Ransomaware a serwer NAS

Mam takie pytanko bo wirusy ransomaware atakujace komputery szukają dysków nawet tych podmontowanych i wbijają się tam żeby zaszyfrować pliki.

I teraz tak mam na NAS folder dane1 i on jest podmontowany do komputera jako dysk sieciowy
mam też na NAS folder dane2 , dane3 , i tam dane się kopiują przez FTP’ka czy jeśli wirus zaatakowałby ten folder podmontowany dane1 to on się przedostanie do NAS i folderów dane2 i dane3 które na nim są i również i może je zarazić ?

“Zarazić” może wirus. Ransomware nie jest samodzielnym bytem, że np. jeden z folderów jest “zarażony” to infekcja idzie dalej z niego… Źródłem jest miejsce, gdzie jest uruchomiony program do szyfrowania - czyli jak dany komputer (stacja robocza, serwer) ma dostęp do zapisu dla tego folderu w danej chwili (\NAS\dane2), to dane zostaną zaszyfrowane.

Dzięki za odpowiedz, może bardziej sprecyzuje czyli tak mam Synology na którym mam folder
DANE 1 - on jest pod montowany jako dysk sieciowy do PC1 - użytkownik admin(główny) i admin1 ma do niego uprawnienia

i potem mam dwa kolejne foldery na Synology :
DANE 2 - na niego przesyłane są backupy za pomocą FTP - użytwkonik admin(główny) i admin_ftp ma do niego uprawnienia

czy jeśli wirus rozprzestrzeni się i zarazi folder “DANE 1” który jest podmontowany do PC to ma możliwość zarażenia innych folderów na serwerze Synology mimo że one nie są podmontowane ?

i jeszcze jedno pytanko jak codziennie robie sobie całościowy backup danych na PC archiwizuje je do rar i po FTP przesyłam do folderu DANE2 i tak mam cały miesiąc w folderze
Dane 01.01.2019.rar
Dane 02.01.2019.rar
Dane 03.01.2019.rar
Dane 04.01.2019.rar

i powiedzmy że 05.01 na komputerze zaszyfruje mi dane i folder na ftp i wieczorem
Dane 05.01.2019.rar wyślę się zarażony już wirusem to czy ten wirus będzie w stanie
zarazić pozostałe zdrowe backupy w tym folderze? czy te z poprzednich dni zdezarchiwuzje i odzyskam ?

Większość ransomware szyfruje dane udostepnione przez SMB. Ostatnio pojawiły się odmiany szukające luk w protokole SMB.

Jeśli nie masz jakichś starych urządzeń wielofunkcyjnych parcujacych jedynie z protokołem SMBv1, ustaw na Synku wymuszenie SMBv3.

Nawet jeśli masz zasób na użytkownika i hasło, to zalogowany użytkownik ma prawo do zapisu, więc zaszyfruje dane. Jeśli możesz, ogranicz maksymalnie dostepy do folderów tylko do tych, które użytkownik potrzebuje.

FTP masz na użytkownika i hasło, więc jest mniejsze ryzyko zaszyfrowania przez FTP.

Tak, zaszyfrowane pliki wyślą się na FTP. Przywracasz dane z backupu przed zaszyfrowaniem, np. z poprzedniego dnia.

Czyli jak mam FTP to jest w miare bezpiecznie w porownaniu do SMB ?

jeszcze jeśli chodzi o to wysyłanie zaszyforwanych plików załóżmy jeszcze raz że leci caly miesiąc
Dane 01.01.2019.rar
Dane 02.01.2019.rar
Dane 03.01.2019.rar
Dane 04.01.2019.rar

i 05.01 na komputerze wirus zaszyfruje dane to oczwyiste i wyślę kopie z zaszyfrowanymi danymi na FTP
tylko czy ta kopia oprócz tego że sama jest zaszyfrowana będzie w stanie zarazić ? te “zdrowe” backupy z poprzednich dni ?

