Forum Subaru

nadaje się do watku komputerowego ale stworze nowy, najwyżej go admini przeniosa …

Ostatnie 2 doby mialem prawie wyrwane z zyciorysu z powodu …. wirusa komputerowego.
Otoz, po godzinach, pomagama znajomej w utrzymaniu biura rachunkowego a konkretnie zajmuje się sprawam tzw. informatycznymi. Nie będąc z wyszktalcenia informatykiem posiłkuje się wiedza specjalistow tj. kuzyn-informatyk.
Biuro niby male ale serwer plus 4 kompy. Na serwerze baza danych ponad setki klientow od x lat prowadzone rozne typy ksiegowosci. Oczywiscie kluczowa kwestie infromatyczne to: porzadny program antywirusowy, regularne aktualizacje systemu, uwaznosc userow na spamy i rozne podejrzane maile i … kopie zapasowe. Wydawalo mi się do poniedzialku ze wszystko jest a tu telefon od koleżanki ze nie może pracowac z bazą danych. Sprawdzam a tam pier$%^ wirus, który zaszyfrował wszysktkie pliki na serwerze! Jak to się stało do cholery nie wiem, nikt nic nie klikał, nie otwierał podejrzanych maili itp.. Ale trzba działać, potem będziemy się zastanawiać nad przyczyną. Więc po uznaniu że system jest tak rozpieprzony przez wirusa decyzja o przywróceniu z kopiii. No tak, ale chwila kopia systemu jest na dysku podpiętym pod serwer a na niej wszystko zaszyfrowane w pi...!! No ale spokojnie, system się postawi od nowa, kluczowe są dane, których kopie również zapisywane są w chmurze. Ufff, sprawdzam w chmurze nie zsynchronizowały się do zaszyfrowanych a nawet gdyby to tam jest wersjonowanie.
W miarę uspokojony jade do biura i w pierszwej kolejnosci stawiam na osobnym laptopie, zeby chociaz jedna osoba mogla popracowac, bo terminy gonia, klienci niecierpliwi, podatki, pity, jpki itp. Po chwili jednak doznaje pierwszych palpitacji gdy okazuje się ze kopia z chmury nie dziala, po prostu pliki są nierozpoznawalne dla bazy danych, probuje kolejna i kolejna…. Nic, kiszka totalna, Znajoma blednie. Dzwonimy na infolinie producenta softu i probujemy cos ustalic, producent informuje, ze sposob backupowania przez nas nie jest supportowany i generalnie nic nie mogą z tymi plikami zrobic, backup należy robic ich narzedziem i tyle! Palpitacje się poglebiaja bo co prawda, w trakcie aktualizajci bazy, robie co kwartal takie kopie ale przechowuje je na zawirusowanym serwerze w przeswiadczeniu ze mam przeciez aktualne kopie (nie producenckim softem robione). W tym momencie oznacza to rozlozenie firmy na lopatki, totalna klapa, ostatnie kopia calego systemu na innym nosniku (baza plus windows) jest sprzed 3 lat! Wszystkie pliki w chmurze bezużyteczne!
Wtedy zdarza się cud. W totalnej beznadziej przeglądam kolejne zaszyfrowane wirusem katalogi i patrze ze kopia (stworzona ww programem) jest niezaszyfrowana! Natychmiast kopiuje ją zewnetrzyny nośnik i sprawdzam na laptopie – bingo! Dane są zjadliwe dla bazy i stan co prawda sprzed 2 miesięcy ale są wszystkie firmy. Po godzinie przyjeżdza kuzyn i pokazuje mu katalog na serwerze skąd pobrałem jedyną kopię a tam…. kopia zaszyfrowana wirusem. Kwestia godziny.
Wniosek, robienie kopi zapasowej to nic jeśli nie sprawdzimy czy faktycznie backupowane dane można odzyskać.



Tak wiem urzekła was moja historia ;) ale jest autentyczna i może kogoś uratuje kiedyś przed katastrofą.

