Ransomware e backup


Dopo quasi dieci anni durante i quali i vari tipi di malware non distruggevano i dati, il ransomware ha riportato in auge un vecchio tema di lotta contro i vari tipi di malware.

Il ransomware è quel tipo di software ostile che blocca in qualche modo l’accesso ai file degli utenti per chiedere poi un riscatto (ransom).

Lo scorso anno CryptoLocker è diventato relativamente famoso e in quattro mesi di vita ha già fatto moltissime vittime. Negli ultimi giorni è stato annunciato Prison Locker (originale su Pastebin), un nuovo tipo di ransomware che cripta ogni tipo di file accessibile di un’installazione Windows, con l’eccezione degli eseguibili e dei file di sistema.

Questa nuova famiglia di malware impone una revisione delle politiche di backup.

La proliferazione di NAS e storage removibili a basso prezzo ha provocato negli ultimi anni un mutamento delle strategie di backup. Dal privato fino anche alla media azienda i backup (quando vengono fatti…) sono spesso realizzati copiando i dati dallo storage di produzione (disco locale, server) ad uno storage rimovibile connesso direttamente (USB o similari) oppure ad uno o più NAS dislocati anche in punti lontani dallo storage da proteggere.

Il fattore che accomuna tutte queste strategie è che sia i dati sia i backup sono online, ovvero leggibili e scrivibili a livello di accesso file dal computer che viene protetto. In altre parole, dal computer l’utente può scegliere di aprire sia il file di lavoro sia il backup. In alcuni casi l’accesso è limitato ad alcune finestre temporali perché la procedura di backup monta i dischi di rete solamente durante le operazioni, ma in quel momento i dati nello storage di backup sono accessibili e, ovviamente, scrivibili da un PC.

Se questa strategia di backup è molto efficiente anche per il ripristino dei dati (un utente può essere istruito su come fare un restore per conto proprio), è vulnerabile ad un attacco di ransomware. Quando questo tipo di software ostile si installa in un computer inizia a cifrare i file presenti sul disco locale e poi passa ai dischi di rete. Spesso le persone lasciano il computer acceso, in questo caso un computer infetto ha tutto il tempo di fare il danno che vuole.

L’unica soluzione è tornare ad avere una politica di backup che includa uno storage offline e, quindi, un intervento umano. I NAS avevano abituato bene le persone pigre che vogliono automatizzare tutto a costi addizionali prossimi a zero; purtroppo questo genere di automatismi ha un pericoloso rovescio della medaglia. La buona notizia rispetto ai vecchi DAT a 4mm è che è molto più probabile riuscire a rileggere i dati salvati su un hard disk.

Molti NAS possono automatizzare la sincronizzazione di una parte dei dati su uno storage esterno collegato via USB oppure con un altro NAS, altri NAS hanno un’opzione che avvia la sincronizzazione tramite la pressione di un tasto fisico.

L’importante è comunque avere almeno due set di backup offline, ovvero eseguiti periodicamente (una volta la settimana, ad esempio) su dispositivi che rimangono normalmente spenti e sconnessi dalla rete (meglio se collocati in luoghi diversi, ma questo non influisce sulla protezione da ransomware).

Chi utilizza servizi di backup online potrebbe essere tutelato dall’accesso diretto del malware ai backup, ma potrebbe rischiare di aggiornare il backup con le versioni cifrate dei file. Alcuni servizi online garantiscono un certo storico dei file, ma potrebbe non essere una bella idea affidarsi solamente a questa caratteristica del servizio.

Per quello che si sa fin’ora, i dati a rischio sono quelli accessibili tramite dischi di rete di Windows montati con varie tecnologie, in pratica i file che vedete da File Explorer. I ransomware non riescono per ora a modificare direttamente i file di rete accessibili con tecniche diverse, come rsync o altri protocolli, ma rimane il problema analogo a quello descritto per i backup su servizi online.


19 risposte a “Ransomware e backup”

  1. Come sempre Articoli molto interessanti 🙂

    Mi pare di capire che questo virus non riesce ad accedere al NAS con percorsi tipo:
    \\NOME_DEL_NAS\CARTELLA_BACKUP
    ma solo se a questo percorso viene associata una lettera. Giusto?

    Se però c’è un collegamento nella barra laterale dei preferiti che punta al percorso del NAS?

