Форум программистов, компьютерный форум, киберфорум
Компьютерная безопасность
Войти
Регистрация
Восстановить пароль
 
Рейтинг 4.76/29: Рейтинг темы: голосов - 29, средняя оценка - 4.76
375 / 140 / 34
Регистрация: 15.02.2019
Сообщений: 467
Записей в блоге: 1
1

Acronis true image .tib .tibx и шифровальщики

26.01.2021, 15:28. Показов 5816. Ответов 16

Доброго дня.
Ничего ужасного и срочного не случилось.

Поясните, пожалуйста, где я ошибаюсь:

1) Десятка, единственный пользователь - локальный администратор. Компьютер домашний, особых настроек с целью безопасности нет - при значимых действиях и запуске чего либо от администратора вылезает диалог контроля учётных записей, всё как у людей.
2) Акронис true image (2020-2021 обычный, или wd-seagate edition) создаёт бекапы и помещает их в файлы с расширением .tib или .tibx
3) Я (как администратор на локальном компьютере) с этими файлами не могу сделать ничего - они не переименовываются и не удаляются (требуется подтверждение от пользователя "Система", при нажатии клавиши ок - по кругу). Чем их открыть на редактирование и сохранение кроме акрониса - непонятно. Если их открыть от акрониса - будет урезанное подобие проводника где файлы из бекапа можно только открыть или скопировать (удалить, редактировать или переименовать нельзя). Могу только в оснастке дисков том удалить. Или из самого акрониса.
4) Как это сделано мне не до конца понятно - возможно запрещает запущенная служба акрониса, возможно этот файл подключён через отдельный драйвер (!) - это отдельный вопрос, если это возможно простым языком разжевать. Любопытно жеж...
Кроме того - некую отдельную службу акрониса, якобы анализирующую поведение программ в реальном времени и останавливающем подозрительные операции со множественным доступом к файлам опустим - вопрос не о ней (тоесть - я думаю, что она тут не при чём).
5) Так как шифровальщики (обобщаю - поправьте, если такое недопустимо) работают от пользователя, под которым запущены - они тоже ничего с ними сделать не смогут? "Шифрование" шифровальщика - это открытие файла, редактирование и сохранение изменений? Если я не могу этого сделать в проводнике - не сможет и оно?
6) Архивы акрониса при стандартных настройках защищены от шифровальщиков? Настолько же, насколько защищён от шифровальщиков любой файл или раздел, в котором можно отнять права на запись текущему пользователю?

И вот тут я вроде как понимаю что нигде никто не рекламирует акронис как панацею (с такими то выводами), кроме того - вижу тему человека, которому пошифровало (якобы) .tib - старая версия акрониса? Винды? Или я ошибаюсь выше где то?

Спасибо.
0
Programming
Эксперт
94731 / 64177 / 26122
Регистрация: 12.04.2006
Сообщений: 116,782
26.01.2021, 15:28
Ответы с готовыми решениями:

Помощь с архивом .Tib ( Acronis True Image Home )
Создал полный архив фильмов и игр с помощью Acronis True Image Home v 10 из под виндовса. Архив...

Acronis True Image
Здравствуйте! Подскажите какая из версий акронис тру аймег работает с фтп

Acronis true image!!!
Есть образ сервера, который был сделан в acronis true image 2010, но не известно какой версии....

Acronis True Image Home.
Господа есть вопрос по Acronis True Image Home. Я запустил режим Try&Decide, он на диске...