Grzegorz pisze: ↑

19 gru 2018, o 19:58

Tak wiem urzekła was moja historia ;)

Absolutnie nie, ale zainteresowało mnie poniższe

Grzegorz pisze: ↑

19 gru 2018, o 19:58

kopia z chmury nie dziala, po prostu pliki są nierozpoznawalne dla bazy danych

Co to za baza i czym robione były kopie?

rrosiak pisze: ↑

19 gru 2018, o 20:19

Co to za baza i czym robione były kopie?

Firebird. Kopiowanie było robione skryptem stworzonym przez kuzyna kilka lat wcześniej; z tego co sobie przypominam to jakiś programik do kopiowania plików pod windows, nie pamiętam nazwy. Z tego co kojarzę to na początku chyba nawet sprawdziliśmy że robiona kopia działa ale to kilka lat wstecz. Nachodza mnie tez różne absurdale podejrzenia że chmura coś popsuła w strukturze plików ale to pewnie bzdura.

A zainstalowany był avg biznes edition. Słusznie/niesłusznie, straciłem zaufanie do tej firmy i od wczoraj rozglądam się za czymś innym

Grzegorz pisze: ↑

19 gru 2018, o 20:40

Firebird.

Czyli SQL.

Grzegorz pisze: ↑

19 gru 2018, o 20:40

jakiś programik do kopiowania plików pod windows

No cóż, kopiowanie "na żywca" plików FDB i późniejsza próba ich użycia nie zawsze działa, a nawet jeśli, to jest niezgodna ze sztuką. Do firebirda polecam GBAK Scheduler - stary, ale jary i w dodatku za darmo.

Grzegorz pisze: ↑

19 gru 2018, o 20:47

A zainstalowany był avg biznes edition. Słusznie/niesłusznie, straciłem zaufanie do tej firmy i od wczoraj rozglądam się za czymś innym

Jak mawiają fachowcy, wszystkie programy antywirusowe są tak samo (nie)skuteczne. U klientów mam różne rozwiązania, ale jak dotąd tylko jedno okazało się w 100% skuteczne wobec wszelkiego syfu przy jednoczesnym zachowaniu komfortu pracy zwykłego użytkownika.

Dzięki za rekomendację ! Dacia z podpisu jakoś mi pasuje do tej pandy

Przeżyłem to samo u siebie w firmie ze dwa lata temu. Pliki zaszyfrowane. Ich nazwy zmienione. Dane z 10 lat. Z tego co pamiętam po restarcie systemu pojawił się komunikat iż możliwe jest odszyfrowanie plików po wpłacie jekiejśtam kwoty na jakieśtam konto. Wirus nie atakował wszystkich plików tylko te z "popularnymi" rozszerzeniami. W związku z tym akurat u nas nie ruszone zostały najbardziej cenne pliki z oprogramowania CAD ale i tak paraliż totalny. Żadne czyszczenie, antywirusy itp. nic nie pomogły. Backupy w systemie również zainfekowane. Dane zostały przywrócone z kopii zapasowej z zewnętrznego nośnika (kopia robiona była ręcznie w każdy piątek na dwa nośniki) na system postawiony od nowa. Kluczowe w tej sprawie jest pojęcie "serwer" - u nas był to wtedy po prostu jeden z pc wpiętych w sieć z udostępnionym dyskiem. Po w/w zdarzeniu zakupiony został rekomendowany przez zaprzyjaźnionego informatyka serwer NAS, który wydaje się być znacznie bezpieczniejszy ale kopie na dyski zewnętrzne mimo wszystko nadal robimy regularnie.

Grzegorz pisze: ↑

19 gru 2018, o 21:09

Dacia z podpisu jakoś mi pasuje do tej pandy

Zawsze możesz użyć tańszej alternatywy, która w wersji skutecznej wymaga ciągłego "strojenia" przez fachowca, którego brak niesie ryzyko pizgnięcia klawiaturą przez użytkownika w ekran. Można oczywiście oddać kontrolę użytkownikowi, ale to czyni ochronę zupełnie nieskuteczną .

