私はここでランサムウェア攻撃についてたくさん読んでいて、自分を守るための私の戦略が有効かどうか疑問に思っています。
私は10Gbの個人データと90Gbの写真とビデオを持っています。 D:\ドライブの2つの別々のフォルダーにあります。個人データフォルダはGoogleドライブと同期されます。写真は同様のツール(Hubic)と同期されます。このようにして、D:\ドライブにコピーするすべての新しい写真はすぐにCloud Storageに送信されます。ハードドライブが故障した場合や盗まれた場合でも、オンラインコピーは持っています。
しかし、ランサムウェア攻撃を受けた場合、Googleドライブでもデータが削除または暗号化される可能性があるため、これは適切ではない可能性があると考えています。だから私の質問は:
データをオンラインストレージサービス(Googleドライブ、Dropboxなど)に同期する方法は、ランサムウェアから身を守るための良い方法ですか?
ランサムウェアから回復できるようにするためのより良いバックアップ戦略はありますか?
注:ここにも同様の 質問 がありますが、オンラインストレージベンダーが信頼できるかどうかに焦点を当てています。私の場合、それらを信頼することを選択したので、ランサムウェア攻撃が成功した場合、ランサムウェアの要求を無視するためのバックアップがあります。
Googleドライブについてはよくわかりませんが、Dropboxには以前のファイルバージョンを復元する方法が用意されています。これは、Dropboxサーバー上のファイルコピーに依存しているため、ランサムウェアの影響を受けない機能です。したがって、それは確かにデータを保護する方法になるでしょう。
ただし、インターネット接続を介してすべてを回復することは比較的遅いプロセスです。個人的には、NASデバイスを使用しますが、ネットワークドライブとしてはマップしません(それらが可能であり、ランサムウェアがコンピューターでアクティブ化されている場合は影響を受けるためです)。 FTP/SFTPを介して、おそらく定期的にファイルを同期するスクリプトを使用して、ファイルをローカルに持っているため、攻撃からの復元に問題が少なくなり、コストも低くなります。
また、Dropboxのようなエクスペリエンスを好む場合は、独自のデバイスでownCloudを試すことをお勧めします。これにより、以前のバージョンのファイルが保持されるため、ファイルの損傷や破損が発生した場合にロールバックできます。ファイルの複数の古いバージョンを保存すると、NASのディスクにスペースが必要になることに注意してください。
シンプルで安価で比較的スケーラブルなソリューション
(オンラインストレージでは何もできないことは承知していますが)
定期的にローテーションするUSBドライブが2つあります(必要に応じて、カレンダーにリマインダーを追加できます)。多くの同期ツールの1つを使用して、コピーするフォルダーを選択できます。私は Allway Sync を使用します。
ドライブの1つは常にofflineです。データを別の場所に移動して、家や火事などを訪れた強盗からデータを復元できるようにすることもできます。
他の人にバックアップを改ざんされたくない場合は、ドライブを暗号化することもできます。 VeraCrypt を使用します。
注意事項
ドライブをローテーションする頻度が高いほど、ランサムウェアに感染した場合に失うデータは最小限になります。しかし、もちろんこれがこのソリューションの欠点です。時々ドライブを手動でローテーションさせる必要があります。
しかし、それは発生する可能性のある多くの問題に対する安価で柔軟かつ効果的なソリューションです。
簡単な解決策
私にとっては、悪用されないようにソリューションをシンプルに保つことが重要です。たとえば、NASソリューションは、ドライブをマウントするユーザーがいない場合にのみ機能します。経験のないユーザーが何をするのか正確に知らない場合、これがどのように失敗するかを簡単に確認できます。
座って問題を解決しようとするその日の計画を立てます。 1つの解決策はドライブをマウントすることですが、数か月前に設定したバックアップスキームを完全に忘れてしまいました。
これを書いている時点では、Dropboxはランサムウェア攻撃を緩和するための優れた方法です。なぜなら、ファイルの変更の30日間のバージョン履歴がサーバー(無料枠でも)に保持されるためです。
データの量にもよりますが、アップロードとダウンロードの両方を効果的に行うには、高速インターネット接続が必要です。
ただし、(big caveat) Dropbox.comからセッショントークンを取得する、またはクラウドプロバイダーのパスワードをキャプチャするためにキーロガーをインストールする新しいランサムウェアを設計するのにそれほど多くの時間はかかりません「完全に削除」オプションの選択に進み、ファイルを回復不能にします。
ドライブとしてマップされているかどうかにかかわらず、ランサムウェアはローカルネットワーク上のSMB共有を検索してそこでファイルを暗号化するように簡単に設計できるため、同じことがオンラインストレージオプションにも当てはまります。オンラインバックアップのオプションは、ネットワークプロトコルが完全なバージョン管理でのみ新しいファイル、変更、削除を許可し、バージョン管理を無効にしたり、過去のコピーを完全に削除したりできない書き込み専用オプションがある場合です。
これにより、オフラインバックアップが最後のオプションとして残ります。これらはリムーバブルメディアに対して手動で開始する必要があります。リムーバブルメディアは、マルウェア以外の脅威(例:火災や盗難)から保護するために暗号化されたオフサイトに保存するのが最適です。
ランサムウェアを回避するためのバックアップ戦略として何をお勧めしますか?
