Сохранить бекап от вирусов вымогателей




 

[Цитировать]

Отправлено: 19-Авг-2021 15:47

    korsak7
  • 107
  • Стаж: 9 лет 4 месяца
  • Сообщений: 1082
  • Репутация:62

    [+] [-]
Ander_73, это не биткойн-кошелек, достаточно вменяемого названия PrtctIt aa

[Цитировать]

Отправлено: 19-Авг-2021 16:45 (спустя 58 минут)

    sam_sobi
  • 2839
  • Стаж: 8 лет 1 месяц
  • Сообщений: 253
  • Репутация:3

    [+] [-]
IFW бекапить нужный раздел раз в неделю например. Получается двойная защита aa
Ну для себя любимого - когда и как угодно. Но в промышленной эксплуатации, там, где на сервере базы данных различных бухгалтерских программ изменяются и пополняются каждый день, TBW раз в сутки "автоматом" создает ежедневные DIFFы [двухнедельного периода] (в TBW есть возможность сделать задание в планировщике - подробности тут, если заинтересуешься...)

[Цитировать]

Отправлено: 20-Авг-2021 06:35 (спустя 13 часов)

    Gemostarter
  • 15956
  • Стаж: 7 лет
  • Сообщений: 324
  • Репутация:35

    [+] [-]
88158Если стоит задача поломать файловую систему, согласен - самое оно. Но перечитать таким макаром кучу файлов, попутно их зашифровав и сохранив обратно, с возможностью вернуть всё взад... Это уже нужно быть спецом ооооочень высокого уровня
Да едрить вас... Ладно, я сделаю проще. 7-Zip, думаю, у всех есть? Запускаем его от админа, клацаем кнопку "на уровень выше" до упора (или стираем всё в строке адреса, неважно), открываем псевдокаталог "\\.", любуемся на список смонтированных томов вперемешку с физическими путями типа "PhisicalDriveN", где N - номер диска, открываем наш жёсткий диск по "физическому" имени и любуемся уже списком всех разделов на нём. Открываем любой из несмонтированных и... Впрочем, не буду портить сюрприз.
Чтобы было понятно - это не 7-Zip такой крутой, эти возможности доступны любой программе. Когда я писал DiskPart ASC, мне такие пути удавалось даже в проводнике открыть без всякого монтирования и делать с файлами что душе угодно. Никакой магии - просто вызовы функций Win32 API. Пару раз отмонтировал диск C:\, винда от такой наглости знатно фигела, абсолютно ничего не работало, но файлы оставались доступны моей программе на чтение и запись по таким вот "альтернативным" путям. На самом деле эти пути - самые что ни на есть прямые, они просто не используются в большинстве прикладных программ.
88166Gemostarter, драйвер элементарно выключается через net stop. Я бы рекомендовал после установки переименовывать драйвер в нечто невразумительное. Вот тогда даже целенаправленная атака будет затруднительна (не перебирать же все драйверы/службы системы). Имхо, разумеется.
Атака на драйверы сама по себе непроста)) Но если задаться целью, можно выждать момент, когда драйвер будет загружен в память (просто пропускаем через себя загрузку всех драйверов, рано или поздно поймаем даже не зная имени), а дальше дело за дырами в этом драйвере - узнаём путь к файлу бэкапа и при первой же возможности портим его (это меньше секунды займёт).

[Цитировать]

Отправлено: 20-Авг-2021 07:42 (спустя 1 час 7 минут)

    korsak7
  • 107
  • Стаж: 9 лет 4 месяца
  • Сообщений: 1082
  • Репутация:62

    [+] [-]
просто пропускаем через себя загрузку всех драйверов, рано или поздно поймаем даже не зная имени
Поймать то поймаем, но откуда мы знаем по каким признакам ловить? При этом не зная конкретный искомый продукт.

[Цитировать]

Отправлено: 20-Авг-2021 09:55 (спустя 2 часа 12 минут)

    Ander_73
  • 15549
  • Стаж: 7 лет 2 месяца
  • Сообщений: 3607
  • Репутация:127

    [+] [-]
88193просто пропускаем через себя загрузку всех драйверов,
Конти уже прокомментировал этот момент:
88158Тот, кто реально может это сделать, вряд ли будет промышлять рядовым вымогательством

Мы всё же рассматриваем безопасность рядового юзера, а не секретного объекта стратегического значения ab

[Цитировать]

Отправлено: 20-Авг-2021 09:58 (спустя 2 минуты)

    Гость
  • Репутация:0

    [+] [-]
Gemostarter, ну, если всё так просто, вот задача. Попробуй средствами ОС достучаться до второго раздела на обычной флешке (под 7-8-8.1, разумеется). Либо, отмонтировав раздел в стороннем менеджере дисков и изменив его идентификатор на какой-то левый (например, 0xAF Apple HFS или вообще 0x00) попробовать то же. Я уже не говорю о том, что можно банально указать начало и размер раздела со смещением, тогда вообще ничем не достучаться, кроме прог по восстановлению разделов.
Естественно, зная способ защиты, всегда можно её обойти. Но тогда и бороться со зловредами не имеет смысла.
Лично я считаю, что хороший "выключатель массы" может служить даже получше именитой, но хорошо известной антиугонки.

[Цитировать]

Отправлено: 21-Авг-2021 04:39 (спустя 18 часов)

    Gemostarter
  • 15956
  • Стаж: 7 лет
  • Сообщений: 324
  • Репутация:35

    [+] [-]
88194откуда мы знаем по каким признакам ловить? При этом не зная конкретный искомый продукт
Эта фраза относилась к случаю целенаправленной атаки. Когда известно всё, вплоть до номера сборки "искомого продукта".
88197Тот, кто реально может это сделать, вряд ли будет промышлять рядовым вымогательством
Он может и не промышлять. А просто написать библиотеку и продавать её тем, кто будет.
88198можно банально указать начало и размер раздела со смещением
Кстати, а это неплохой вариант. Если заранее не рассчитывать на это, то будет обломчикус. Способы же с левыми ID не сильно надёжнее простого отмонтированного раздела - если уж сподобились предоставлять услуги шифрования-вымогательства юзеру с хитрой попой, почему бы и не повысить качество сервиса?
А, кстати, я идиот. На таких разделах можно даже с файлами не париться. Открыли раздел как файл, зашифровали его весь, профит. Или даже не весь, а только ненулевые области, да с интервалом, для скорости. Сервис же должен быть качественным.
88198хороший "выключатель массы" может служить даже получше именитой, но хорошо известной антиугонки
Только до тех пор, пока о нём знает только один человек.

[Цитировать]

Отправлено: 21-Авг-2021 09:54 (спустя 5 часов)

    dimo70
  • 17296
  • Стаж: 6 лет 4 месяца
  • Сообщений: 3990
  • Репутация:26

    [+] [-]
  • Откуда: BG
Мне кажеться слишком сложно.
Я сейчас сделал так. Создал раздел ext4 с PartWizard. С IFW архивирую периодически раздел D: на ext4.
Для доступа установил Paragon ExtFS for Windows, но не подключаю раздел.
Подскажите, есть тут слабое место? Может драйвер парагона? Или еще что то? aa

_________________
Подпись отключена за нарушение правил форума

[Цитировать]

Отправлено: 21-Авг-2021 13:43 (спустя 3 часа)

    Gemostarter
  • 15956
  • Стаж: 7 лет
  • Сообщений: 324
  • Репутация:35

    [+] [-]
88236Может драйвер парагона?
Именно он. "Общайтесь" с этим разделом только через IFW - и защищённость лучше, и вероятность потери данных из-за несовместимых багов в IFW и Paragon исчезает.

[Цитировать]

Отправлено: 21-Авг-2021 15:54 (спустя 2 часа 11 минут)

    dimo70
  • 17296
  • Стаж: 6 лет 4 месяца
  • Сообщений: 3990
  • Репутация:26

    [+] [-]
  • Откуда: BG
Gemostarter, спасибо за совет. ay
Удалю драйвер парагона. aa

_________________
Подпись отключена за нарушение правил форума

[Цитировать]

Отправлено: 24-Авг-2021 10:02 (спустя 2 дня 18 часов)

    xowlet
  • 1024
  • Стаж: 8 лет 9 месяцев
  • Сообщений: 179
  • Репутация:11

    [+] [-]
Кто ни будь использует для защиты от вымогателей, в своей практике, возможности самой операционной системы Windows? an

Страница 4 из 4


Показать сообщения:    

Текущее время: 20-Апр 12:59

Часовой пояс: UTC + 3


Вы не можете начинать темы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете голосовать в опросах
Вы не можете прикреплять файлы к сообщениям
Вы можете скачивать файлы