GUEST pisze: ↑

19 gru 2018, o 21:45

serwer NAS, który wydaje się być znacznie bezpieczniejszy

Nic co jest podłączone stale do sieci, nie jest bezpieczne.

GUEST pisze: ↑

19 gru 2018, o 21:45

kopie na dyski zewnętrzne mimo wszystko nadal robimy regularnie

To jeszcze przynajmniej jedną wynoście poza firmę.

rrosiak pisze: ↑

19 gru 2018, o 21:51

Zawsze możesz użyć tańszej alternatywy,

Zadnych tanszych alternatyw. kolezanka była gotowa wczoraj zapłacić anonymous hackerowi, już chciała kupować bitcoiny. Teraz łyknie każdy koszt
Będzie na "bogato" ale podstawa i tak sprawdzone kopie offline poza jej biurem.

Pewnie że nie jest bezpieczne. Napisałem: "wydaje się bezpieczniejsze". Ma dodatkowe narzędzia w postaci backupu, chmury, zdalnegi dostępu itd. itp. + mirroring (u nas tylko na dwa wbudowane dyski - uznaliśmy, że profi RAID dla nas to już przesada).
Zewnętrzne dwa dyski z okresowymi backupami znajdują się faktycznie poza firmą w dwóch różnych lokalizacjach (ma to zapobiegać utracie danycg na wypadek kradzieży, pożaru lub innycg kataklizmów).
Wracając do pierwszego posta, dane księgowe mamy zabezpieczone w ten sposób, ze program (ÓPTIMA) generuje backup przy każdym zamknięciu tworząc archiwum zip. Te pliki są już dalej archiwizowane jak cała reszta. Nie ma problemu z odzyskiem.

jak windows to rozważ postawienie infrastruktury na linuxie. odpytuj bazę z czego tam odpytujesz. stawiając na linuxie na dzień dobry znajdujesz się w mało atrakcyjnym targecie dla ransomware i wirusów. dodatkowo uprawnienia, pliki backupu z chattr -i, można dobrze namieszać, że tylko włam na roota lub exploit ma szansę na powodzenie.

99% ransomware jest rozsyłana w mailach, jakiś użytkownik musiał kliknąć a potem wszystko do czego miał dostęp poszło do szyfrowania. Na czarnym rynku można kupić soft, który służy do tworzenia takiego ransomware, za każdym razem inaczej co powoduje że przez pierwszekilka dni jest niewykrywalny dla antywirusów, potem powstaje kolejna wersja znów niewykrywana, itd. Dlatego żeby się zabezpieczyć trzeba mieć backup, który trzeba testować czy da się odzyskać, poza tym najlepiej go robić na urządzeniach, do których dostęp ma tylko aplikacja do backupu. Preferowane są wszelkiego rodzaju napędy taśmowe bo one są odporne na takie akcje. Tanio nie jest, ale jak się skalkuluje potencjalną utratę danych to się okazuje że ma to sens. Do tego czasem lepiej zapłacić komuś, kto ma o tym pojęcie, zamiast bazować na darmowych znajomych czy rodzinie bo niby się zna, ale nie do końca...

Takie tam,

Nigdy nie włączaj/pracuj na kompie z podejrzeniem o włam. Wyłącz, wyjmij dysk, włóż do innego kompa, z innym systemem np. Linux <>Windows zrób kopię binarną. Pracuj tylko na kopii.
Miałeś szczęście, ale powinieneś zacząć od guzika OFF.

Jedynym rozsądnym systemem backup jaki mi się sprawdził, a zajmowałem się tym jeszcze długo przed problemem roku 2000 (!) jest binarna kopia całego dysku, zaszyfrowana w czasie kopiowania.

No i backup musi być fizycznie oddzielony od miejsca/sprzętu którego kopię zawiera. Dopóki jest w tym samym budynku/kompie jest tylko kopią tymczasową.

