abclinuxu.cz AbcLinuxu.cz itbiz.cz ITBiz.cz HDmag.cz HDmag.cz abcprace.cz AbcPráce.cz
AbcLinuxu hledá autory!
Inzerujte na AbcPráce.cz od 950 Kč
Rozšířené hledání
×
včera 17:55 | Nová verze

Byl vydán LineageOS ve verzi 17.1. LineageOS (Wikipedie) je svobodný operační systém pro chytré telefony, tablety a set-top boxy založený na Androidu. Jedná se o nástupce CyanogenModu. LineageOS 17.1 je založený na Androidu 10.

Ladislav Hagara | Komentářů: 1
včera 17:22 | Zajímavý projekt

Lukasz Erecinski na blogu Pine64 oznámil možnost předobjednání telefonu PinePhone v edici UBports Community Edition. Telefon bude mít speciální kryt s logem a nápisem UBports Edition. Základní deska bude podle nového schématu (v1.2) vylepšená podle zpětné vazby od majitelů BraveHeart edice. Bude mít FCC i CE certifikace.

joejoe | Komentářů: 1
včera 15:33 | IT novinky

Společnost Cloudflare před dvěma lety spustila DNS resolver 1.1.1.1. Včera spustila 1.1.1.1 pro rodiny aneb nové resolvery 1.1.1.2 (2606:4700:4700::1112) a 1.1.1.3 (2606:4700:4700::1113) blokující stránky s malwarem a obsahem pro dospělé. Dnes se omluvila, že nechtěně blokovala také LGBTQIA+ stránky.

Ladislav Hagara | Komentářů: 26
včera 14:55 | Nová verze

Společnost Red Hat oznámila vydání Red Hat Enterprise Linuxu 7.8, který přináší vedle nových vlastností a oprav chyb také aktualizaci ovladačů a předběžné ukázky budoucích technologií. Podrobnosti v poznámkách k vydání.

Ladislav Hagara | Komentářů: 0
včera 14:33 | Nová verze

V pondělí vyšel Linux 5.6. Dnes vyšla jeho 2. opravná verze 5.6.2 (git). Opravena byla mimo jiné diskutovaná chyba v ovladači iwlwifi.

Ladislav Hagara | Komentářů: 0
1.4. 19:55 | Nová verze

Po dvou letech od vydání verze 3.0 byla vydána nová major verze 4.0 nástrojů LXC, LXD a LXCFS pro kontejnerovou virtualizaci LXC (LinuX Containers). Jedná se o verzi s dlouhodobou podporou (LTS). Ta končí v červnu 2025. Přehled novinek v jednotlivých oznámeních o vydání: LXC, LXD a LXCFS.

Ladislav Hagara | Komentářů: 3
1.4. 16:11 | Humor

Řada firem své letošní již připravené aprílové žertíky kvůli SARS-CoV-2 a COVID-19 nezveřejnila. Přehled zveřejněných například na April Fools' Day On The Web. Na CoinMarketCapu byla přidána nová kryptoměna: toaleťáky. Ve hře World of Tanks jsou vylepšené tanky, v PUBG nový herní mód Fantasy Battle Royale, …

Ladislav Hagara | Komentářů: 3
1.4. 15:22 | Humor

Komunity KDE a GNOME, které doposud vyvíjely příslušná desktopová prostředí, se rozhodly přestat tříštit síly a představují společný projekt KNOME, který nabídne konfigurovatelnost GNOME a jednoduchost KDE v jednom balíčku. Staví na technologiích QTK3 a Kutter.

Fluttershy, yay! | Komentářů: 26
1.4. 14:11 | Nová verze

Tradičně na apríla byla vydána nová stabilní verze OpenTTD (Wikipedie), tj. open source klonu hry Transport Tycoon Deluxe. Přehled novinek v nejnovější verzi 1.10.0 v seznamu změn. Starší verzi OpenTTD lze vyzkoušet také v prohlížeči.

Ladislav Hagara | Komentářů: 0
1.4. 06:00 | Nová verze

Po čtyřech a půl měsících vývoje od vydání verze 5.3 byla vydána nová verze 5.4 svobodného open source redakčního systému WordPress. Kódové označení Adderley bylo vybráno na počest amerického jazzového trumpetisty Nata Adderleyho.

Ladislav Hagara | Komentářů: 0
Chodíte do práce?
 (25%)
 (0%)
 (8%)
 (0%)
 (49%)
 (15%)
 (3%)
Celkem 61 hlasů
 Komentářů: 4, poslední včera 14:20
Rozcestník

www.AutoDoc.Cz

Dotaz: Souborové systémy a Ransomware

17.2. 22:34 Luboš
Souborové systémy a Ransomware
Přečteno: 991×

Zdravím vespolek.