最も単純なソリューションは、平均的な個人のデータ保持ニーズの90%をカバーします。つまり、古いデータを読み取り専用形式で保存します。データのどれだけが古い税務情報、過去の学校/仕事のリソース、休暇の写真、または変更されない他のタイプの情報であるか?
一般的な DVD-R は、数ドルで約5 GBを格納します。 Dropboxや外付けUSBに情報を保存するだけでなく、1月1日にディスクに昨年のものを投げ、その年の上にSharpieを置くだけです。都合のよい方法で定期的にドライブをバックアップし続けますが、ファイリングキャビネット内の物理的な「チェックポイント」は決して悪いことではありません。
大量のビジネスデータを担当する専門家にとっては、明らかに 1 TBオプティカルストレージ は間もなくですが、数日でも頻繁なネットワークバックアップが必要です。価値のあるデータ(コード開発、ビジネス契約、プロの写真撮影)は、多額の価値があります。
ここで1つの回答だけがバックアップのverificationについて言及しているのはちょっと怖いので、この回答を追加したいという衝動を感じました。
あなたがバックアップ戦略として選択したものは何でも:あなたのバックアップは完全に価値があります何もありませんもしあなたが完全性をチェックするための十分にテストされた検証メカニズムがなければファイル。
ランサムウェアがファイルにアクセスしようとしているときに、ファイルを即座に解読しようとするのは時間の問題です。一定の時間が経過すると、マルウェアはキーのローカルコピーを削除し、バックアップの多くまたはほとんどを価値のないものにします。ウェブサーバーのデータベースで報告された すでにこのような攻撃 が報告されています。
それにもかかわらず:個人的には、事前に暗号化せずに機密データをクラウドサービスにアップロードすることはありません。 (うん、それは一種の皮肉なことです)覚えておいてください:「クラウド」は「他の人のサーバー」の同義語にすぎません。
いいえ。消費者向けのクラウドバックアップは効果的なソリューションではありません。実際、単一のソリューションでデータを保護することはできません。少し混ぜる必要があります。
あなたに良い答えを与えるために、私はあなたの習慣、使用パターン、および他の多くの詳細について知る必要がありますが、これは私が通常一緒に働いている平均的な家/中小企業の所有者に基づいた私の最良の推測です。
つまり、バックアップするため、または正確にアーカイブするためです。
これは非常に複雑な質問であり、どれだけ失う可能性があるかを判断する必要があります。 99,9%のデータセキュリティを提供することは非常に費用のかかる作業です(単一障害点のない地理的に分散した冗長ストレージを考えてください)。データは、ランサムウェアだけでなく、想像以上に多くの方法で失われる可能性があります。たとえば、DVDまたはBR-Dは数年しか持続せず、フラッシュドライブは約7年で使用できなくなります。通常のハードドライブは5年後に使用できなくなります。フォーマットが非推奨になり、インターフェイスが非推奨になり、ハードドライブに修正不可能なエラーが発生する可能性があります。 (そして実際にはそうです)、あなたのバックアップは落雷、火災、洪水によって殺されるかもしれません、それは盗まれるかもしれません、あなたが暗号化するならあなたはあなたのパスワードを失うかもしれません(そしてあなたがすべきです)...あなたが持っている悪夢のシナリオを想像してください失敗したIDEハードドライブ上のNTBackupアーカイブ-楽しい。
だからいくつかの解決策:
まず第一に、 ファイルシステムを監視する です。ランサムウェアの攻撃により、ファイルシステムに大きな変更が加えられ、問題があることがすぐにわかります。