Nie powinna. Pierwsze jeśli serwer FTP uruchomiony jest na systemi Linux, nie powinno Ci nic grozić; 2. Dopóki nikt nie uruchomi programu/skryptu, który mógł się wysłać z kopią zapasową, nie powinno Ci nic grozić.

Nie zawsze jest to możliwe, ale dobrą praktyką jest backup 3-2-1, czyli 3 kopie w niezależnych od siebie miejscach, np. 1. Kopia na NASie w innej lokalizacji firmy; 2. Kopia poza firmą, np. serwer FTP albo inny NAS; 3. Kopia w innej lokalizacji poza firmą lub na innym nośniku, np. dysk zewnętrzny; CD/DVD/BL, kopia na taśmach.

Warto też weryfikować backup. Jeśli są to spakowane pliki, to zajrzyj do archiwum czy pliki nie są uszkodzone. Jeśli to bazy danych, odtwórz je w środowisku nieprodukcyjnym. Niedziałający backup jest gorszy, niż jego brak.

@roobal tym bardziej chyba jest bezpiecznie że pakuje to do .rar czyli nawet jeśli w tej kopi 05.01 byłby program/wirus to dopiero po rozpakowaniu tego .rar zacząłby działać :slight_smile: jeśli dobrze to interpretuje , powiedz jeszcze czy na hostingu na którym trzymam te kopie mam folder /public_html i w nim folder backup_dane ale w tym samym folderze /public_html mam też folder osoby ze swoją stroną www czyli mojastrona_www
czy dane w folderze /public_html /backup_dane będą bezpieczne? czy mogę je przechowywać na hostingu w innym ? lepszy miejscu

Nadal nie rozumiesz. To jest jest samodzielny byt - źródłem szyfrowania jest jeden z zainfekowanych komputerów (lub serwerów). To nie jest tak, że rozpakujesz archiwum i to jak puszka pandory - wyskoczy z niego groźny ransomware i zaszyfruje dane.
Pamiętaj też, że archiwa (backup) też może zostać zaszyfrowany - nic nie stoi na przeszkodzie, aby zainfekowany komputer mający dostęp do do Dane 01.01.2019.rar, Dane 02.01.2019.rar zaszyfrował też archiwa.
Przechowuj całkowicie odseparowane, zrób sobie co pewien czas kopię dodatkową.

Zależy co trafi. Istnieje odmina co podmienia pliki na skrypty js - doc. Nieswiadoma ofiara myśli, że otwier plik worda i zonk :slight_smile:

Nie trzymalbym kopii razem z plikami strony, mogą wypłynąć, wystatczy chwila nieuwagi i pliki będziesz miał serwowane po http.

Jeśli masz taką możliwość, załóż nowego użytkownika ftp z katalogiem domowym innym, niż public_html bez dostępu przez http, a najlepiej wyłącz w ustawieniach webserwera indeksowanie.

Właśnie nie mam takiej możliwości :frowning: folder w którym moge umieszczac swoje pliki to public_html , jedyne co mogę zrobić to danemu użytkownikowi ftp dać dostęp tylko do wybranego folderu strukture mam mniej więcej taką :

public_html / strony_www i tu foldery ze stronami (strona1), (strona2)
i public_html / dane_prywatne i tutaj wypakowane archiwa

czy to jest podatne na atak? i ktoś może od tak sobie wejść na do tych folderów??
jedyne co udało mi się zablokować w ustawieniach to
blokada " dostęp do serwera FTP dla anonimowego użytkownika (dotyczy katalogu /pubic_html)"

Jeśli masz to w osobnym folderze, niż serwowane są strony, to okej.

Ja np w qnap mam włączone migawki, w takiej sytuacj nawet jeśli ransomware jakimś cudem uzyska dostęp do kopii i będzie próbował ja zaszyfrować to wcześniej utworzy się „kopia” niezaszyfrowanych danych.