Я хочу защитить файловый сервер Windows от Locky или других программ-вымогателей. Поэтому я уже создал правило на сервере, чтобы останавливать файловый сервер всякий раз, когда кто-то пытается создать .locky etc.pp. файл.
Но парни, которые создают эти трояны, не глупы и просто используют новые файловые расширения, поэтому идея состоит в том, чтобы останавливать файловый сервер, когда происходит массовая запись и удаление файлов, потому что программа-вымогатель берет файл, шифрует его, сохраняет как новый файл и удалите старый файл. Такое поведение типично для программ-вымогателей и должно быть замечено.
Поэтому у меня есть машина Linux, на которой файловый сервер Windows установлен в / mnt / foo.
Но теперь возникает проблема: как я могу постоянно сканировать эту папку на предмет массовых операций записи / удаления файлов?
надеюсь, ты сможешь помочь;)
Это похоже на то, что вам нужно для написания собственного программного обеспечения, чтобы выполнять итерацию по файлам и делать заметки, когда что-то меняется (появляются или исчезают файлы). Если количество изменений с течением времени превышает среднее использование на некоторый порог, примите меры.
Однако с этим могут возникнуть серьезные проблемы. Например, предположим, что я пользователь вашей системы, и я копирую папку с большим количеством файлов для самой новой версии какой-либо программы. Затем я удаляю старую версию, которую ранее скопировал на сервер, и я заблокирован, потому что я только что выполнил массовую запись и удаление файлов. Нет хорошего способа различить это использование.
Итак, мы подошли к основному вопросу: «Как лучше всего защитить файловый сервер Windows от программ-вымогателей?» и ответ действительно прост. Хорошие бэкапы. Поскольку у вас уже есть данные, которые вы хотите защитить, смонтированные на этой Linux-машине, я бы сделал там резервные копии. Ограничьте доступ к серверу резервного копирования и не просматривайте веб-страницы на нем. Если и когда что-то пойдет не так, просто вернитесь к резервной копии, где что-то не так.