Aller au contenu

[Résolu]Protection contre cryptolocker/ransomware : idées ?


Messages recommandés

Bonjour à tous,

 

Pour un 1er topic (bon en même temps c'est pour cela que je me suis inscrit 😉), je souhaiterais avoir vos avis sur une protection efficace contre les cryptolocker/ransomware.

1er postulat, nous sommes d'accords que pour qu'un cryptolocker puisse chiffrer les fichiers, il faut qu'il aie un accès en écriture à nos fichiers.

Aujourd'hui, j'ai un NAS (non Synology j'avoue 🤐), qui est accédé de la manière suivante :

- En lecture seule par des appareils Android et un Raspberry Pi (donc par trop d'inquiétude sur cette partie, que ce soit par l'accès en lecture seule ou les OS utilisés)

- Et surtout en Lecture/Ecriture par des appareils Windows (c'est là où je suis donc plus inquiet), parfois allumés H24 (surtout le week-end, moins vrai en semaine). Néanmoins, j'estimerais librement qu'il s'agit de 80% d'accès en lecture pour 20% d'accès en écriture.

Aujourd'hui, mes "protections" consistent principalement :

- à ce que les multiples interfaces chaises-claviers fassent bien attention à ce qu'elles tripotent sur leurs postes Windows pour éviter les contaminations

- à des sauvegardes offline "régulières" (sur HDD externe)

 

Je souhaiterais toutefois explorer une protection un peu plus fiable si celle-ci fonctionne.

L'idée maîtresse serait de laisser par défaut un accès en lecture seule depuis Windows, mais de pouvoir laisser un accès ponctuel en écriture à la demande.

 

J'ai essayé en créant 2 comptes (un read-only et un read-write), mais, lorsqu'on veut switcher, Windows est notoirement assez ch**** pour se relogguer avec un accès différent.

De plus, une fois loggué en écriture, il faudrait que l'utilisateur pense de lui-même à se relogger en lecture seul ==> donc bof

Il faudrait donc que l'accès en écriture soit limité à un système de "session", limité en temps au fichier écrit ou à un timeout.

 

Auriez-vous des idées ? Software Linux ? Mot de passe ? Système de jeton à usage unique (type SecurId chez les professionnels, mais prix $$$) ?

 

Merci par avance pour tous vos échanges ;)

 

Lien vers le commentaire
Partager sur d’autres sites

La seule protection efficace contre les cryptolockers est un plan de sauvegarde robuste (offline, multi-versions, ...).

Toutes les autres solutions vont soit complexifier l’utilisation, dégrader les performances, se révéler inefficaces sans maintenance, ou tout ça à la fois.

Lien vers le commentaire
Partager sur d’autres sites

Bonjour,

Les nouveaux membres sont invités à se présenter dans la section prévue à cet effet 😉

Présentation - NAS-Forum

Sinon, il y a éventuellement la possibilité via deux lignes de commandes dans le planificateur de tâches de faire un changement de droits.

Pour ma part, je m'embête pas avec tout ça.

Pour éviter un cryptolocker, j'ai mit en place ceci :

- 2x2 To prévu pour les sauvegardes incrémentales qui sont montés sur le NAS quelques minutes avant le lancement des sauvegardes puis démontage automatique des 2x2 To par le logiciel de sauvegarde quand il a terminé.

- Avertissement du journal de DSM (OS Synology) pour m'avertir en cas de changements importants dans des fichiers.

 

Lien vers le commentaire
Partager sur d’autres sites

  • 2 mois après...

bonjour, pour ma part je fais des sauvegardes de la façon suivante :

- 1 DD usb branché en permanence avec sauvegarde quotidienne

- 1 DD usb branché un fois par semaine qui sauvegarde et que j'emporte chez moi dès que c'est fini

- 1 sauvegarde cloud dans dropbox via Hyperbackup

Pensez vous en cas d'attaque réussi que le ransomware :

- puisse crypter le / les DD externe ?

- puisse endommager la sauvegarde externe faite par hyperbackup ?

 

Lien vers le commentaire
Partager sur d’autres sites

bonjour,

il y a 26 minutes, ers31 a dit :

Pensez vous en cas d'attaque réussi que le ransomware :

- puisse crypter le / les DD externe ?

