Il 11/11/2014 17:43, Paolo Pedaletti ha scritto:
E' successo che un proprietario di un pc infetto da un crypro-virus si sia accorto dell'infezione diverse settimane dopo... il che rende il versioning quotidiano molto impegnativo (dal punto di vista dello spazio occupato per tutto il servizio) Idee? Soluzioni? grazie.
Il problema è serio per i motivi che hai detto, agisce lentamente ed è proprio la lentezza che ne determina il "successo": nel tempo compromette diversi backup (quindi servono backup offline e con rotazione lunga) e il ripristino ottimale sia venga da versioning che da backup diventa oneroso perchè ti costringerebbe a recuperare da ogni set la parte "sana", ma quando si parla di migliaia di file è un lavoro inumano e facilmente impreciso senza strumenti automatici (però non è mica facile avere un tool che determini se un file è criptato con quel sistema oppure no).
Non è per niente facile neanche capire quando ha iniziato ad agire. E' pensato maledettamente bene, perchè 500 euro a fronte del disagio non è una cifra esagerata e quindi l'unica vera cura finisce per essere il pagamento. Diversamente c'è solo la prevenzione, che però dovrebbe lavorare più sulle abitudini e formazione delle persone che sull'erigere muri, ma in ogni caso il rischio c'è sempre - a meno del solito tenuto pc spento nel bunker ;-)
Ci vorrebbe un backup o monitoring evoluto che in qualche modo possa testare i formati dei file più diffusi nel loro contenuto, prima di archiviarli, o che in qualche modo faccia una specie di hashing dei file che possa dire se lo stesso file dal backup precedente sia stato completamente cambiato o solo in parte...
________________________________________________________ http://www.sikurezza.org - Italian Security Mailing List
