PDA

Просмотр полной версии : lockdir и другие шифровальщики вымогатели: подстилаем соломку



Ilya Shabanov
20.07.2012, 13:19
Хотел бы поднять тему как минимизировать риски связанные с заражением шифровальщиками-вымогателями, например, Lockdir.

С одной стороны надо защищать систему и проявлять осторожность при работе в сети. Но социальная инженерия творит чудеса, поэтому от обмана и последующего заражения на 100% не застрахован никто, даже в случае установленной на компьютере самой лучшей защиты.

Поэтому стоит подумать о минимизации рисков потери данных. Если на компьютере почти не будет ценной информации, то и риски будут сводиться к минимуму. В худжем случае вы потеряете немного времени на устранение следов работы вредоносной программы, но ваше личные данные будут целы.

Все личные данные можно хранить "в облаке", для этого есть уже куча сервисов. Вот некоторые из них:

http://skydrive.live.com - 7Гб для бесплатного хранилища. Есть средство синхронизации https://apps.live.com/skydrive

https://drive.google.com - 5Гб для бесплатного хранилища. Также есть средство синхронизации. Минус - сильные ограничения по типам хранимых файлов.

Бесплатное хранилище для важных данных предоставляют и некоторые антивирусные вендоры. Например, при покупке лицензии на Norton 360 дается 2Гб в безопасном хранилище Symantec.

http://picasa.google.com (http://picasa.google.com/) (софт)- удобное средство обработки фотографий и загрузки их в https://plus.google.com


Про контакты и почту я не пишу - это уже банальные вещи. Давно уже не понимаю смысла их хранения на локальном компьютере. Есть Gmail и Hotmail, Яндекс наконец.

Остается только видео, которые в силу большего объема в облако сложно выложить. Может кто знает какой-то сервис?

Если есть какие-то другие сервисы для хранения данных в облаке, пишите, кидайте ссылки.

Дeнис
20.07.2012, 13:59
Записал файл на флеш носитель, с физической защитой от записи, вытащил флешку поменял ключ на "Lock" и ничем не изменишь файл.. Поэтому будет разумно хранить файлы(только для чтения) на внешних HDD с физической защитой от записи

Ilya Shabanov
20.07.2012, 14:05
Тоже варинт. Но с внешними носителями есть несколько минусов:

1. Синхронизация изменений. Я решал эту проблему при помощи утулиты SyncToy, получается намного удобнее.

2. Флешка не всегда под рукой. Еще они иногда теряются. А облако оно всегда доступно :)

Дeнис
20.07.2012, 16:06
Ilya Shabanov, Не обязательно флешка, можно внешний HDD использовать,к тому же если это видео, объемом так 100гб, например свадьба, то это вариант просто незаменим )

Никита Соловьев
20.07.2012, 18:44
http://skydrive.live.com - 7Гб для бесплатного хранилища. Есть средство синхронизации
Для тех, кто зарегистрировался давно 25 гб ;) Очень удобный, люблю hotmail и skydrive.

Никита Соловьев
08.01.2013, 22:07
http://www.anti-malware.ru/files/Norton%20Online%20Backup_icon1.png (http://ru.norton.com/online-backup/)


Norton Online Backup


Norton Online Backup очень удобная и функциональная утилита, позволяющая выполнить резервное копирование файлов, сохраняя их в облаке. Вы можете получить доступ к файлам из любого места и выполнить восстановление. Защита до 5 домашних PC или Mac.



> Узнать больше на сайте производителя (http://ru.norton.com/online-backup/)

> Посмотреть обзор Norton Online Backup (http://www.anti-malware.ru/norton_online_backup)

> Попробовать в течение 30 дней (http://ru.norton.com/downloads-trial-norton-online-backup)

Val_Ery
17.10.2013, 10:08
Если есть какие-то другие сервисы для хранения данных в облаке, пишите, кидайте ссылки.
Вот така штука - http://c13.yunpan.360.cn/
Говорят - 36 Тб, правда, может у них терабайты китайские, не знаю. Но знакомый на сей момент (ради экспериметна) залил туда уже более 90 Гб...


как минимизировать риски связанные с заражением шифровальщиками-вымогателями
Всё на конкретном примере. Народ говорит, что если бы об этом знали - проблем было бы меньше.
В понедельник-вторник - три зашифрованных машины в разных местах. Один зловред - письмо из арбитражного суда с мылом vernifaily.nazad ПЁС yahoo.com (в адресе мог ошибиться...). Здесь социальные инжененры попали в точку, у каждой из трех контор есть проблемы не то с налоговой, не то с приставами... Поэтому, забыв о безопасности - просто щелкали по ссылке в письме.

