SIECIOWY SYSTEM ARCHIWIZACJI I BACKUPU DANYCH
Program do backupu - Ferro Backup System
       
Identyfikator artykułu: FS-FBS-20170715-I01
Ostatnia weryfikacja: 15 luty 2021
Wersja: 1.1

Jak zabezpieczyć komputer przed programami ransomware szyfrującymi pliki

Niniejszy artykuł opisuje sposób ochrony przed złośliwymi programami szyfrującymi pliki dla okupu (z ang. ransomware). Omawia sposób zabezpieczenia plików (dokumentów) przechowywanych na stacjach roboczych i serwerach NAS. Opisuje też jak zabezpieczyć kopie zapasowe przed zaszyfrowaniem oraz co zrobić po wykryciu zagrożenia.



Wstęp

Najpewniejszym zabezpieczeniem przed zaszyfrowaniem lub usunięciem plików jest regularne i automatyczne wykonywanie kopii zapasowych. Kopie zapasowe pozwolą na odtworzenie plików, nawet wtedy, jeśli inne zabezpieczenia - np. program antywirusowy - zawiodły. Oprócz zabezpieczenia samych plików (dokumentów), należy też pamiętać o odpowiedniej ochronie plików kopii zapasowych (archiwów), które również mogą zostać zaszyfrowane lub usunięte przez złośliwe programy typu ransomware.


Ochrona plików (dokumentów) ze stacji roboczych i serwerów NAS

Najbardziej niezawodną ochronę przed skasowaniem lub zaszyfrowaniem plików stanowi regularne i zautomatyzowane wykonywanie kopii zapasowych. Kopie zapasowe ważnych dokumentów powinny być wykonywane przynajmniej raz dziennie, najlepiej zaraz przed wyłączeniem komputera. Ponieważ o skasowaniu lub zaszyfrowaniu pliku możemy się dowiedzieć z pewnym opóźnieniem, należy pamiętać o włączeniu Kopii rotacyjnych (retencji). Opcja ta pozwala określić jak długo kopie zapasowe mają być przechowywane, co da możliwość "cofnięcia się w czasie" i odtworzenia stanu dysku na jakiś konkretny dzień. Jeżeli przykładowo przy kopii wykonywanej codziennie, Kopie rotacyjne ustawimy na 30, to zawsze będzie można "cofnąć się" o maksymalnie 30 dni wstecz.




Zabezpieczenie plików kopii zapasowych (archiwów)

W przypadku przedostania się złośliwego oprogramowania do sieci wewnętrznej, zaszyfrowane mogą zastać nie tylko dokumenty, ale również archiwa zawierające ich kopie. Dlatego bardzo ważne jest zabezpieczenie samego serwera backupu i katalogów, w których są przechowywane kopie zapasowe.

Komputery z systemem Windows są najpopularniejsze, dlatego najczęściej są atakowane przez złośliwe oprogramowanie. Jeżeli serwer backupu jest uruchomiony na komputerze z Windows, to należy koniecznie go zabezpieczyć poprzez wyłączenie udostępniania plików oraz zablokowanie dla połączeń przychodzących wszystkich portów sieciowych oprócz portów TCP 4530 (konsola sterowania) i TCP 4531 (backup/odzyskiwanie) używanych przez Ferro Backup System. Więcej nt. zabezpieczeń serwera backupu można przeczytać w artykule Zabezpieczanie połączeń sieciowych - Implementacja zabezpieczeń na serwerze backupu.

Dobrym rozwiązaniem może być też instalacja serwera backupu w systemie Linux (np. bezpośrednio na serwerze NAS QNAP lub NAS Synology) oraz wyłączenie usług udostępniania plików (SMB, AFP, NFS, FTP, TFTP, rsync) i usług zdalnego dostępu (Telnet, SSH, RDP).

Kolejnym krokiem przy ochronie archiwów - niezależnie od systemu operacyjnego, na którym działa serwer backupu - jest uaktywnienie zabezpieczenia przed modyfikacją lub usunięciem plików. Opcja ta jest opisana w instrukcji obsługi: Chroń dostęp do katalogów docelowych.

Skuteczną ochroną przed złośliwym oprogramowaniem stanowi też replikacja archiwów. Replikacja polega na automatycznym powielaniu archiwów w inne miejsce. Najskuteczniejszym zabezpieczeniem będzie w tym przypadku replikacja archiwów na nośnikach, do których ransomware nie ma dostępu, takich jak: taśmy LTO, płyty DVD lub Blu-ray, dyski w chmurze, wymienne dyski USB, kasety RDX, etc.




Bezpieczeństwo zasobów sieciowych

W przypadku zapisu archiwów (lub replik) na udostępnionym udziale sieciowym trzeba pamiętać o kilku ważnych zasadach, dzięki którym ograniczymy ryzyko zaszyfrowania lub skasowania plików.

Pełny dostęp (odczyt i zapis) do udostępnionego folderu powinien mieć tylko jeden użytkownik. W tym celu najlepiej utworzyć na serwerze NAS specjalne konto użytkownika, np. FerroBackup. Dane logowania do tego zasobu sieciowego (nazwę użytkownika i hasło) należy podać wyłącznie w konsoli programu w zakładce Ustawienia -> Zasoby sieciowe. W ten sposób tylko serwer backupu będzie miał dostęp do archiwów. Utworzone hasło musi być silne!

Przy okazji należy pamiętać, aby przy podłączaniu udziału sieciowego nie podawać żadnej lokalnej litery dysku, ponieważ takie mapowanie może być widoczne dla innych użytkowników komputera, w tym dla programów szyfrujących. Przy tak skonfigurowanym połączeniu z zasobem sieciowym ścieżkę docelową do zapisu lub replikacji archiwów wpisujemy w formie UNC (\\serwer\udział\[katalog]).

  • Utwórz specjalne konto na potrzeby serwera backupu
  • Używaj ścieżek UNC zamiast mapowania zasobu sieciowego pod lokalną literę dysku



Co zrobić w przypadku wykrycia zagrożenia

Po wykryciu i wyeliminowaniu zagrożenia możemy odzyskać pliki (lub cały system) z kopii zapasowej. W tym celu należ przejść do zakładki Odzyskiwanie, wybrać komputer, na którym pliki zostały zaszyfrowane, a następnie wskazać archiwum z dnia poprzedzającego atak. Po wybraniu katalogu z dokumentami lub całego dysku należy kliknąć Przywróć lub wypakuj, zaznaczyć opcję Zastąp istniejące pliki i kliknąć OK. Jeżeli odtwarzamy dokumenty pochodzące z serwera plików, to należy dodatkowo wybrać opcję Przywróć zapisane deskryptory zabezpieczeń, aby odtworzyć uprawnienia DACL do plików i katalogów.


Zobacz też



Jak zabezpieczyć się przed programami ransomware szyfrującymi pliki
Wszelkie prawa zastrzeżone. © 2000-2022 FERRO Software