gaaragr

γενικά καποια rule σε πολυ μικρά αρχεία βοηθάνε. Το double -extension rule δεν παίζει πάντα.

Στις εταιρίες γενικά παίζει το κόστος οχι τόσο η υλοποίηση. 

Υπάρχουν και extension που μπαίνουν στο antivirus για να ελέγχει τα αρχεία πριν αυτα φύγουν απο το transport hub του exchange πχ.

On 3/16/2016 at 4:23 PM, DJD said:

Μιας κι είπε ο φίλος παραπάνω για file servers, αν βρίσκεστε σε Windows File Servers, μπορείτε χρησιμοποιώντας το File Server Resource Manager (FSRM) να δημιουργήσετε alerts ή ακόμα και να κόψετε κατευθείαν την δημιουργία των αρχείων. Εν συντομία, πρέπει να φτιαχτεί ένα file group με file patterns το οποίο θα περιέχει τα trace files που έχουν τα ransonmware. Προσθέτει μια μικρή επιβάρυνση στον server αλλά εκτός αν το λειτουργικό είναι μόνιμα στο 100% δε θα υπάρχει θέμα.

δεν το ήξερα, θα του ρίξω μια ματιά. Απο οτι βλέπω υπάρχει στα windows 2008 οπότε θα μπεί λογικά.

Η επιβάρυνση είναι σε τι επιπεδο ειναι? RAM ?CPU? HDD?

Mου έχει τύχει πολλές φορές στην εταιρία το Cryptolocker ή κάποιο παραμφερές με  RSA-2048 . Δεν υπάρχει κάτι που μπορείς να κάνεις πέραν του να ρίξεις backup

και να αρχίσεις να σβήνεις μετά τα αρχεία.

Ιδανική λύση θα ήτανε να είναι virtual παρά φυσικό o File Server .

Μου έχει τύχει τόσες φορές που πλέον το έχω συνηθήσει. Έχω Vmware ESXI με daιly backup , κάνω autoextend δίσκο και ρίχνω backup.

Έχω φτιάξει κ ένα batch προγραμματάκι και διαγράφω τα χαλασμένα αρχεία(η κατάληξη είναι ψιλοστάνταρ ανάλογα το ransomware) και σε 3 ωρες max ανάλογα σε τι βαθμό

έχει φτάσει έχω ξεμπερδέψει. Σε database δεν έχω δει κάτι.

Για το PC αφου είναι εκτός δικτύου τρέχω το ESET Rogue Applications Remover  ( http://support.eset.com/kb2372/?&page=content&id=SOLN2372 ) που αφερεί τα περισότερα ransomware

και ρίχω και ένα scan με malwarebytes. 

ΥΓ:Η κρυπτογράφηση που κάνει φαίνεται να τρέχει και στα proccess σαν .exe αλλά δεν έχει στανταρ όνομα και ούτε πιάνει πολύ RAM. (2-5mb)