web-dev-qa-db-ja.com

転送されるネットワークの合計バイト数を制限することで、CryptoLockerを検出または停止できますか?

ウイルスに感染したPCは、ファイル全体をダウンロード(暗号化)して(ファイルサーバーに)再アップロードし、すべてのネットワークドライブに対してプロセスを繰り返す必要があるため、この異常に高い帯域幅のイベントを検出できますか? (QOSまたは何かを介して)それに応答する方法はありますか?

転送されるデータ量(ファイルを暗号化するため)を監視することでCryptolocker暗号化を検出または制限し、この転送(QOS?)にクォータを設定する方法を探しています。

そのようなメカニズムはWindowsマシンで利用できますか?私はデフォルトのWindows設定でこれを自分で見つけることができませんでしたが、代替ソリューションを利用できます。

または、このような帯域幅監視アプローチを使用して、データ漏洩や従業員が会社の機密情報を盗むのを防ぐこともできます。

4

ウイルスに感染したPCはファイル全体をダウンロード(暗号化)して再アップロードし、すべてのネットワークドライブに対してプロセスを繰り返す必要があるため、この異常に高い帯域幅のイベントを検出することは可能ですか? QOSなどで応答する方法はありますか?

あなたは間違っています:マルウェアはファイルを転送する必要はありません。それは非対称暗号化を使用します。ファイルは最初に、ランダムに生成された長い一意のキーで(対称的に)暗号化され、そのキーは復号化キーの公開半分のみを使用して暗号化されます。

対称暗号化キーが削除されると、ファイルを復号化するためにマシン上に何も残されず、ロックを解除するキーに触れたことはありません。

転送されるデータ量(ファイルを暗号化するため)を監視することでCryptolocker暗号化を検出または制限し、この転送(QOS?)にクォータを設定する方法を探しています。

自分で構築しようとしないでください。この脅威や他の多くの脅威の検出(および防御)に役立つセキュリティシステムがたくさんあります。ウイルス対策スキャナー、 [〜#〜] ips [〜#〜 ][〜#〜] ids [〜#〜][〜#〜] nbad [〜#〜] 、ファイアウォールなど。すべて(スマート)あなたが行う投資は、特に脅威の性質を理解していない場合、自分で保護を陪審しようとするよりも桁違いに効率的です。

1
Stephane

Cryptolockerから保護するためのより良い方法は、ファイルのバージョン管理を強制するNASをセットアップすることです。強制的には、ファイルのすべての変更がNASに保存され、クライアントはこれに影響を与えることができません。次に、すべての重要なデータをこのバージョン付きNASに保存します。 cryptolockerがNASを暗号化する場合は、NASにファイルが暗号化されない日付までファイルをロールバックするように指示するだけです。

クライアントが何らかの方法でこのバージョン管理に触れられないことが重要です。たとえば、クライアントはNASにアクセスしてファイルを書き込みます。NASが既存のファイルが上書きされることを確認した場合、代わりに「変更ファイル」-たとえば、COWオーバーレイのようなものですが、ブロックベースではなくファイルベースです。

「共有ドライブ上のファイルが暗号化されています」というメッセージが表示されたら、NASに物理的にログインし、暗号化されたファイルを以前のバージョンにロールバックするように指示します。ファイルの代わりにが削除され、暗号化されたコピーが保存された場合、削除したファイルを復元するようにNASに指示します。

このようなNASは、Linuxサーバー、samba、および共有ドライブ内のファイルへの変更を追跡できるようにするいくつかのソフトウェアを使用して構築できます。

このようなNASの良い点は、NASを常に接続して「マウント」した状態で安全に保管できることです。cryptolockerがそれに触れた場合は、単に時間をロールバックできます。必要なことに注意してください。 NASをクライアントが単純な共有ドライブとして使用するように構築します。クライアントはファイル自体のバージョン管理を行うべきではなく、cryptlockerはそれをバイパスできます。そのNASバージョン管理を適用する必要があるサーバー。

はい、これはファイル全体がNASを介して「不定期」に送信され、サーバーで「差分ファイル」に削減されることを意味しますが、それだけの価値があります。

外付けドライブを使用して、それをバックアップのために定期的に接続するだけでは安全ではありません。cryptolockerは潜伏し、バックアップドライブが接続されるのを待ってから、ファイルを暗号化できます。サーバー側で「バージョン管理」を強制するNASドライブを使用する必要があります。

これは、単に暗号化せずにファイルを削除/感染させ、身代金を払ってファイルを取り戻す可能性を提供することなく、単に破壊的なペイロードからも保護します。 (それらは実際には身代金ウイルスよりも悪いです)。

0