Pour moi oui si ce dernier est connecté lors de l'attaque. Si l’effraction a lieu elle ne se contente pas d'un seul volume en général...

Oui le plan de sauvegarde régulier et si possible externe est une des précautions  prendre face à ce genre de risque.

Perso je fais des sauvegardes

  • d'un volume sur un autre pour des données les plus sensibles tous les jours (sur un NAS où toutes les 'gamelles' ne sont pas montées en RAID)
  • Une sauvegarde de ces données aussi sur un autre NAS hors les murs
  • Une sauvegarde mensuelle doublée sur  disques externes en USB (branché donc ponctuellement - 1 en ext4 1 en hfs)
  • Une sauvegarde globale des données tous les semestres doublée là aussi. (toujours 1 en ext4 et 1 en hfs)

J'ai eu à utiliser chaque situation y compris (ce qui explique le format hfs) un vol de NAS et un besoin impérieux d'accéder à mes données sensibles sur disque externe.

[ hfs pour mac NTFS marche aussi sur nos NAS pour un pc sous Windows]

Après la déconnexion des unités et leur utilisation ponctuelle doivent normalement éviter la contamination cascade... sauf pas de bol.

Mais là où il y'a plus de risque c'est par le nombre d'utilisateurs... Faut pas se leurrer le maillon faible dans toute les sécurité... c'est le truc devant le clavier... toi et moi quoi  ou les autres si on veut aussi...😁

 

Lien vers le commentaire
Partager sur d’autres sites

bonjour, @daffy merci pour ton message.

Dans mon cas, vu que le disque dur externe qui reçoit la sauvegarde quotidienne est branché pour sauvegardé le soir, je ne peux être présent pour le débrancher quand c'est terminé. Du coup je ne vois pas comment je pourrais faire autrement.

Je pourrais éventuellement le débrancher le matin et le brancher le soir en partant mais :

- possibilité d'oubli le soir

- quid de l'usure de la prise UBS en faisant cette manip toutes l'années ???

Pour les utilisateurs je comprends pas, comment depuis leur PC windows, ils pourraient lancer le ransomware sur le nas ?

@Zeus merci mais non, windows nous va très bien et jamais eu d'infection en + de 20 ans.

Lien vers le commentaire
Partager sur d’autres sites

Bonjour,

Citation

Pour les utilisateurs je comprends pas, comment depuis leur PC windows, ils pourraient lancer le ransomware sur le nas ?

En ayant un lecteur réseau de monté entre le NAS et l'ordinateur et hop c'est parti et c'est encore plus rapide que le concorde...😜

Sur Windows, un rançonware peut simplement être caché dans une photo, vidéo, pdf etc... Et il suffit à une personne naïve d'ouvrir un peu tout et n'importe quoi sur sa machine pour que le petit programme se lance et foute le bordel partout.

Et tout ce qui est connecté à la machine peut trinquer également (disques durs en réseau, serveurs, clés USB etc...).

Citation

@Zeus merci mais non, windows nous va très bien et jamais eu d'infection en + de 20 ans.

Ça arrive qu'aux autres, cette phrase est bien connue dans différents domaines...🤣

Même les plus grosses sociétés mondiales se font avoir à cause souvent d'une erreur humaine alors plusieurs précautions valent mieux qu'une.

Citation

Dans mon cas, vu que le disque dur externe qui reçoit la sauvegarde quotidienne est branché pour sauvegardé le soir, je ne peux être présent pour le débrancher quand c'est terminé. Du coup je ne vois pas comment je pourrais faire autrement.

Si tu lisais les tutos sur ce forum, tu auras vu que j'apporte une solution à ce problème et de façon automatisée sur les sauvegardes locales...

Je propose une petite ligne de commande qui permet de monter automatiquement le ou les disques durs. Il suffit pour cela de créer une tâche planifiée dans DSM (qui en réalité s'inscrit dans le contrab) avec cette ligne de commande et de la planifiée tous les jours 5-10 minutes avant le lancement d'une sauvegarde via Hyper Backup par exemple. Ensuite, il suffit de programmer la dernière sauvegarde dans Hyper Backup pour qu'il démonte le ou les disques durs après qu'il ai fini.