    • SEMBRA che PER ORA CryptoLocker enumeri le lettere dei dischi e non vada via UNC

      Io non scommetterei nemmeno un caffe’ che le nuove versioni di ransomware enumerino gli host su una LAN e inizino a fare connessioni in giro (immagina cosa succede se uno con i privilegi di Administrator si becca un trojan del genere). Tieni anche presente che tutte le chiavi di registro *MRU* ti dicono i file o i path usati piu’ di recente, quindi spazzolarsi quelle chiavi per cercare UNC di rete e’ un attimo.

      Allo stato attuale, per avere un minimo di sicurezza deve valere la regola che se e’ spento e staccato non e’ infettabile.

  2. OK, se è spento/staccato non è infettabile. Ma nemmeno utilizzabile. A quel punto non ha senso avere un NAS, accessibile anche da casa o cellulare con QSYNC etc.

    Una soluzione potrebbe essere, per la cartella di BackUp, avere un utente e password specifici, da assegnare al software di BackUp, e non accessibile all’utente normale. Ora vedo cosa posso fare con il Software che uso io (Cobian BackUp).

  3. Una soluzione per chi puo` permettersi di spendere due lire (non molto piu` di quanto non costi un NAS decente, a dire il vero) e` installare un piccolo server (hp microserver, o anche un semplice PC) con Linux e BackupPC. BackupPC gestisce i backup in “pull”, quindi e` il server di backup (non accessibile direttamente, e qui sta a voi scegliere le politiche di sicurezza) che si connette ai vari sistemi da backuppare, e non il contrario. In questo modo il malware non puo` fare alcuna azione sui files backuppati. BackupPC gestisce anche la deduplicazione e la storicizzazione dei dati, e accede ai dati via ssh, rsync, tar, smb.

    • Anche a me la soluzione del BackUp Pull è piace.

      L’idea del Microserver HP su cui installare NAS4FREE o cmq un Linux server, era in effetti una idea alternativa al QNAP TS220 che ho preso. Ho scelto il QNAP perché meno caro e consumava di meno.
      Sicuramente di potenza inferiore rispetto ad un Microserver, ma più che sufficiente per le mie esigenze.

      E’ probabile però, dato che il TS-220 è basato su Linux, si possa fare qualcosa.

      • Non e’ “probabile”, e’ certo che sia un Linux adattato 🙂
        L’accesso ssh o telnet lo abilita tranquillamente da pannello; io ci ho fatto un po’ di cose in shell, tra cui montare dischi remoti e lanciare copie (che e’ il metodo piu’ veloce per trasferire dati bulk) o cambiare permission o altre cosettine.

        • Si si… lo so che è un Linux 🙂
          SSH già abilitato e usato diverse volte 😉

          Il probabile era riferito al fatto che “si potessa fare qualcosa” 😛

      • Non so se esista backuppc come pacchetto per nas4free o altro, io uso una Debian normalissima con backuppc (e samba, e mail, e altri mille servizi). Ah, backuppc e` avido di ram se si usa rsync su file system grandi (con molti files), e consiglio di usare XFS per storare i dati di backuppc in quanto fa un sacco (un sacco davvero) di hard link.

  4. scusate ma crittare tutti i files di un pc non è un’operazione di 5 minuti… possibile che nessun utente abbia mai avuto problemi nell’aprire, a “lavori in corso”, un file già compromesso ?
    mi viene da pensare che durante la fare di crittazione il virus decritti “on the fly” i file che l’utente cerca di aprire, per nascondere la sua attività fino a che questa non sia conclusa…. e che quindi il virus stesso contenga, oltre alla chiave per chiudere, anche la chiare per aprire
    che gli addetti ai lavori diano un’occhiata please

    • Ho visto solamente un CriptoLocker all’opera.
      Qullo che faceva la variante che ho visto io era di bloccare l’interazione dell’utente (Alt-Tab, richiamo del task manager, eccetera) e contemporaneamente crittare tutto quello che trovava su disco.
      Ogni volta che veniva riavviato il PC CriptLocker ripartiva da dov’era rimasto.

      Quella versione era facilmente rimovibile partendo in Safe Mode e facendo girare ComboFix.

Rispondi a Luigi Rosa Annulla risposta

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *