
_________________
Подпись отключена за нарушение правил форума
|
sam_sobi
 - Стаж: 8 лет 8 месяцев
- Сообщений: 198
- Репутация:3[+] [-]
|
Conty9, приветствую !
В принципе сама идея нова и интересна, но есть пару моментов:3. Все новые данные храним на временном разделе, периодически ценный раздел подключаем на запись и синхронизируем с добавленным. Плюс такого подхода в том, что для чтения свои данные будут доступны всегда (фото, документы, и т.п.).
|
korsak7
  - Стаж: 9 лет
- Сообщений: 1063
- Репутация:62[+] [-]
|
А если в этот момент на временном разделе уже произошли необратимые изменения ?
|
|
|
А можно пример команды для такого монтирования?
MOUN-udm -udm- -u+ -mall -mhide1 -mhide \\.\PhysicalDrive9 Z:
MOUN-udm -mhide \\.\PhysicalDrive9 C-А если в этот момент на временном разделе уже произошли необратимые изменения ?
Как вариант для проверки от шифрования - можно закинуть в корень системного раздела и "Документы" файл, который точно шифруется вымогателем, и проверять его по контрольной сумме.Но не для баз данных типа 1С, Медок, Афина, Парус и т.д., ...можно для защиты своих персональных данных...
|
Gemostarter
 - Стаж: 7 лет 7 месяцев
- Сообщений: 323
- Репутация:35[+] [-]
|
88045Думаю, шифровальщики пока до изменения атрибутов раздела не дошли
Вариант с Терабайтом более надёжен - создателю малвари придётся реализовать его поддержку отдельно, и практически все (то есть вообще все, кроме того, кто нацелится конкретно на ваш ПК/сеть) на это дело забьют.
|
|
|
Gemostarter, я всё же считаю, что шифровальщики пока не настолько продвинутые, чтобы самостоятельно перемонтировать разделы или менять их атрибуты. Это как выключатель массы в авто: будучи спрятанным в неизвестном месте, он скорее заставит вора перейти к другому авто, чем разбираться с этим.
Я немного поэкспериментировал. Если сменить идентификатор раздела (например, я поставил 0xAF - Apple HFS), тогда ОС отказывается вообще что-либо делать с таким разделом, только удалить (ни управление разделами, ни diskpart). Этот раздел монтируем read-only через ImDisk. Обойти read-only монтирование ImDisk не получится без самого ImDisk.
|
korsak7
- Стаж: 9 лет
- Сообщений: 1063
- Репутация:62[+] [-]
|
шифровальщики пока не настолько продвинутые, чтобы самостоятельно перемонтировать разделы
|
dimo70
- Стаж: 6 лет 11 месяцев
- Сообщений: 3774
- Репутация:27[+] [-]
- Откуда: BG
|
Всем привет, есть еще один сложный вопрос. 
Мой FTP сервер представляет связаный к рутера через USB3 порт внешний диск. Есть внутренная сеть из двух компьютеров. Если рансомуер начнет криптить компьютера может добраться до FTP или нет?
_________________
Подпись отключена за нарушение правил форума
|
|
|
Провентилировал вопрос с монтированием раздела с помощью ImDisk.Ключи ImDisk-a подключить виртуальный диск
-d отключить
-e редактировать виртуальный диск
-b указать смещение, то есть начало данных на диске, указывается для дисков созданных в разных программах, в образах которых нужно пропустить начальные атрибуты в файле.
-s размер виртуального диска. Размер является количеством байтов если не прибавлен суффикс a (авто), b (колич. 512 байтовых блоков), k (тысяча байт), m (миллион байт), g (миллиард байт), t (триллиона байт), K (килобайт), M (мегабайт), G (гигабайт) или T (терабайт). Тысяча байт и килобайт, отличаются тем, что в килобайте 1024 байт, а не 1000. Например. -s 150M или -s 10% - 10 процентов от свободной памяти. Параметр -500M - со знаком минуса определяет размер создаваемого диска как обьём свободной памяти минус указанный размер.
-o установить опции, применяется совместно с параметрами указанными ниже:
ro - только чтение
rw - чтения/запись
rem установить как сменный диск (флешка). Это определяет свойства диска, кэширование и прочее.
fix установить как постоянный, фиксированный диск (в противоположность rem)
cd создание виртуального CD-ROM/DVD-ROM.
fd создание флоппи диска. По умолчанию для размеров 160K, 180K, 320K, 360K, 640K, 720K, 820K, 1200K, 1440K, 1680K, 1722K, 2880K, 123264K or 234752K.
hd создание раздела харда.
ip параметр для подключения к прокси серверу.
comm подключение к серверу памяти через COM-порт.
-m Определяет букву накопителя. Например -m B: или -m y: или -m #: - первая свободная буква диска.
-f имя файла вирт. диска, например -f C:\Boot.img или -f \\server\share\image.bin или -F \Device\Harddisk0\Partition1\image.bin - последнее, когда буква диска не назначена и определение по номеру харда, номеру партиции (логического диска) и далее реальный путь.
-t место для диска, например -t file - образ является файлом на диске, -t vm - загрузить вирт. диск в память, -t proxy - использование внешнего сетевого вирт. диска, используется с параметром -f
-p форматирование, когда диск создан. Например, -p "/fs:ntfs /q /y", создаёт ntfs-файловую систему быстрым форматированием. Параметр /v:my_disk - метка диска, -p "/fs:fat32 /q /y" - форматирование в FAT32
-S Размер сектора используемый в устройстве. По умолчанию 512 байт, за исключением CD-ROM/DVD-ROM, где размер 2048 байт по умолчанию.
-x смотри параметр -y, ниже.
