?

Log in

No account? Create an account
Криптолокеры - Журнал Восставшей Машины [entries|archive|friends|userinfo]
ArkanoiD

[ userinfo | livejournal userinfo ]
[ archive | journal archive ]

Криптолокеры [Jul. 1st, 2015|03:43 pm]
ArkanoiD
[Tags|, , ]

У меня тут от кучки дискуссий в социальных сетях очередной раз слегка кровоточат глаза. На этот раз на тему криптолокеров.

Люди на ПОЛНОМ СКОТСКОМ СЕРЬЕЗЕ обсуждают, насколько от криптолокеров помогает всякая advanced antimalware, защита от 0-day через сэндбоксинг и профилирование, белые списки приложений, вот это вот все.

ААААААААА!!!!!

Мои попытки объяснить, что это все решения для компаний, зрелость которых в ИТ и ИБ минимум на два очевидных уровня выше, чем та, при которой может беспокоить криптолокер, не приводят ни к чему.

И да, еще есть люди, которые верят, что проблемы решаются покупкой чего-то. И что менять бизнес-процессы ИБ никто не пустит, а вот денег купить это что-то, пусть задорого и без разумной отдачи, найти куда легче.
linkReply

Comments:
[User Picture]From: mds
2015-07-01 12:48 pm (UTC)
я наверное не понимаю твоей идеи.
У меня перед глазами пример нескольких довольно развитых с т.з. зрелости ИБ крупных и не очень лавок, где криптолокеры все же беспокоют. Настолько, что админам приходится морщить ум и выстраивать эшелонированные подпорки для сохранения данных. Не настолько, чтобы они спать не могли, но достаточно, чтоб они об этом думали.
(Reply) (Thread)
[User Picture]From: arkanoid
2015-07-01 12:50 pm (UTC)
Погоди, но как?

"Довольно развитые" подразумевают, что на рабочей станции вообще ничего более ценного, чем работа за один день, не хранится в принципе. Так что "избавление от криптолокера" это заливка стандартного образа админами.

Вообще криптолокер это такой хороший звоночек: "у нас где-то большой проеб в ИБ, но к счастью, атакующий оказался безобиден"

Edited at 2015-07-01 12:51 pm (UTC)
(Reply) (Parent) (Thread) (Expand)
[User Picture]From: shaman007
2015-07-01 01:29 pm (UTC)
Они не понимают, как ты не понимаешь!
(Reply) (Thread)
From: bowhill
2015-07-01 02:47 pm (UTC)
В принципе, криптолокер похож на ситуацию «пользователь случайно удалил». Разница в проблеме массового обслуживания.
(Reply) (Thread)
From: karpion
2015-07-01 07:46 pm (UTC)
Пользователь не удалит столько и сразу.
(Reply) (Parent) (Thread) (Expand)
[User Picture]From: egorfine
2015-07-01 02:59 pm (UTC)
Слушай, люди покупают абонемент в спортзал и не ходят вообще, зато они чувствуют глубокое удовлетворение от принадлежности к ЗОЖ.
(Reply) (Thread)
From: Aceler [yandex.ru]
2015-07-01 03:29 pm (UTC)
> И да, еще есть люди, которые верят, что проблемы решаются покупкой чего-то. И что менять бизнес-процессы ИБ никто не пустит, а вот денег купить это что-то, пусть задорого и без разумной отдачи, найти куда легче.

Тысячи их.
(Reply) (Thread)
[User Picture]From: scif_yar
2015-07-01 03:38 pm (UTC)
>>Мои попытки объяснить, что это все решения для компаний, зрелость которых в ИТ и ИБ минимум на два очевидных уровня выше, чем та, при которой может беспокоить криптолокер
-
проеб 100.000 фоточек на усб винте - не повод для беспокойства ?
(Reply) (Thread)
[User Picture]From: blacklion
2015-07-03 03:57 pm (UTC)
100000 фоточек на усб винде в фирме с развитой ИТ и ИБ-инфраструктурой?! Вы серьёзно!?
(Reply) (Parent) (Thread) (Expand)
[User Picture]From: stifff
2015-07-01 03:44 pm (UTC)
Я вот не настоящий сварщик, но разве криптованные файлы не детектятся по сигнатурам? Вернее по отсутствию оных в файлах? Ну и по энтропии.

Если у юзера слишком резко начало изменяться файло, по сравнению с тем, что лежит на бэкапах — как бы сигнал.
(Reply) (Thread)
[User Picture]From: scif_yar
2015-07-01 04:28 pm (UTC)
>>но разве криптованные файлы не детектятся по сигнатурам?
-
чего детектим-то ? каждое обращение по сети "записать в файл А от начала до *** " ?
на скорости это как скажется ?
(Reply) (Parent) (Thread) (Expand)
[User Picture]From: e1am0
2015-07-01 03:47 pm (UTC)
да один фиг тока версионность файлов спасёт от проёба. ну и как тут уже отметили -- надо непроебать увеличение объёма бэкапа резкое. плохо будет, когда эта хрень начнёт потихоньку гадить. одна надежда, что не сможет
(Reply) (Thread)
[User Picture]From: scif_yar
2015-07-01 04:30 pm (UTC)
>>надо непроебать увеличение объёма бэкапа резкое
-
окей. Прошел суточный бекап, размер резко вырос.
проебаны ли документы ко времени начала бекапа ?
(Reply) (Parent) (Thread) (Expand)
From: instantmanager
2015-07-02 06:38 am (UTC)
А вот например мы бэкапим каждый день, файло поехало шифроваться. Юзер тупой как пень обнаруживает это через неделю, но уходит в отпуск еще на две. По возвращению даже самый старый бэкап - трэш.

Тоже самое с редкоменяющимися и малопопулярными файлами на серверах.

Выходит что кроме собственно бэкапа нужна еще и сигнализация. А это и будет то самое antimalware которой вы проклинаете.
(Reply) (Thread)
[User Picture]From: cdplayer
2015-07-02 08:35 am (UTC)
Интересно, кстати, а Bromium не поможет?
(Reply) (Thread)
[User Picture]From: arkanoid
2015-07-02 09:35 am (UTC)
Поможет, но, эээ, это, разумеется, тоже обойдется в бОльшие деньги, чем изнчитожить root cause.
(Reply) (Parent) (Thread) (Expand)
[User Picture]From: goodspider
2015-07-19 07:26 pm (UTC)
Сейчас я радуюсь тому, что не знаю кто такие криптолокеры и в чем беда)
(Reply) (Thread)