Backup anti-ransomware

Siamo in un periodo in cui parte del malware è scritto con la finalità di bloccare i file di dati per poi chiedere un riscatto (ransomware).

In questo momento il ransomware è diffuso in ambiente Windows, ma presumere di essere immuni solo per il fatto di non utilizzare Windows è da sprovveduti.

Ci sono delle strategie di backup semplici da attuare che permettono di mettersi relativamente al sicuro in caso di attacchi di questo tipo ed evitare disastri.

Avevamo già trattato questo argomento, ma in modo più generale.

Innanzi tutto, come agisce un ransomware? Un software di questo tipo viene attivato involontariamente dall’utente aprendo, ad esempio, un allegato di una mail creata ad arte per ingannare l’utente. Una volta avviato, il software inizia a cifrare i dati locali e i file di dati che trova nelle connessioni di rete accessibili.

Quindi i file attaccati dal malware devono essere accessibili dall’utente che ha eseguito il malware e, se si trovano su condivisioni di rete, queste devono essere mappate in quel momento oppure devono essere enumerabili e accessibili in scrittura dall’utente.

Di seguito vengono elencate alcune possibili strategie di backup. Le informazioni vengono fornite a titolo di esempio, senza alcuna responsabilità da parte di chi le fornisce. La responsabilità della tutela dell’integrità dei dati è a carico dell’utente o del responsabile designato a norma di legge.

Soluzione semplice ed efficace: backup offline.

Il backup offline consiste nel salvare i dati in un dispositivo di memorizzazione che viene connesso al computer solamente per il periodo di copia dei dati e viene conservato normalmente spento in un luogo sicuro.

Tipico esempio è la chiavetta o il disco USB che viene connesso ad un computer, viene eseguito il backup e viene staccato alla fine delle operazioni. Ma potrebbe essere anche un NAS che viene acceso solamente nelle fasi del backup.

La procedura per eseguire un backup di questo tipo è necessariamente manuale e non può essere automatizzata. Alcuni software come Veeam Endpoint Backup Free, che è uscito dalla fase beta ed è ora full release, possono essere configurati per avviarsi nel momento in cui viene connesso il dispositivo che contiene il backup.

È consigliabile avere almeno due copie del backup su due diversi dispositivi e ruotare i dispositivi utilizzati.

Pro:

  • soluzione semplice;
  • backup eseguiti nel momento in cui decide l’utente, che sceglie di copiare i dati nei momenti più opportuni;

Contro:

  • soluzione non automatizzabile, l’utente si deve ricordare di fare il backup e deve aver voglia di farlo;
  • se eseguita con troppa frequenza o se non c’è un’adeguata rotazione, in caso di attacco di un ransomware si rischia di copiare i dati cifrati e sovrascrivere i dati in chiaro.

Soluzione un po’ più tecnologica: NAS con condivisione protetta

Ovviamente per questa soluzione serve un NAS. Ce ne sono di molti modelli tra cui scegliere; esistono anche distribuzioni gratuite (OpenMediaVault, FreeNAS) che convertono un PC in un NAS. L’importante è che il NAS possa condividere delle cartelle a mezzo SMB/CIFS (il protocollo di condivisione dei file di Windows) e si possa limitare l’accesso alle cartelle attraverso una coppia login/password.

Approntare su uno o più NAS una o più cartelle condivise il cui accesso avviene solamente dietro presentazione di login e password che non vengono salvate sul computer (ci torneremo poi). Opzionalmente si può rendere la condivisione nascosta, ma non consideratela una forma di sicurezza.

Nel computer da salvare si può installare un software di backup che consente di salvare le credenziali dei dischi di rete nel profilo del backup da eseguire; il già citato Veeam Endpoint Backup Free ha questa possibilità, ma non è l’unico.

Un’alternativa un po’ meno sicura è quella di creare uno script (file batch) che mappi la condivisione attraverso il comando NET USE a cui viene passata la password sulla riga di comando. In questo caso le credenziali saranno registrate in chiaro su un file di testo presente sul computer da salvare.