PS1: Ja bym w takiej sytuacji zapłacił, mniejszy koszt, a za lenistwo się płaci :)
PS2: Kupcie obudowy zewnętrzne na eSATA i kilka dysków, a p. Księgowa niech bierze ze sobą do domu ostatni dysk np. zawsze w piątek.
PS2: polecam Macrium Reflect.
PSx: co jakiś czas sprawdzaj czy coś jest w backupie :)
PSy: po co ten serwer/sieć produkcyjna była podpięta do internetu ???
PSz: a może lepiej mieć soft przez WWW, a nie lokalnie, nie ma tych problemów.

NAJWAŻNIEJSZE: Ten trojan cały czas tam jest, czyli wszystkie komputery w powietrze, jeśli systemy były legalne to tylko sczytaj numery licencji na software.

Najtańsza wersja, albo zostają taśmy ..

paku pisze: ↑

20 gru 2018, o 18:11

PSy: po co ten serwer/sieć produkcyjna była podpięta do internetu ???

A to mnie w sumie troszkę rozbawiło

Nie musisz tłumaczyć, wiem o co chodzi

Albo robota albo portale towarzyskie ...
A do wszystkiego to bym jeszcze problem z RODO dołożył ...

paku pisze: ↑

20 gru 2018, o 22:21

Albo robota albo portale towarzyskie ...

A znasz jakąś normalną firmę, która w dzisiejszych czasach nie używa poczty elektronicznej?

No proszę, moja żona wie czego się nie klika ... No i jest takie coś jak filtry na serwerach.

Oczywiście nie można zwariować, ale to nie znaczy, że wszystko musi być otwarte, szczególnie jak się ma dane wrażliwe, a obecnie biura rachunkowe to takie dane.
Pracownicy muszą wiedzieć gdzie pracują i że nie jest to kawiarenka intranetowa przy pubie.

Goście posadzili robaka na jednym kompie - może z emaila, może przez stronę - temu użytkownikowi powinni odpalić działkę z okupu :)
Z niego skanowali sieć, jak znaleźli coś ciekawego to tam posadzili drugą kopie, która zaszyfrowała dysk, to trwa, bo mają takich robali dziesiątki tysięcy i naprawdę mają trochę z tym roboty.

Pytanie czy pani A musiała mieć dostęp do tego serwera z takimi prawami jak miała i czy musi równocześnie księgować i klikać nieskanowane emaile.

Obecnie każdy komputer może mieć robala, nawet latami .. Ale ujawniają się te, które człowiek popchnie do roboty bo uzna, że da się zarobić. Inaczej szkoda ryzykować wykrycia czy zmarnowania hosta.
Zawsze kiedyś może się przydać. Tak to obecnie działa.

Nie ma ochrony na 100%, na 95% jest niewspółmiernie droga. Ale o 80% możne już przecież powalczyć, choćby prostymi środkami. Tyle że trzeba przyjąć, że to się zdarza, a nawet lepiej że jest masowe.
Założę się że użytkownicy nie mieli żadnych restrykcji, a cała ochrona to był jeden routerek na połączeniu z siecią.

Ważne, że dobrze się skończyło, bo nie musiało.

paku pisze: ↑

20 gru 2018, o 23:27

Pytanie czy pani A musiała mieć dostęp do tego serwera z takimi prawami jak miała i czy musi równocześnie księgować i klikać nieskanowane emaile.

paku, to malutkie biuro, a takie obostrzenia nawet w dużych firmach są rzadkością

To trzeba kupić więcej bitcoinów ...

Zresztą kluczem jest słowo "klikać".

paku pisze: ↑

20 gru 2018, o 23:27

nawet moja żona wie czego się nie klika ... No i jest takie coś jak filtry na serwerach.

Wyedytuj albo skasuj może "nawet" zanim Żona dotrze do tego tekstu .....

