138 ответов в теме

[Atiptaxx]

Еее, поддержка дрвеба помогла, прислали дешифратор, хотя вирус 2 ноября массово пошёл вроде как, оперативно

[Raptor]

Прислать-то прислали, теперь главное, чтобы расшифровал

[pol1234]

Я уже писал в предыдущей теме про шифровальщиков - Бэкап на хардлинках поможет.

 

А можно подробнее? Той темы не нашел. 

[olegus]

А можно подробнее?

файловая цепочка остается живой, пока есть хотя бы один хардлинк.

[pol1234]

Что такое бекап на хардлинках я прочитал. Я не понял, как это поможет? Вирус зашифрует файл, скрипт бекапа увидит, что файл изменился и похоронит его старую версию, а отпишет новую, шифрованную. Или в бэкапах предполагается держать все изменения за месяц или более? Типа как github ?

[olegus]

Что такое бекап на хардлинках я прочитал. Я не понял, как это поможет?

шифрователь делает новый файл, а старый удаляет. соответственно в данном случае он удалит только один линк, второй живой.

[pol1234]

Новый с тем же именем? Или с другим?

[olegus]

Новый с тем же именем? Или с другим?

мда.
https://ru.wikipedia.../Жёсткая_ссылка

абсолютно без разницы. нас не интересует новый файл. тут возникнет одна проблема: офисы точно так же сохраняют через новый файл

те придется дергать инкрон каждый раз при создании файла в целевом каталоге. в итоге мы наделаем линков и на шифры но, задействовав тот же magic можно определить только целевые типы.

Изменено: olegus, 12.11.2015 - 11:00

[pol1234]

Давай на примере, а то не понятно вообще.

Вот есть рабочий файл c:\document.doc

В архив он отписался как d:\document.doc.zip

Есть на него хардлинк  c:\hard_document.doc

Пришел вирус и удалил c:\document.doc а вместо него создал свой c:\document.doc, зашифрованный.

Куда теперь указывает c:\hard_document.doc ? 

Что отпишет при очередном бекапе скрипт в d:\document.doc.zip ?

Что помешает вирусу также похоронить c:\hard_document.doc ? 

[olegus]

Давай на примере, а то не понятно вообще.
Вот есть рабочий файл c:\document.doc
В архив он отписался как d:\document.doc.zip
Есть на него хардлинк  c:\hard_document.doc
Пришел вирус и удалил c:\document.doc а вместо него создал свой c:\document.doc, зашифрованный.
Куда теперь указывает c:\hard_document.doc ? 
Что отпишет при очередном бекапе скрипт в d:\document.doc.zip ?
Что помешает вирусу также похоронить c:\hard_document.doc ?

еще раз: речь не о бекапах.
туда же куда и указывал. на старые данные этого документа.
далее речь о правах, но как это в винде сделать непонятно. хотя меня винда слабо интересует

Изменено: olegus, 12.11.2015 - 11:13

[pol1234]

Все началось с идеи, что бекап на хардлинках спасает от шифровальщиков. 

В смысле данные на одном разделе, а линки к ним на другом, который не подмонтирован?

 

Мне все-таки кажется, что основная проблема с шифровальщиками, что их деятельность по порче файла невозможно отличить от обычного редактирования файла. Поэтому возникает проблема "проникновения" порченного файла в бэкапы. И решится она может только с помощью хранения кучи версий файла. Как минимум их надо хранить две. И никакие хардлинки тут не помогут.

[olegus]

В смысле данные на одном разделе, а линки к ним на другом, который не подмонтирован?

так не выйдет.
 

Мне все-таки кажется, что основная проблема с шифровальщиками, что их деятельность по порче файла невозможно
отличить от обычного редактирования файла.
Поэтому возникает проблема "проникновения" порченного файла в бэкапы.
И решится она может только с помощью хранения кучи версий файла. Как минимум их надо хранить две.
И никакие хардлинки тут не помогут.

на основе статистики - можно алярмировать, а затем разбираться.
по версиям как раз хардлинки и помогут. копировать терабайт долго. линк времени не занимает. каждый линк будет указывать на версию.
только как их в винде изолировать?

Изменено: olegus, 12.11.2015 - 11:26

[Atiptaxx]

Прислать-то прислали, теперь главное, чтобы расшифровал

расшифровал

[SGray]

красавчик, повезло.

[SooL]

расшифровал

Успешно? Форматирование внутри файлов доковских не пострадало?

[vlad-ghost]

расшифровал

а вот вопрос а что доктор вэб не определил вирусняк?

повезло... а то бы все свалили бы на вас ...  

[CyClone]

Давай на примере, а то не понятно вообще.

Вот есть рабочий файл c:\document.doc

В архив он отписался как d:\document.doc.zip

Есть на него хардлинк  c:\hard_document.doc

Пришел вирус и удалил c:\document.doc а вместо него создал свой c:\document.doc, зашифрованный.

Куда теперь указывает c:\hard_document.doc ? 

Что отпишет при очередном бекапе скрипт в d:\document.doc.zip ?

Что помешает вирусу также похоронить c:\hard_document.doc ? 