オプション1- M-Disc を使用します。 100 GBのデータはそれほど多くないので、100 GBのM-Disc BDXLに2つのコピーを作成できます。 1つは自宅の引き出しに入れ、1つは銀行のセーフティボックスに入れてください。何千年もの間、彼らは言う。ただし、データが失われる可能性があることに注意してください。これは読み取り専用のメディアなので、感染したコンピュータで使用しても問題はありません。 フルサイズのSDカード(たとえば128GB)をアーカイブして使用する場合は、スイッチを入れ替えて、日常的に使用する場合のみ読み取り専用に、バックアップ時に読み書き可能に切り替えます。 アーカイブの合間に、別のM-Discアーカイブに十分な容量が得られるまでDVDを使用します(DVDの寿命に注意してください)。私はM-Discとは何の関係もありませんが、M-Discを使用した経験はかなりあります。
また、Dropbox + M-Discソリューションをウェブサイトに掲載しているため、Dropboxを便利に使用して、アーカイブを出荷できます。
オプション1.1-上記と同じですが、通常のBlu-Rayディスクを使用します。安価ですが、はるかに危険です。年に一度、アーカイブを再書き込みしてください。
オプション2-小さな(Linux)ファイルサーバーをセットアップし、便宜上そのストレージをマウントしますが、クライアントコンピューター(NASまたはクラウドなど)からアクセスできないストレージにバックアップをバージョン管理していることを確認してください。したがって、問題が発生した場合、マウントされたストレージは暗号化されますが、サーバー自体は感染していないため、いつでも元に戻すことができます。ファイアウォールはリモートアクセスを許可しません。将来のより高度なランサムウェアは、感染したクライアントから資格情報を盗むことでリモートアクセスを悪用できる可能性があるためです。データのコピーが常に複数あることを確認し、使用したメディアの寿命を考慮し、トラブルの最初の兆候が出たらハードディスクを交換してください。
オプション3-信頼できるIT担当者にニーズに合わせたソリューションをセットアップしてもらい、データと(ほぼ)防弾アーカイブに即座にアクセスできるようにします。 DIYソリューションを求めてここに来る人はいると思いますが、データ保護は科学であり、1つのページに要約することはできません。また、ソリューションのすべての注意事項を理解することはできないと確信しています。
何を選択しても、「設定してそれを忘れる」という解決策はなく、誰もがそうだと主張する人は、おそらく無能です。
外付けUSB-3ハードドライブのスタック、「A」、「B」、「C」などを順番にローテーションして使用し、自動夜間バックアップを実行します。 (私のコンピューターは24時間年中無休で稼働しているため、夜間はフルバックアップ、詳細なマルウェアスキャン、ときどきデフラグなどのタスクを実行します)言い換えれば、今夜書き込まれるドライブは、シーケンスで最も古いドライブです。私はそのうちの3つをオフサイトの銀行金庫に保管しています。私は銀行に行くか、銀行が入っているストリップモールに行くので、他のビジネスでは通常、これはそれほど大きな負担にはなりません。 (オフサイト保管は、火災、盗難、および同様の事態から保護します)。
私がしなければならない他の唯一の作業は、自分のコンピューターに座って1日を始めるときに、昨夜のバックアップのUSBコネクターをシーケンスの次のバックアップと交換することを忘れないようにすることです。
この問題の次のタスクは、ファイルが読み取り可能で暗号化されていないことを自動的に検証することです。今は手動でスポットチェックを行っていますが、時間と注意が必要なので自動化したいと思います。
複雑にしないでおく。