Tak jak nie ma 100% ochrony przed atakiem, tak nie ma 100% blokady uprawnień dostępu. Aktualnie, szczególnie młodzi pracownicy mają często większą wiedzę informatyczną niż osoby starające się zabezpieczać dane.
Co do konieczności dostępu do internetu to żyjemy już w czasach kiedy w małej firmie zwyczajnie musi go mieć w biurze każdy. To nie tylko kwestia komunikacji elektronicznej ale także dostępu do danych. Choćby FTP ale nawet prozaiczne poszukiwanie informacji, specyfikacji, cen, kursów walutowych itp. itd. Ponadto uruchomienie specjalistycznego oprogramowania wymaga obecnie często dostępu do internetu jeżeli nie każdego komputera to przynajmniej tego z managerem licencji. Dodatkowo zarówno tego typu soft jak LM żadko dostępne są na OS inny niż Windows.
W konkretnym przypadku biura rachunkowego myśle, że dostęp jest niezbędny choćby do wysyłania deklaracji, jpk itd.
Krótko: to nie są proste sprawy i nie ma jednego uniwersalnego sposobu ochrony danych.
Zgoda, że powinni zajmować się tym profesjonaliści. Tylko, że jest to tak drogie, że albo większości na to nie stać albo bardziej lub mniej świadomie podejmują ryzyko na zasadzie "mnię się to nie przytrafi".
Z autopsji: jak już się przytrafi to zaczynasz się tym intetesować i wprowadzasz jak najprostsze, najtańsze i w subiektywnej ocenie nejpewniejsze środki zapobiegawcze, czyli w piątkowy wieczór kiedy wszyscy odpoczywają siedzisz sobie w biurze i kopiujesz na zewnętrzne nośniki dane sprawdzając po stokroć co robisz ale zawsze gdzieś po głowie chodzi myśl czy aby właśnie nie skopiowałeś jakiegoś świństwa, które i tak wszystko zniweczy kiedy nadejdzie godzina konieczności użycia backupu .....

Jakiś przeczulony z tą żoną jesteś, miałem na myśli wiedzę informatyczną :)

Kopie zapasowe tak, ale całe clue mojego wywodu to nie kopie zapasowe jako takie ale sprawdzone kopie zapasowe! Co z tego że macie poza biurem, na taśmach, na płytach na x dyskach zewnętrznych, jeśli, w przypadku awarii możecie je sobie wsadzić w d. Właśnie w opisanym wyżej przypadku błąd w sztuce nie polegał na braku kopii.
Dlatego okresowo mam zamiar od tej pory sprawdzać kopie (tj. na testowej wirutalnej maszynie poza biurem).
Odnośnie napędów tasmowych etc. to kwestia odpowiedzi na pytanie ile warta jest moja praca i jak często ma być robiona kopia w sensie do kiedy jestem w stanie się cofnąć żeby nie rozłożyć firmy na łopatki. W przypadku bardzo dużych firm rachunkowych to pewnie się takie rzeczy zleca firmom zewnętrznym, ewentualnie zatrudnia infromatyka i inwestuje w dużo poważniejsze i droższe zabezpieczenia niż w przypadku małego biura.

Zaproponuj jakiś program on-linę. Jest tego teraz mnóstwo. Potrzebują tylko przeglądarkę i mogą robić z kompami co chcą.

Problem jest tylko taki, że informatyk też jest zbędny...

Grzegorz pisze: ↑

21 gru 2018, o 09:17

Kopie zapasowe tak, ale całe clue mojego wywodu to nie kopie zapasowe jako takie ale sprawdzone kopie zapasowe! Co z tego że macie poza biurem, na taśmach, na płytach na x dyskach zewnętrznych, jeśli, w przypadku awarii możecie je sobie wsadzić w d. Właśnie w opisanym wyżej przypadku błąd w sztuce nie polegał na braku kopii.
Dlatego okresowo mam zamiar od tej pory sprawdzać kopie (tj. na testowej wirutalnej maszynie poza biurem).
Odnośnie napędów tasmowych etc. to kwestia odpowiedzi na pytanie ile warta jest moja praca i jak często ma być robiona kopia w sensie do kiedy jestem w stanie się cofnąć żeby nie rozłożyć firmy na łopatki. W przypadku bardzo dużych firm rachunkowych to pewnie się takie rzeczy zleca firmom zewnętrznym, ewentualnie zatrudnia infromatyka i inwestuje w dużo poważniejsze i droższe zabezpieczenia niż w przypadku małego biura.

Ile masz danych do backupu?