Так работать не будет. Хардлинки и сами файлы должны быть на одном логическом диске

 

Алгоритм примерно такой

1. создаём на диске защищённую директорию, в который никакая вирусня не залезет. Запрещаем в ней любое изменение файлов, разрешаем только одному пользователю только чтение и добавление новых.

2. делаем в эту директорию полный бэкап всех файлов.

3. создаём вторую директорию, где будем хранить наши рабочие файлы.

4. делаем в рабочей директории хардлинки на файлы, хранящиеся в защищенной директории.

5. Ежедневно создаём в защищенной директории новую папку, копируем в неё только новые и изменённые файлы, и делаем на них хардлинки.

 

Когда вирусня работает, она сначала шифрует файл, и потом удаляет оригинал... но  в нашем случае удалять она будет не файлы, а хардлинки ))) А все наши файлы останутся целёхонькими в защищённом разделе...

Даже если в бэкап попадёт зашифрованый файл, там всегда можно будет найти его предыдущую незашифрованую версию.

 

Для 100% надёжности защищённый раздел можно бэкапить на внешний ХДД...

[pol1234]

Ну т.е. мы полюбасу приходим к идее хранения всех версий одного файла. А делаем мы это через хардлинки или тупо с использованием github-подобного софта не суть важно. 

[Atiptaxx]

Успешно? Форматирование внутри файлов доковских не пострадало?

Успешно, по крайней мере те что я видел, он ещё не закончил

а вот вопрос а что доктор вэб не определил вирусняк?
повезло... а то бы все свалили бы на вас ...

Сертифицированная 6я версия не видит, ловит 9 и выше

[CyClone]

Ну т.е. мы полюбасу приходим к идее хранения всех версий одного файла. А делаем мы это через хардлинки или тупо с использованием github-подобного софта не суть важно. 

Только есть одно существенное отличие. Обычный бэкап одного файла занимает на диске столько же места, сколько и сам файл. Хардлинк не занимает почти ничего.

Бэап на хардлинках идеален для файлов, которые никогда не изменяются - фотки, pdf-ки, видео, программы, т.е всё что вы скачали из интернета, то что занимает 90% в любой файлопомоке любой организации )))

[olegus]

Алгоритм примерно такой
1. создаём на диске защищённую директорию, в который никакая вирусня не залезет. Запрещаем в ней любое изменение файлов, разрешаем только одному пользователю только чтение и добавление новых.
2. делаем в эту директорию полный бэкап всех файлов.
3. создаём вторую директорию, где будем хранить наши рабочие файлы.
4. делаем в рабочей директории хардлинки на файлы, хранящиеся в защищенной директории.
5. Ежедневно создаём в защищенной директории новую папку, копируем в неё только новые и изменённые файлы, и делаем на них хардлинки.

оу я через задницу придумал у тебя лучше построение. и работать будет и на симлинках тоже.

Ну т.е. мы полюбасу приходим к идее хранения всех версий одного файла.

нет! хардлинк это не копия. это тот же файл!

Изменено: olegus, 12.11.2015 - 14:07

[Sciner]

расшифровал

так выкладывай

[pol1234]

Только есть одно существенное отличие. Обычный бэкап одного файла занимает на диске столько же места, сколько и сам файл. Хардлинк не занимает почти ничего.

Бэап на хардлинках идеален для файлов, которые никогда не изменяются - фотки, pdf-ки, видео, программы, т.е всё что вы скачали из интернета, то что занимает 90% в любой файлопомоке любой организации )))

 

Хардлинк сам по себе не может считаться бэкапом, так как физически живет тут же. Любой бекап подразумевает минимум одну физическую копию на как минимум другой физический носитель. Хардлинки позволяют упростить ведение версионности, когда у вас каждый день новый каталог с архивом, но новые в нем только изменившиеся файлы, а старые это просто хардлинки. 

оу я через задницу придумал у тебя лучше построение. и работать будет и на симлинках тоже.
нет! хардлинк это не копия. это тот же файл!

 

Да понятно, что тот же. Но если файл изменился, то нужно две версии хранить. Если будешь хранить только последнюю, то она будет зашифрованной вирусом. И не важно как там у тебя с хардлинками. Либо на каждый файл минимум в два раза больше места в архиве на актуальную версию и на предшествующую версию либо риск jngbcfnm в архив зашифрованный файл. И не важно как у тебя архив сделан хоть на хардлинках, хоть на чем.

[olegus]

Да понятно, что тот же. Но если файл изменился, то нужно две версии хранить. Если будешь хранить только последнюю, то она будет зашифрованной вирусом. И не важно как там у тебя с хардлинками. Либо на каждый файл минимум в два раза больше места в архиве на актуальную версию и на предшествующую версию либо риск jngbcfnm в архив зашифрованный файл. И не важно как у тебя архив сделан хоть на хардлинках, хоть на чем.

в случае изменения чаще всего создается новый файл. хардлинк автоматом указывает на старый. печаль наступит, если зло будет транкейтить, а уж потом удалять

Изменено: olegus, 12.11.2015 - 16:07

[Atiptaxx]

так выкладывай

Кого? Дешифровщик? Он индивидуальный, на каждый комп что надо лечить нужен свой конфиг даже если шифровщик один, а чтобы конфиг получить нужно создать присланной прогой отчет и отправить, и так пару раз