Tuto en question :

[TUTO] Sauvegarder les données de son NAS. - Tutoriels - NAS-Forum

 

Modifié par Zeus
Lien vers le commentaire
Partager sur d’autres sites

bonjour, merci pour ta réponse.

- Compris pour la contamination possible entre le NAS et le pc windows.

- L'antivirus de windows ne peut pas détecter le ransomware dans les images, pdf etc... comme il le ferait pour un virus ?

- Je sais bien que tout peut arriver, pour l'instant on va dire qu'on touche du bois, nos machines sont à jour, et la configuration réseau a l'air pas trop mal.

- Passage sur Linux, comment veux tu faire changer des personnes qui travaillent depuis 20 ans avec le même outils à les faire passer sur un nouveau système qui, je pense, ne propose pas microsoft Office (obligatoire dans le cadre de notre activité) ?

- Merci je vais relire ce tuto, et apporter les modifications qui s'imposent. (edit : je viens le lire, tu avais fait une maj depuis que j'avais mis en place ma sauvegarde avec ton tuto, raison pour laquelle je n'avais pas utilisé ce complément)

A+

 

Modifié par ers31
Lien vers le commentaire
Partager sur d’autres sites

Citation

- L'antivirus de windows ne peut pas détecter le ransomware dans les images, pdf etc... comme il le ferait pour un virus ?

Comme tous les antivirus, il détecte ce qu'il connait. Un peu comme la police sur la route, pas vu, pas prit !

C'est en permanence le jeu du chat et la souris...

Citation

- Je sais bien que tout peut arriver, pour l'instant on va dire qu'on touche du bois, nos machines sont à jour, et la configuration réseau a l'air pas trop mal.

Ça ne fait malheureusement pas tout. Les infections viennent bien souvent d'une  personne naïve qui n'y connaît pas grand chose et clique sur tout ce qui passe par sa boite mail par exemple.

Et tant mieux si tu ne chopes rien 😉

Citation

- Passage sur Linux, comment veux tu faire changer des personnes qui travaillent depuis 20 ans avec le même outils à les faire passer sur un nouveau système qui, je pense, ne propose pas microsoft Office (obligatoire dans le cadre de notre activité) ?

Je disais ça un peu sous le ton de la rigolade 😉

Surtout dans le monde professionnel ou en effet, certains outils sont obligatoires.

Après, j'utilise sous Linux Libre Office et j'en suis content.

La gendarmerie par exemple est passé de Windows à Ubuntu (GNU/Linux).

Citation

- Merci je vais relire ce tuto, et apporter les modifications qui s'imposent.

Si tu as besoin de plus de précisions alors hésite pas.

Lien vers le commentaire
Partager sur d’autres sites

merci pour la réponse.

Effectivement pour le tuto de sauvegarde, j'ai besoin d'infos complémentaires sur comment procéder à la manip. J'ai posté un message dans le topic adéquat.

Citation

 

Ça ne fait malheureusement pas tout. Les infections viennent bien souvent d'une  personne naïve qui n'y connaît pas grand chose et clique sur tout ce qui passe par sa boite mail par exemple.

Et tant mieux si tu ne chopes rien 😉

 

Du coup, comment prémunir au mieux sa machine "windows" ?

Aurais tu des conseils (même si on est un peu HS).

Merci pour l'aide fournie.

Lien vers le commentaire
Partager sur d’autres sites

J'ai répondu sur l'autre topic !

Pour te prémunir, c'est surtout faire de la prévention auprès de tes utilisateurs et avoir un plan de sauvegardes solide.

Malheureusement, il n'y a pas grand chose d'autre à faire.

Si tu as pas de sauvegardes alors au revoir à tout jamais les données.

Et si tu as un utilisateur qui lance ce type de malware  (même sans le vouloir), alors tu ne pourras compter que sur ton plan de sauvegardes pour tout remettre en place.

 

Lien vers le commentaire
Partager sur d’autres sites

Invité
Ce sujet ne peut plus recevoir de nouvelles réponses.
×
×
  • Créer...

Information importante

Nous avons placé des cookies sur votre appareil pour aider à améliorer ce site. Vous pouvez choisir d’ajuster vos paramètres de cookie, sinon nous supposerons que vous êtes d’accord pour continuer.