Per verificare che Windows non disponga delle credenziali di accesso ad una condivisione riavviare il sistema e tentare di accedere alla condivisione stessa. Se Windows riesce ad accedere, andare nel Pannello di Controllo, aprire Gestione Credenziali (Crtedentials Manager) e cancellare le credenziali di accesso al NAS. Se non c’è la Gestione Credenziali nel Pannello di Controllo utilizzare questa riga di comando per richiamare l’elenco delle credenziali salvate:

rundll32.exe keymgr.dll, KRShowKeyMgr

Pro:

  • i backup avvengono in modo automatico, purché i dispositivi siano accesi;
  • se vengono utilizzati software di backup, la reportistica potrebbe aiutare l’utente non esperto.

Contro:

  • è necessario un NAS;
  • un utente non esperto potrebbe lasciare dei buchi di sicurezza sul NAS.

Backup online

Questo metodo dipende moltissimo dal servizio di backup utilizzato e, quindi, dal software che esegue il backup.

Vista la varietà di offerte, è molto difficile compiere analisi in merito a questi tipi di backup.

Altri metodi

Alcuni utenti, specialmente quelli smanettoni, hanno altri metodi per fare i backup. Non esiste il metodo migliore di tutti, in linea di massima qualsiasi metodo va bene, purché si possano recuperare i dati in caso di perdita totale del computer da salvare.

Se ci si vuole cautelare da attacchi tipo CryptoLocker, ma anche da altre nefandezze simili, il concetto di base è di avere, oltre al backup solito, anche un backup offline fatto magari con tempi più rilassati.

In conclusione

Qualsiasi sia il metodo scelto, l’importante è che sia relativamente semplice ripristinare i dati salvati. Va, infatti, ricordato che l’unico vero scopo del backup è quello di poter eseguire con successo un ripristino.

Una buona idea è scrivere su un foglio di carta le credenziali che vengono utilizzate ed eventuali software di backup che vengono usati per eseguire le copie. In questo modo in caso di problemi un tecnico potrà assistervi in maniera più efficace.

Altra buona regola è quella di salvare su ciascun supporto utilizzato l’eventuale file ISO di ripristino creato dal software di backup, una copia del software medesimo e le eventuali chiavi di attivazione.

Da ultimo ricordatevi ogni tanto di provare il backup eseguendo il ripristino di un file qualsiasi e verificando che il file sia integro.

Autore: Luigi Rosa

Consulente IT, sviluppatore, SysAdmin, cazzaro, e, ovviamente, geek.

5 pensieri riguardo “Backup anti-ransomware”

  1. Io non tralascerei un buon uso delle policy sui client bloccando l’esecuzione di qualunque eseguibile (o dll) che non sia stato installato dall’amministratore di rete ed evitando che gli utenti abbiano diritti amministrativi sul PC a cui accedono. Dall’analisi dei log ho rilevato che in questo modo vengono bloccati molti virus non ancora rilevati dall’antivirus. Stranamente questa possibilità, da anni disponibile in ambiente Windows, viene pochissimo utilizzata a dimostrazione del generale dilettantismo degli amministratori di rete.

    1. Alcuni piccoli pensieri in merito a questa soluzione:

      1. non tutti sono in un dominio, l’howto qui sopra e’ dedicato proprio a chi non e’ in un dominio o non ha un supporto IT

      2. mi sfugge il passaggio logico che parte dall’analisi dei tuoi log e arriva alla dimostrazione del dilettantismo generale degli amministratori di rete

