On 11/17/2014 02:05 PM, Paolo Pedaletti wrote: > cosi' pero' non si evita la sostituzione dei file corrotti nel backup > (ok, e' un backup, non una copia sincronizzata, quindi c'e' una certa > "data retention" di qualche giorno...)
A questo in generale non c'è un "rimedio", credo. Se i dati vengono modificati nel tempo, pian piano le modifiche entrano nei backup, in fondo è la natura dei backup. Quello che servirebbe appunto, in funzione di quanto velocemente lavora Cryptolocker, è verificare dei file "a campione" per vedere se vengono rilevate modifiche indebite. Come suggeriva qualcuno, verificare l'header/inizio dei file per vedere se corrisponde al tipo di file, o verificare se vengono modificati molti file che non vengono cambiati da molto, ecc. La complessità sta nell'integrare queste verifiche negli strumenti di backup. Oppure si può prevedere uno script sulla PdL che queste verifiche le fa localmente, anche prima dei backup, e in caso di anomalia segnala. Potrebbe anche prevedere dei file "canarino" dai contenuti noti e che l'utente non ha motivo di modificare. Se cambiano, lo script segnala. Ma tutto dipende dall'ambiente e da come lavora Cryptolocker, cosa che non ho approfondito. ________________________________________________________ http://www.sikurezza.org - Italian Security Mailing List
