Podstawową metodą obrony przed złośliwym oprogramowaniem jest ostrożność i rozsądne użytkowanie komputera (regularne aktualizowanie oprogramowania, nieotwieranie nie budzących zaufania wiadomości, nieodwiedzanie podejrzanych witryn internetowych itp.). Ponieważ to jednak tylko minimalizowanie ryzyka, należy pamiętać o tworzeniu kopii zapasowych danych.

Prostym i efektywnym rozwiązaniem do backupu oraz przywracania plików jest serwer QNAP NAS z linuksowym systemem operacyjnym QTS, bezpieczniejszym od bardziej narażonych na ataki systemów z rodziny Windows. Serwer został wyposażony w bezpłatny mechanizm migawek, które rejestrują metadane poza systemem plików i umożliwiają zachowywanie oraz przywracanie różnych wersji konkretnego pliku, folderu, a nawet całego woluminu. W razie ataku ransomware’u lub wystąpienia nieoczekiwanego zdarzenia w systemie można przywrócić wcześniejszy stan danych zarejestrowany w migawce.

Dzięki temu, że funkcja migawek w serwerach QNAP bazuje na blokach danych, możliwe jest tworzenie przyrostowych kopii zapasowych, co zapewnia oszczędność miejsca. Zapisywanie tylko wprowadzonych zmian skraca też do kilku minut czas tworzenia kopii zapasowych i przywracania danych. Zabezpieczone dane można także skopiować na inny serwer QNAP NAS, aby uzyskać dodatkowe zabezpieczenie. Użytkownicy systemu Windows dzięki migawkom mogą przywracać pliki bezpośrednio z Eksploratora Windows (przez kliknięcie prawym przyciskiem myszy), co eliminuje konieczność angażowania w ten proces administratorów IT.

Serwery QNAP NAS zapewniają tworzenie 1024 migawek. Mechanizm ten wprowadzono  w następujących urządzeniach: TS-X51 (maks. 256 migawek), TS-X53, TVS-X63, TVS-X70, TVS-X71, TVS-X73, TVS-X79, TVS-X80, TVS-X82, TES-X85 oraz TDS-X89. Korzystanie z tej funkcji wymaga co najmniej 4 GB pamięci RAM zainstalowanej w serwerze.

Migawki całego woluminu mogą być wykonywane automatycznie przed utworzeniem kopii zapasowej za pomocą funkcji RTRR lub rsync, nawet kiedy zawiera on otwarte pliki. Wbudowane w QTS narzędzia ułatwiają też tworzenie spójnych migawek z serwerów Microsoft VSS i VMware vSphere.

Przywracanie plików przy użyciu migawek

Inżynierowie QNAP przeprowadzili symulację ataku ransomware i potwierdzili, że działanie według następującego schematu umożliwia odzyskanie danych przy użyciu migawek.

1. Zalecane jest tworzenie regularnych kopii zapasowych na serwerze NAS (za pomocą QNAP NetBak Replicator lub innego narzędzia) z kont użytkowników mających ograniczone prawa dostępu. Natomiast funkcja migawek powinna być skonfigurowana z konta administratora.

2. Po zaobserwowaniu działania oprogramowania ransomware lub otrzymaniu komunikatu z żądaniem okupu należy niezwłocznie odłączyć zainfekowany komputer od Internetu i od serwera NAS. Jeśli jest to możliwe, trzeba  odłączyć także kabel sieciowy od serwera NAS, aby zapobiec rozprzestrzenianiu się złośliwego kodu.

3. Jeżeli w serwerze NAS znajduje się gniazdo HDMI, można podłączyć mysz, klawiaturę oraz monitor i uzyskać dostęp do serwera za pomocą  HD Station. Natomiast jeśli serwer nie ma wyjścia HDMI, podczas łączenia się z nim należy dopilnować, aby komputer nie łączył się z żadnymi zakażonymi folderami współużytkowanymi przed przywróceniem migawki.

4. W menu „Menager pamięci” należy wybrać pozycję „Manager kopii migawkowych” i wyświetlić listę migawek.

5. Po wybraniu migawki zrobionej przed atakiem ransomware’u należy usunąć wszystkie pliki z zainfekowanego folderu, a następnie przywrócić je za pomocą  migawki. W efekcie pliki zostaną przywrócone w postaci niezaszyfrowanej.

Dodatkowe informacje:

Grzegorz Bielawski, Country Manager, QNAP, gbielawski@qnap.com

Artykuł powstał we współpracy z firmą QNAP.