Zadzwoń: 33 81 71 960 lub 506 337 172    
Logo programu Ferro Backup System
Program do backupu - Ferro Backup System
EN English version   PL Polska wersja
Identyfikator artykułu: FS-FBS-20170715-I01
Ostatnia weryfikacja: 15 lipiec 2017
Wersja: 1.0

Jak zabezpieczyć komputer przed programami ransomware szyfrującymi pliki

Niniejszy artykuł opisuje sposób ochrony przed złośliwymi programami szyfrującymi pliki dla okupu (z ang. ransomware). Omawia sposób zabezpieczenia plików (dokumentów) przechowywanych na stacjach roboczych i serwerach NAS. Opisuje też jak zabezpieczyć kopie zapasowe przed zaszyfrowaniem oraz co zrobić po wykryciu zagrożenia.



Wstęp

Najpewniejszym zabezpieczeniem przed zaszyfrowaniem lub usunięciem plików jest regularne i automatyczne wykonywanie kopii zapasowych. Kopie zapasowe pozwolą na odtworzenie plików, nawet wtedy, jeśli inne zabezpieczenia - np. program antywirusowy - zawiodły. Oprócz zabezpieczenia samych plików (dokumentów), należy też pamiętać o odpowiedniej ochronie plików kopii zapasowych (archiwów), które również mogą zostać zaszyfrowane lub usunięte przez złośliwe programy typu ransomware.


Ochrona plików (dokumentów) ze stacji roboczych i serwerów NAS

Najbardziej niezawodną ochronę przed skasowaniem lub zaszyfrowaniem plików stanowi regularne i zautomatyzowane wykonywanie kopii zapasowych. Kopie zapasowe ważnych dokumentów powinny być wykonywane przynajmniej raz dziennie, najlepiej zaraz przed wyłączeniem komputera. Ponieważ o skasowaniu lub zaszyfrowaniu pliku możemy się dowiedzieć z pewnym opóźnieniem, należy pamiętać o włączeniu Kopii rotacyjnych (retencji). Opcja ta pozwala określić jak długo kopie zapasowe mają być przechowywane, co da możliwość "cofnięcia się w czasie" i odtworzenia stanu dysku na jakiś konkretny dzień. Jeżeli przykładowo przy kopii wykonywanej codziennie, Kopie rotacyjne ustawimy na 30, to zawsze będzie można "cofnąć się" o maksymalnie 30 dni wstecz.




Zabezpieczenie plików kopii zapasowych (archiwów)

W przypadku przedostania się złośliwego oprogramowania do sieci wewnętrznej, zaszyfrowane mogą zastać nie tylko dokumenty, ale również archiwa zawierające ich kopie. Dlatego bardzo ważne jest zabezpieczenie samego serwera backupu i katalogów, w których są przechowywane kopie zapasowe.

Komputery z systemem Windows są najpopularniejsze, dlatego najczęściej są atakowane przez złośliwe oprogramowanie. Jeżeli serwer backupu jest uruchomiony na komputerze z Windows, to należy koniecznie go zabezpieczyć poprzez wyłączenie udostępniania plików oraz zablokowanie dla połączeń przychodzących wszystkich portów sieciowych oprócz portów TCP 4530 (konsola sterowania) i TCP 4531 (backup/odzyskiwanie) używanych przez Ferro Backup System. Więcej nt. zabezpieczeń serwera backupu można przeczytać w artykule Zabezpieczanie połączeń sieciowych - Implementacja zabezpieczeń na serwerze backupu.

Dobrym rozwiązaniem może być też instalacja serwera backupu w systemie Linux (np. bezpośrednio na serwerze NAS QNAP lub NAS Synology), który nie jest popularnym celem ataków ransomware.

Kolejnym krokiem przy ochronie archiwów - niezależnie od systemu operacyjnego, na którym działa serwer backupu - jest uaktywnienie zabezpieczenia przed modyfikacją lub usunięciem plików. Opcja ta jest opisana w instrukcji obsługi: Chroń dostęp do katalogów docelowych.

Skuteczną ochroną przed złośliwym oprogramowaniem stanowi też replikacja archiwów. Replikacja polega na automatycznym powielaniu archiwów w inne miejsce. Najskuteczniejszym zabezpieczeniem będzie w tym przypadku zapis archiwów na nośnikach, do których ransomware nie ma dostępu, takich jak: taśmy LTO, płyty DVD lub Blu-ray, dyski w chmurze, etc.




Bezpieczeństwo zasobów sieciowych

W przypadku zapisu archiwów (lub replik) na udostępnionym udziale sieciowym trzeba pamiętać o kilku ważnych zasadach, dzięki którym ograniczymy ryzyko zaszyfrowania lub skasowania plików.

Pełny dostęp (odczyt i zapis) do udostępnionego folderu powinien mieć tylko jeden użytkownik. W tym celu najlepiej utworzyć na serwerze NAS specjalne konto użytkownika, np. FerroBackup. Dane logowania do tego zasobu sieciowego (nazwę użytkownika i hasło) należy podać wyłącznie w konsoli programu w zakładce Ustawienia -> Zasoby sieciowe. W ten sposób tylko serwer backupu będzie miał dostęp do archiwów.

Przy okazji należy pamiętać, aby przy podłączaniu udziału sieciowego nie podawać żadnej lokalnej litery dysku, ponieważ takie mapowanie może być widoczne dla innych użytkowników komputera, w tym dla programów szyfrujących. Przy tak skonfigurowanym połączeniu z zasobem sieciowym ścieżkę docelową do zapisu lub replikacji archiwów wpisujemy w formie UNC (\\serwer\udział\[katalog]).

  • Utwórz specjalne konto na potrzeby serwera backupu
  • Używaj ścieżek UNC zamiast mapowania zasobu sieciowego pod lokalną literę dysku



Co zrobić w przypadku wykrycia zagrożenia

Po wykryciu i wyeliminowaniu zagrożenia możemy odzyskać pliki (lub cały system) z kopii zapasowej. W tym celu należ przejść do zakładki Odzyskiwanie, wybrać komputer, na którym pliki zostały zaszyfrowane, a następnie wskazać archiwum z dnia poprzedzającego atak. Po wybraniu katalogu z dokumentami lub całego dysku należy kliknąć Przywróć lub wypakuj, zaznaczyć opcję Zastąp istniejące pliki i kliknąć OK. Jeżeli odtwarzamy dokumenty pochodzące z serwera plików, to należy dodatkowo wybrać opcję Przywróć zapisane deskryptory zabezpieczeń, aby odtworzyć uprawnienia DACL do plików i katalogów.


Zobacz też




Pobierz program Pobierz program   Zamów program Zamów teraz   Drukuj Drukuj stronę  

Copyright © 2000-2017 FERRO Software

Jak zabezpieczyć się przed programami ransomware szyfrującymi pliki
Wszelkie prawa zastrzeżone. Opracowanie FERRO Software