クラウド同期ソリューションはファイルのバージョン管理を通じてランサムウェアからの保護を提供する可能性がありますが、個々のソリューションを選択するには調査が必要です(1)(2) そして私はそれが面倒な価値のない仕事だと思います。クラウドサービスによってクライアントの機能は異なり、これらの企業はバックアップとバージョン管理ではなく、主に同期ツールとしてソリューションを作成およびサポートしています。
(1)Googleドライブはファイルのバージョン管理(30日間)を提供していますが、古いバージョンはスペース制限にカウントされます。 Googleは、100 GBのプランと100 GBまでのデータが瞬時に変化した場合にどうなるかについての情報を公開していないようです。同期を停止するか、古いバージョンを犠牲にする可能性があります。
(2)Dropboxは、有料プランで30日間保持される無制限のバージョン管理を提供します。
クラウド(およびローカルネットワークの宛先)にバックアップする本格的なバージョン管理バックアップソリューションを使用することをお勧めします。
私は Arq を使用して、ファイルをgitのような方法で重複除外します(3) マシンを離れる前にAESで暗号化します。クラウドまたはネットワークに保存されたファイルは、バックアップ後にモーフィングされないため、ランサムウェアがコンテンツを変更することはありません(実行可能ファイルを置き換えない限り、ターゲットが厳しすぎるため)。
(3)これは、バックアップされたファイルが分割され、不変のデータのチャンクとして扱われることを意味します。ソースファイルが変更された場合、ガベージコレクションプロセスによって削除されるまで、古いデータが新しいデータに書き込まれます。
最も重要なのは、災害の前にテストできる(同じマシンに、別のマシンに復元する)データ保護ソリューションです。
このような態度は、クラウドサービスを単なるストレージスペースとしても扱うため、ユーザーはサービス間の微妙な違いを考慮する必要がありません。
それが提供しない唯一のものは、ファイルへのWebアクセスです(暗号化のため)。したがって、復元(およびすべてのコンピューターが失われた場合のソフトウェアのインストール)を実行する必要がありますが、決定する必要がありますbackup-and-protectionまたはsynchronization-and-sharingが必要かどうか。
Crashplan (有料のクラウドストレージプロバイダー)は、オンラインクラウドストレージソリューションがランサムウェア攻撃からの回復にどのように役立つかについて 専用の記事 を掲載しています。
これらのサービスは、長期保存のために大量のデータをバックアップする必要があるユースケースに適した代替手段になる可能性があります(@GuntramBlohmに感謝)。
抜粋:
CryptoLockerとCryptoWallは、コンピューター上のファイルを暗号化し、これらのファイルを復号化するために身代金を支払うよう要求するマルウェアの一種です。この攻撃の背後にいる犯罪者に支払う代わりに、CrashPlanを使用して、感染前の日時からファイルを復元できます。この記事では、CrashPlanを使用して、CryptoLockerまたはCryptoWall攻撃からファイルを回復する方法について説明します。
編集:
@ Ajedi32のコメントに記載されているように、巧妙なランサムウェアは履歴からファイルを完全に削除する可能性があり、元のファイルを回復できなくなります。
多くのクラウドストレージプロバイダーは、ファイルをすぐに削除するのではなく、(時間制限付き)ゴミ箱ディレクトリに保存します。通常、ごみ箱ディレクトリはいつでも空にできるため、それだけでは不十分です。
巧妙なランサムウェアのターゲティング...