Nemám problém, nic nehoří, ale rád bych se zeptal:
Jsou v oběhu viry (Ransomware) které zašifrují i linuxovské souborové systémy (EXT4 atp)?
Nebo při tomto šifrování obsahu disku nezáleží na použitém souborovém systému?

Ahojte.
Luboš


Řešení dotazu:


Odpovědi

Řešení 2× (Filip Jirsák, lertimir)
Max avatar 17.2. 22:54 Max | skóre: 68 | blog: Max_Devaine
Rozbalit Rozbalit vše Re: Souborové systémy a Ransomware
Nezáleží na použitém filesystému. Ransomware pracuje se soubory. Některé Ransomware prý umí pracovat i s VSS (Windows Shadow Copy), ale moc tomu nevěřím. Navíc, aby s tím mohly pracovat, tak by musely mít Administratora. Tzn. již to předpokládá uživatele/admina idiota.
Zabezpečit Win proti Ransomware je pro znalou osobou docela jednoduché, ale většinou to vyžaduje finance (zakoupit vhodný sw). Na Linuxu asi jedině formou prevence častých snapshotů, tj. v podobě BTRFS a snapshotování.
Zdar Max
Měl jsem sen ... :(
Josef Kufner avatar 18.2. 12:02 Josef Kufner | skóre: 69
Rozbalit Rozbalit vše Re: Souborové systémy a Ransomware
Na Linuxu asi jedině formou prevence častých snapshotů, tj. v podobě BTRFS a snapshotování.
Je nějaký jednoduchý způsob detekce nezvykle velkého snapshotu (a tedy nezvykle mnoha změněných souborů) bez použití btrfs kvót? Jde mi o to, že na strojích s málem paměti a velkými disky jsou kvóty nepoužitelné pro velkou spotřebu paměti.
Hello world ! Segmentation fault (core dumped)
Max avatar 18.2. 12:22 Max | skóre: 68 | blog: Max_Devaine
Rozbalit Rozbalit vše Re: Souborové systémy a Ransomware
Spíš bych to pověsil na něco jiného. Třeba na inotifywait. Tzn. pomocí něho počítat počet přejmenovaných nebo upravených souborů. Nezkoušel jsem, jen tip.
Zdar Max
Měl jsem sen ... :(
18.2. 15:34 GeorgeWH | skóre: 39
Rozbalit Rozbalit vše Re: Souborové systémy a Ransomware
Da sa pouzit aj fail2ban, ktory bude sledovat nazvy suborov (celkom slusny zoznam https://fsrm.experiant.ca/api/v1/combined), alebo vela write/rename operacii z jednej IP (napr. zo SAMBA audit logu).
19.2. 11:27 lertimir | skóre: 63 | blog: Par_slov
Rozbalit Rozbalit vše Re: Souborové systémy a Ransomware
A jakým softem to na Win se rozumně dá hlídat. (tedy jak ten soft pozná, že jsem třeba ručně neprovedl zazipování souboru a pak nesmázl původní soubor?)
Max avatar 19.2. 13:15 Max | skóre: 68 | blog: Max_Devaine
Rozbalit Rozbalit vše Re: Souborové systémy a Ransomware
Už jsem to myslím někde i psal. Jedu prevenci. Takže mám nastavený aplikační firewall tak, že jisté procesy nemohou spouštět jiné procesy. Příklad, antispamem/antivir gw projde infikovaný dokument. Uživatel ho otevře a ještě povolí makro. Pak ale zasáhne aplikační firewall, protože ten šmejd tím makrem spouští rundl32, cmd, vbscript, powershell a milion dalších procesů. A já mám v tom aplikačním fw nastaveno, aby toto nepovolil. A podobně to mám takto u různých programů, nejen u Outlooku, Wordu apod.

No a ve finále už dnešní AV (aspoň některé) dokážou detekovat, že se něco děje / šifrování/modifikování spousty souborů by měly poznat.
V jobu používáme HIPS filtr v ESETu, ale věřím že někteří ostatní vendoři budou mít něco podobného.
Zdar Max
Měl jsem sen ... :(
20.2. 10:09 Nereknu | skóre: 21 | Neřeknu:)
Rozbalit Rozbalit vše Re: Souborové systémy a Ransomware
Nechceš se podělit? :D
Max avatar 20.2. 12:35 Max | skóre: 68 | blog: Max_Devaine
Rozbalit Rozbalit vše Re: Souborové systémy a Ransomware
S čím? Všechno jsem snad napsal.
Zdar Max
Měl jsem sen ... :(
14.3. 15:22 chinook | skóre: 27
Rozbalit Rozbalit vše Re: Souborové systémy a Ransomware
A nemůžeš nám sem ty pravidla HIPs vyexportovat? Díky
Řešení 1× (Filip Jirsák)
Jendа avatar 18.2. 02:09 Jendа | skóre: 76 | blog: Výlevníček | JO70FB
Rozbalit Rozbalit vše Re: Souborové systémy a Ransomware
Ano, jsou: 1, 2.

