2014-11-17 14:05 GMT+01:00 Paolo Pedaletti:
> ciao Marco,
>
> > 1) In particolare per Cryptolocker, non offrire il backup tramite
> > condivisioni SMB/mappatura di drive. Cryptolocker cercherà di
> > infettare e bloccare condivisioni e drive mappati se ne trova, quindi
> > suggerirei di valutare soluzioni alternative.
>
> "soluzioni alternative" mi ha fatto accendere una lucina :-)
> (limitatamente al contenimento dell'infezione sulle share condivise)
>
> 1) dal server importare la directory del client che contiene i dati, e
> fare un backp "in locale" sul server
>
> 2) usare script rsync
>
Cryptolocker si propaga soltanto su drive mappati con lettere, non tramite
mappature UNC (\\disco\directory). L'importante è che l'utente non mappi il
drive.
Ovviamente anche soluzioni tipo snapshot dei drive, o semplicemente usare
il Windows Shadow Volume, se presenti e possibili, possono essere utili.
> cosi' pero' non si evita la sostituzione dei file corrotti nel backup
> (ok, e' un backup, non una copia sincronizzata, quindi c'e' una certa
> "data retention" di qualche giorno...)
>
[..]
> Ma:
> file file_infetto_da_cryptolocker.doc
> che cosa restituisce?
> "data"
> "Creating Application: Microsoft Office Word"
> altro...
>
Cryptolocker cambia il nome dei file, per cui quello vecchio "scompare" e
riappare come %AppData%\<random.exe> and %AppData%\{<8 chars>-<4 chars>-<4
chars>-<4 chars>-<12 chars>}.exe
(si veda qua:
http://www.bleepingcomputer.com/virus-removal/cryptolocker-ransomware-information#files
)
Nello stesso sito c'è uno script PowerShell (facilmente portabile credo)
utile per trovare file infetti.
Cordiali saluti
--
Marco Ermini
CISSP, CISA, CEH, ITIL, PhD
http://www.linkedin.com/in/marcoermini