      3. ci sono tool tipo CryptoPrevent che fanno proprio quello che dici tu

      1. Premetto che l’accusa di dilettantismo non era rivolta a nessuno di specifico, nel caso fossi stato frainteso. Seguo diversi blog con contenuto tecnico per tenermi aggiornato ed in alcuni casi aggiungo piccoli contributi che spero siano graditi alle persone che fanno il mio mestiere.
        Ora vengo ai punti:
        1- a partire da Windows 7 è possibile definire policy locali a livello utente comprendenti anche i “criteri di restrizione software” indipendentemente dall’appartenenza ad un dominio. Io per dire ho “blindato” il mio PC di casa per l’utente standard utilizzato per accedere ad internet.
        2- una volta impostata la policy i tentativi di violazione producono un messaggio di sistema ed uno specifico evento nel registro applicazioni, da cui è possibile rilevare quante volte l’utente ha tentato, volontariamente o no, di eseguire codice non autorizzato.
        Il dilettantismo si riferisce al fatto che sono a conoscenza di molte realtà di discrete dimensioni (tra cui anche pubbliche amministrazioni) dove non esiste nessuna protezione nell’esecuzione di codice proveniente da allegati mail o scaricato da web. La protezione degli endpoint viene affidata interamente all’antivirus come se fosse onnipotente.
        Questa situazione la sento molto in quanto mi sono ritrovato ad ereditare dai miei predecessori situazioni veramente disastrose da questo punto di vista
        3- nulla in contrario sui tools, ma vanno bene per gli utenti inesperti che devono gestire il PC personale o poco più. Il sysadmin usa le policy se forniscono la funzione desiderata perché si applicano contemporaneamente a tutta la rete.

  2. Ciao Bebbe, puoi spiegarmi o indirizzarmi verso l’uso di queste policy per contrastare l’avvio di programmi indesiderati?

    1. L’argomento è ampio, ma posso provare a fare un esempio giusto per fornire un punto di partenza.
      Esempio: client Windows 7 Ita non in dominio.
      1. Accedere da amministratore
      2. Eseguire “mmc” (Microsoft management console)
      3. File>Aggiungi snap-in>Editor oggetti criteri di gruppo>Computer Locale>sfoglia>Utenti>Utenti non amministratori>Fine>OK
      4. Si apre la console per la gestione delle policy locali da applicare agli utenti non amministratori
      5. Espandere: Configurazione Utente>Impostazioni di windows>Impostazioni di sicurezza>Criteri restrizione software
      6. Dal menù contestuale: Nuovi criteri restrizione software
      7. Nella cartella “Livelli di sicurezza” dal menù contestuale selezionare “Imposta come predefinito” sulla voce “Non consentito”.
      In questo modo viene consentita l’esecuzione del solo software contenuto nelle cartelle predefinite “Programmi” e “Windows”. Questi due percorsi sono contenuti nelle chiavi di registro che dovrebbero comparire nelle due regole predefinite nella cartella “Regole aggiuntive”. Si tratta di regole di tipo “Percorso” che possono essere definite fornendo il percorso direttamente oppure come valore di una chiave di registro. Sono accettati i caratteri jolly.
      E’ possibile aggiungere delle ulteriori regole percorso per sbloccare altre cartelle. In ogni caso l’idea è che l’utente non amministratore possa eseguire solo software che si trova in cartelle per lui accessibili in sola lettura.
      8. E’ possibile rendere più restrittive le policy aprendo la voce “Imposizione” e selezionando: “Tutti i file nel software”. In questo modo si bloccano anche le dll che si trovano al di fuori dei percorsi non consentiti. Non si tratta di esagerazione perché una volta mi è capitato un virus che aggirava le restrizioni nascondendosi all’interno di dll.
      Nel caso di policy di dominio occorre partire da “gestione criteri di gruppo” e creare/collegare una policy ad una unità organizzativa, dopodiché si procede in modo analogo partendo dal punto 5.
      Per approfondimenti: https://technet.microsoft.com/library/cc728085(v=WS.10).aspx
      A partire da Windows 7 e Windows Server 2008 R2 è stata introdotta una nuova funzionalità “AppLocker” (https://technet.microsoft.com/it-it/library/dd759117.aspx) che in teoria dovrebbe sostituire “Software Restriction Policies”. Queste ultime continuano comunque a funzionare benissimo e senza modifiche anche nelle ultimissime versioni di S.O.

Spazio per un commento