Теперь о том, куда смотреть...
Каждое письмо содержит так называемые заголовки (разные почтовые системы могут обзывать их от "исходного кода" до "служебных заголовков"). И в них есть записи, которые достаточно сложно подменить... Просмотрев их, можно сделать некоторые выводы. Например, принимаем как данность, что все мошенники прячут своё истинное местоположение. Тогда, с большой долей вероятности в полученных из их письма заголовках будет присутствовать не одна запись Received (прохождение через разные майл-сервера оставит в этих заголовках след - письмо было тута), причем самая нижняя по расположению в тексте должна показывать машину, на которой сие письмо писалось. Даже если запись одна - в ней будет фигурировать некий IP-адрес, на который можно натравить whois, или название почтового сервера, который можно сопоставить с тем же судом...

Момент номер два - результаты spf-авторизации, в заголовках они тоже присутствуют.
Теперь данность номер два - мошенник указывает в поле "Отправитель" того, кого он хочет сделать козлом отпущения. Поэтому подмена поля отправителя скорее всего выльется в ошибку Received-SPF: softfail с объяснением, почему так...

P.S. Всё это с пониманием того факта, что работники, к примеру, арбитражных судов работу на дом не берут. Кстати, когда-то они занимались рассылкой писем по адресам, сейчас - нет. Но и тогда делали они это с работы...

А теперь сам конкретный пример, я там только мыло получателя заменил на ЖЖЖ. Цветом выделены записи, которые явно указывают на развод не по-детски... Кстати, интересно, владелец ресурса pokovka.org знает, как его пользуют? Ведь менты слушать не будут :)


From [email protected] Mon Oct 14 02:35:12 2013
Return-path: <[email protected]>
Authentication-Results: mxs.mail.ru; spf=softfail (mx120.mail.ru: transitioning domain of sudrf.ru does not designate 83.222.23.77 as permitted sender) [email protected] smtp.helo=relay-out4.mail.masterhost.ru
Received-SPF: softfail (mx120.mail.ru: transitioning domain of sudrf.ru does not designate 83.222.23.77 as permitted sender) client-ip=83.222.23.77; [email protected]; helo=relay-out4.mail.masterhost.ru;
Received: from [83.222.23.77] (port=12100 helo=relay-out4.mail.masterhost.ru)
by mx120.mail.ru with esmtp (envelope-from <[email protected]>)
id 1VVUFj-0004Qe-U4
for ЖЖЖ; Mon, 14 Oct 2013 02:35:12 +0400
X-Mru-BL: 0:0:1114
X-Mru-PTR: off
X-Mru-NR: 1
X-Mru-OF: FreeBSD (Ethernet or modem)
X-Mru-RC: RU
Received: from [UNAVAILABLE] ([188.64.171.181] helo=h1net188-64-171-181.h1host.ru)
by relay4.mail.masterhost.ru with esmtpa
envelope from <[email protected]>
authenticated with [email protected]
message id 1VVUFI-0003DN-Cb
for ЖЖЖ; Mon, 14 Oct 2013 02:35:11 +0400
Message-ID: <B2DEC70BE88D4C92ACAC8F9CC676A206@ars-f9f5774e755>
Reply-To: =?koi8-r?B?4dLCydTSwdbO2cog09XE?= <[email protected]>
From: =?koi8-r?B?4dLCydTSwdbO2cog09XE?= <[email protected]>
To: <ЖЖЖ>
Subject: =?koi8-r?B?8uHz8+3v9PLl7unlIOnz6+Eh?=
Date: Mon, 14 Oct 2013 04:29:13 +0600
MIME-Version: 1.0
Content-Type: multipart/related;
Type="multipart/alternative";
boundary="----=_NextPart_000_08C0_01CEC895.EF56D290"
X-Priority: 1
X-MSMail-Priority: High
X-Mailer: Microsoft Windows Mail 6.0.6001.18000
X-MimeOLE: Produced By Microsoft MimeOLE V6.0.6001.18049
X-SpamTest-Envelope-From: [email protected]
X-SpamTest-Group-ID: 00000000
X-SpamTest-Info: Profiles 51717 [Oct 14 2013]
X-SpamTest-Info: {RECEIVED: dynamic ip detected}
X-SpamTest-Info: {Headers: SPAM MimeOLE v6.*.60}
X-SpamTest-Info: {DNSBL Rate: low}
X-SpamTest-Method: none
X-SpamTest-Rate: 45
X-SpamTest-Status: Not detected
X-SpamTest-Status-Extended: not_detected
X-SpamTest-Version: SMTP-Filter Version 3.0.0 [0284], KAS30/Release
X-Spam: Not detected
X-Mras: Ok
X-Mru-Authenticated-Sender: [email protected]

Никита Соловьев
17.10.2013, 16:19
Говорят - 36 Тб, правда, может у них терабайты китайские, не знаю. Но знакомый на сей момент (ради экспериметна) залил туда уже более 90 Гб...
Не самая хорошая идея доверить китайским серверам свои файлы, даже в таком объёме.