Nezáleží na použitém FS. Pokud má FS snapshoty, může v průběhu šifrování dojít místo, a pak kdo ví.
Kdo říká, že jeden běžný člověk nemůže změnit svět, tak asi nikdy nejedl syrového netopýra.
18.2. 21:24 Nereknu | skóre: 21 | Neřeknu:)
Rozbalit Rozbalit vše Re: Souborové systémy a Ransomware
No obvykle se prý nešifruje celý soubor, ale jen začátek (kvůli tomu, aby to bylo rychlé a nikdo si toho nestihl všimnout), takže místo obvykle nedojde :-)
19.2. 09:31 Aleš Kapica | skóre: 49 | blog: kenyho_stesky | Ostrava
Rozbalit Rozbalit vše Re: Souborové systémy a Ransomware
To je zajímavé.

Co když ve skutečnosti nic nešifrují? Resp. Co když šifrují jenom nějaký krátký řetězec, který přilepí na začátek souboru. Tím pádem by se takový soubor jevil jako zašifrovaný, tudíž nečitelný. A při tom by ta operace probíhala velice rychle.
Max avatar 19.2. 10:26 Max | skóre: 68 | blog: Max_Devaine
Rozbalit Rozbalit vše Re: Souborové systémy a Ransomware
Kdysi jsem to zkoumal u pár vzorků, co se ke mně dostaly a pokud si dobře pamatuji, tak jsem v té době usoudil, že to opravdu šifrují (měl jsem snapshoty, origo soubory, takže jsem porovnával).
Druhou věcí je, že nejedna bezpečnostní firma na to koukala. Taková věc by se tedy provalila rychle.
Zdar Max
Měl jsem sen ... :(
19.2. 10:28 Aleš Kapica | skóre: 49 | blog: kenyho_stesky | Ostrava
Rozbalit Rozbalit vše Re: Souborové systémy a Ransomware
A porovnával jsi to přes vbindiff?
Max avatar 19.2. 11:04 Max | skóre: 68 | blog: Max_Devaine
Rozbalit Rozbalit vše Re: Souborové systémy a Ransomware
Už si to nepamatuji, jak jsem to přesně porovnával, je to několik let, nejspíše jsem ale vbindiff nepoužil.
Zdar Max
Měl jsem sen ... :(
19.2. 20:19 Nereknu | skóre: 21 | Neřeknu:)
Rozbalit Rozbalit vše Re: Souborové systémy a Ransomware
No napsal jsem to blbě, ale hodně toho šifruje jen prvních párset kilobajtů. Například STOP djvu šifruje prvních 154KB.

Ale je možný, že rozsáhlejší útoky (kdy to nedělá automatika) budou šifrovat celý soubor.
18.2. 08:32 j
Rozbalit Rozbalit vše Re: Souborové systémy a Ransomware
Na to ti staci libovolnej script, protoze to funguje na urovni souboru a vyuziva to opravneni uzivatele. Takze pokud tvuj uzivatel muze spoustet, tak je uplne jedno na cem. Klidne to muze bejt javascript, python, perl, bash ... proste cokoli. Principielne to muze byt multiplatformni, trebas java.

Zaklad je mit zalohy. A hned v druhy rade, nedovolit uzivatelum spustit nic, co neni schvaleny/instalovany administratorem. A presne tohle byva neresitelny problem, specielne ve firmach plnych managoru, typicky prave v nemocnicich. Protoze by soudruhovi reditelovi nesly spustit ty piskvorky co mu je nekdo poslal mailem.

Na widlich mas pak problem jeste v tom, ze widle spustej i obrazek, a neprijde jim to divny (exec je defaultni akce na vse). A spousta debilnich tvurcu (jmenovite ti, co meli za tech 400M delat ty dalnicni znamky) volaji nad prilohama misto open exec taky.

Pro zajimavost, za cca 30 minut, to na i3 po gigovy siti zvladlo 70k souboru. Pak se na to prislo, dotycne osobe byl PC odpojen a za dalsich cca 15 minut vyreseno ze zaloh. Blbec u klavesnice je ve skutecnosti jedinej virus, kterej se navic neustale siri.

Založit nové vláknoNahoru

Tiskni Sdílej: Linkuj Jaggni to Vybrali.sme.sk Google Del.icio.us Facebook

ISSN 1214-1267   www.czech-server.cz
© 1999-2015 Nitemedia s. r. o. Všechna práva vyhrazena.