-y Параметры -x и -y определяют геометрию диска. Это полезно для создания загрузочных образов с последующей загрузкой на физическое устройство. Тип устройства зависит от -o, например 1440K получает 2 дорожки/цилиндр и 18 секторов/дорожка.
-u Вместе с -a запрос номера устройства. Вместе с -d или -l запрос номера устройства на удаление или запрос свойств.
part -hextp -phy -fill list part 2#7,&&te //получаем в %&&te% особенности раздела (PartID Type BootMark BaseOffset Size HideSectorNum End DrvLetter)
MSTR &&c,&&d=<4><5>%&&te% //Извлекаем базовое смещение (от начала диска) и размер раздела
RAMD ImDisk*&MounRet*%&&c%*%&&d%*0*\\.\PhysicalDrive2 -a -S 512 -o hd -m Z: //Монтируем раздел hdd2 как виртуальный диск (-a), с размером сектора 512 (-S 512), только для чтения (-o), хард (hd), буква диска Z: (-m Z:), в %&MounRet% получим код завершения (0 если всё удачно).
Ключи совпадают с комстрокой, нужно уточнить, как правильно прописывать базовое смещение и длину (видимо, ключи -b и -s, тут внимательно - большая S из другой оперы!).
Размонтировать RAMD Imdisk* -d -m Z: (аналогично imdisk -d -m Z:)
Монтировать такой раздел с полным доступом
SHOW & 2#7,W: //локально
SHOW * 2#7,W: //глобально
Демонтировать SHOW *- ,W:
Идентификатор раздела при таком монтировании можно установить любой не-виндовый, тогда стандартный менеджер разделов не сможет монтировать раздел. Чтобы сделать раздел обычным, в любом менеджере меняем ID на 0x7 (NTFS).
Раздел может быть одновременно смонтирован и как Read-Only (ImDisk), и с полным доступом (PECMD), при этом изменения, внесённые на диск в режиме полного доступа, с задержкой отображаются на Read-Only.
|
Ander_73
  - Стаж: 7 лет 9 месяцев
- Сообщений: 3805
- Репутация:127[+] [-]
|
Оба варианта (использование драйвера ProtectIt и скрытого раздела) имеют одну и ту же уязвимость: когда-то их придётся "открыть" для записи бекапа и в этот момент туда можно просунуть волосатое счупальце.
|
korsak7
- Стаж: 9 лет
- Сообщений: 1063
- Репутация:62[+] [-]
|
То есть всё пропало, шеф ? Можно закрывать лавочку?
====================
вот интересно, с какой папки волосатое счупальце начинает шифровать файло?
А если положить например сыр в виде файла c:\omnomnom.doc и мониторить постоянно его исчезновение или появление такого файла с другими расширениями?
Последний раз редактировалось: korsak7 (2021-08-17 11:17), всего редактировалось 1 раз
|
|
|
По опыту "общения" с шифровальщиками: они быстренько шифруют всё, до чего дотянутся, и радостно сообщают: ваши данные успешно зашифрованы, платите бабло. Так что шансы, что именно в момент шифрования будет открыт бекап - довольно низкие. Ну и вдобавок, я уже предлагал проверку от шифровальщика - файл документа в корне системного раздела и в документах, с известной контрольной суммой. Если файл отсутствует, или КС изменилась - звоночек, что возможно заражение!
|
![[Цитировать]](./styles/templates/default/images/lang/ru/icon_quote.gif "Ответить с цитатой")
 Отправлено: 18-Авг-2021 17:51
(спустя 1 день 6 часов)
UserX
  - Стаж: 9 лет 6 месяцев
- Сообщений: 847
- Репутация:37[+] [-]
|
88061Если рансомуер начнет криптить компьютера может добраться до FTP или нет?
Просто физически отстёгивайте носитель (сеть) с бэкапом. А пристёгивайте его для очередного бэкапа или ресторе только после проверки "файла-сыра" c:\omnomnom.doc, как сказал korsak7.
"Сырный файл" в порядке? Можно рискнуть подсоединить накопитель (сеть) физически. Сделали с ним что нужно и сразу отсоединяйте. Тогда не придётся верить в то, что все известные шифровальщики - тупые. Или убеждаться в том, что вам не повезло, и какой-то умник в этот раз подкинул вам не тупой.
Прочие варианты зависят от способностей шифровальщика, при котором плохой результат возможен с бОльшей или меньшей степенью вероятности.
PS
Понятно, что аналогичного эффекта можно добиться при использовании драйверов с защитой от записи.
Вроде EWF, о которой сказал conty9.
Но тут тоже есть, типа, минус - повредится ОС (не запустится драйвер), значит не будет доступа к забэкапленной системе.
|
korsak7
- Стаж: 9 лет
- Сообщений: 1063
- Репутация:62[+] [-]
|
Просто физически отстёгивайте носитель (сеть) с бэкапом. А пристёгивайте его для очередного бэкапа или ресторе только после проверки "файла-сыра" c:\omnomnom.doc, как сказал korsak7.
может есть уже такая прога ?
|
Отправлено: 18-Авг-2021 19:27
(спустя 1 час 6 минут)
dimo70
- Стаж: 6 лет 11 месяцев
- Сообщений: 3774
- Репутация:27[+] [-]
- Откуда: BG
|
А интересно, можно сделать такую утилиту, которая следит за файлом в корне системного диска постоянно и если с нем что то случиться сразу алармирует, а может и заблокирует компьютер, или что то другое, тут я не знаю как... 
_________________
Подпись отключена за нарушение правил форума
|
Страница 2 из 4
Текущее время: 10-Ноя 22:44
Часовой пояс: UTC + 3
Вы не можете начинать темы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете голосовать в опросах
Вы не можете прикреплять файлы к сообщениям
Вы можете скачивать файлы
|
|
Вход
Регистрация