「仕事用」PCでSOLELY *を実行する「クラウドへのバックアップ」コードを含むソリューションは安全ではありません。
*コメントのおかげで更新されました
遅かれ早かれ、ランサムウェア作成者willクラウドストレージログインのハイジャックを開始します。
私のソリューションは、ユーザーフォルダーを共有して、2番目の非常に安全なLinuxボックスがどこか(ローカルまたはクラウド)でユーザーファイルを読み取り、適切な宛先が何であれ、それらをローカルrwメディア、ローカル読み取りにバックアップできるようにすることですメディアまたはクラウドのみ。 Linuxボックスが安全であると仮定すると、マルウェアはバックアップを直接攻撃することはできません。
ランサムウェアがファイルの暗号化を開始してから通知が届くまでの最大期間をカバーするために、十分な履歴の完全バックアップを保持する必要があります。これは数日よりかなり長くなるかもしれません。
ランサムウェアの作成者は、可能な限り多くのバックアップに影響を与えるためにゆっくり動作することと、検出を回避してファイルのさらなる暗号化を停止するために迅速に動作することの間のトレードオフに直面します。
写真アーカイブは、長期間保存され、見られない可能性が高く、感情的価値が高いことが多いため、ここではジューシーなターゲットになる可能性があります。誰かの写真コレクション(オリジナルとバックアップ)だけをゆっくり暗号化すると、PC全体をすばやく攻撃するよりも、身代金の支払い額が高くなる可能性があります。
NASセットアップは私のお気に入りの選択です。2番目のバックアップでは、オフラインのハードディスクを使用して月に1回バックアップを作成できます。NASは、 OR私がやろうとしていることができるようになったらいつでもディスクをオフラインにしてください。年に一度、ディスクを交換してくださいNAS(また、速度などにも優れています)古いハードディスクを適切な場所に保管します(ラベルを付けます)。
彼らがセキュリティの最初の層を通過し、NASに感染した場合は、ディスクを取り出すだけです。
また、デフォルトのリカバリシステムを使用して、そのようなことが発生した場合のバックアップを保持しています。
ランサムウェアがどのように機能するかを要約しましょう:
ランサムウェアは、見つけたものすべてを暗号化します。これも:
これにより、次の予防策が提供されます
完全に自動化されたバックアップがまだあるので、個人的には最後のオプションを選択しました。私のコンピューターがランサムウェアに感染した場合、権限がないためネットワーク共有を暗号化できません。それを不定期のオフラインバックアップとペアにすると、あなたがうまくいくはずです。
残念ながら、考えられるすべてのエクスプロイトを考慮に入れると、単一の有効な解決策は読み取り専用メディアを使用することです。ルートエクスプロイト、キーロガー、または類似の方法では、他のほとんどのメソッドが役に立たなくなります。余計な手間がかかるため、これらはおそらく個人(ローカルオフィス、レストランなど)を標的とした攻撃でのみ使用されます。
他の答えはあなたの最初の懸念に非常によく対処します。サードパーティのソリューション(クラウドホスティングなど)に依存せずに、ランサムウェアからファイルを安全に保つための代替策について:
ローカルネットワークでより安全なOSを実行している別のPC(大きなストレージユニットを搭載したPC)を入手し、バージョン管理ソフトウェア(Subversionなど)サーバーをインストールします。
ファイルを作業コピーにコミットし、バージョン管理クライアントを介して同期を維持します。
同時サブミットによる競合は多くないので、Subversionはそれで問題ありません。 synchコマンドをスクリプト化して、スケジュールに従って実行できます。
自動rsnapshotを実行する小さなLinuxシステムでバックアップドライブを起動可能にして、成功したらシャットダウンしました。データはそれほど変化しないので、大量のスナップショットを保持できます。
ああ、あなたが本当に偏執的であるなら、rsnapshotに通常かかる時間を測定することができます、そしてそれが突然ずっともっと長くかかるなら、それはあなたのシステムに何か問題があることの良い兆候です...
バージョニングが有効になっているクラウドストレージサービスは、ランサムウェアからユーザーを保護します。マルウェアがクラウドサービスのファイルを変更した場合は、以前のバージョンを復元する必要がある場合があるため、ここではバージョン管理オプションが重要です。
AWS S3にはオプションとしてバージョニングがありますが、デフォルトでは有効になっていません。 DropBoxでは、デフォルトでバージョン管理が有効になっています。 Google以外のファイル(Googleドキュメントなど)用のGoogleドライブでは、これを行うには、「永久に保存」オプションを手動で有効にする必要があります。
ただし、この脅威には比較的単純なクラウド以外の緩和策があります。
このセカンダリバックアップは、コンピューター上のランサムウェアからアクセスできなくなります。感染した場合は、マルウェア(duh)をクリーニングしてから、そのセカンダリバックアップをNAS /サーバーに復元します。
ほとんどのNASユニットには、外部ドライブ用の組み込みのバックアップ機能があります。Linuxサーバーを実行している場合は、rsnapshotが代わりに機能します。cronで設定して、あなたが好き-その時間内に生成されたデータ以上を失うことがないことを保証します。
CrashPlanは、重複除外/圧縮が必要な場合のローカルバックアップにも使用できます。 (ただし、サブスクライブしない限り、1日に1回しか実行されません)
これにはいくつかのセットアップ作業が必要ですが、ストレージがいっぱいになるまで、ほとんどメンテナンスフリーで実行できます。