16
Модератор
Эксперт по компьютерным сетямЭксперт HardwareЭксперт Windows
6441 / 3276 / 409
Регистрация: 13.03.2013
Сообщений: 12,641
Записей в блоге: 7
26.01.2021, 15:34 2
Цитата Сообщение от AL_O Посмотреть сообщение
Так как шифровальщики (обобщаю - поправьте, если такое недопустимо) работают от пользователя, под которым запущены - они тоже ничего с ними сделать не смогут? "Шифрование" шифровальщика - это открытие файла, редактирование и сохранение изменений? Если я не могу этого сделать в проводнике - не сможет и оно?
Шифровальщики, подобно трояну, умеют повышать свои права в системе и работать на уровне служб, ведь системная учетная запись (по факту) ничем не защищена.
Цитата Сообщение от AL_O Посмотреть сообщение
Архивы акрониса при стандартных настройках защищены от шифровальщиков? Настолько же, насколько защищён от шифровальщиков любой файл или раздел, в котором можно отнять права на запись текущему пользователю?
Ничем они не защищены, также, как и бэкапы SQL (расширение *.bak).
Многие админы (я не исключение) при помощи батника (командного файла) стирают расширение файла, делая его безликим (лично мне это уже дважды помогло).
Цитата Сообщение от AL_O Посмотреть сообщение
И вот тут я вроде как понимаю что нигде никто не рекламирует акронис как панацею (с такими то выводами), кроме того - вижу тему человека, которому пошифровало (якобы) .tib - старая версия акрониса? Винды? Или я ошибаюсь выше где то?
Шифровальщик шифрует практически все известные расширения, особенно расширения бэкапов, а устверждения акрониса о его абсолютной безопасноти, ИМХО, ничто иное, как маркетинговый ход.
0
375 / 140 / 34
Регистрация: 15.02.2019
Сообщений: 467
Записей в блоге: 1
26.01.2021, 15:51  [ТС] 3
Цитата Сообщение от Maks Посмотреть сообщение
Шифровальщики, подобно трояну, умеют повышать свои права в системе и работать на уровне служб, ведь системная учетная запись (по факту) ничем не защищена.
Тоесть уязвимости ос имеются в виду? Которые могут находиться и закрываться. Тоесть есть более новые и более старые шифровальщики и у более старого не получится проэксплуатировать закрытую уязвимость и он пошифрует всё на что хватит прав, а на что не хватит - не пошифрует?

Добавлено через 9 минут
Паааагадите ка. Фигня которая скачивается, запускается и шифрует таким образом, что её не обнаруживает антивирусная программа не должна использовать механизмы трояна. Она должна прикинуться шлангом (обычной программой) и наворотить бед с файлами, доступными пользователю. В этом же и суть необнаружения антивирусами..?
0
Вирусоборец
16633 / 13596 / 2457
Регистрация: 08.10.2012
Сообщений: 55,107
26.01.2021, 16:34 4
Цитата Сообщение от AL_O Посмотреть сообщение
её не обнаруживает антивирусная программа
Нормальная такая программа конечно же её обнаружит, а некоторые даже умеют делать откат произведённых изменений.
Другое дело, что в последнее время злоумышленник через взлом RDP попадает в систему с правами админа, отключает антивирус и вручную запускает шифрование.
0
375 / 140 / 34
Регистрация: 15.02.2019
Сообщений: 467
Записей в блоге: 1
26.01.2021, 16:39  [ТС] 5
Цитата Сообщение от Sandor Посмотреть сообщение
запускает шифрование
которое по сути является открытием файла, внесением изменений, сохранением файла (правильно понимаю?!)... И если файл открыт (его держит служба) или недоступен на запись текущему пользователю (от которого запущено "шифрование"), то именно его зашифровать не выйдет?
0
Вирусоборец
16633 / 13596 / 2457
Регистрация: 08.10.2012
Сообщений: 55,107
26.01.2021, 16:45 6
Цитата Сообщение от AL_O Посмотреть сообщение
недоступен на запись текущему пользователю
Какому? Администратор, Система?

Цитата Сообщение от Maks Посмотреть сообщение
Шифровальщики, подобно трояну, умеют повышать свои права в системе и работать на уровне служб
0
375 / 140 / 34
Регистрация: 15.02.2019
Сообщений: 467
Записей в блоге: 1
26.01.2021, 16:49  [ТС] 7
Я правда очень стараюсь понять
Цитата Сообщение от Sandor Посмотреть сообщение
Какому? Администратор, Система?
Цитата Сообщение от AL_O Посмотреть сообщение
локальный администратор.
Цитата Сообщение от Sandor Посмотреть сообщение
умеют повышать свои права
Цитата Сообщение от AL_O Посмотреть сообщение
Тоесть уязвимости ос имеются в виду? Которые могут находиться и закрываться. Тоесть есть более новые и более старые шифровальщики и у более старого не получится проэксплуатировать закрытую уязвимость и он пошифрует всё на что хватит прав, а на что не хватит - не пошифрует?
0
Вирусоборец
16633 / 13596 / 2457
Регистрация: 08.10.2012
Сообщений: 55,107
26.01.2021, 16:52 8
Цитата Сообщение от Sandor Посмотреть сообщение
злоумышленник через взлом RDP попадает в систему с правами админа
Вы говорите об этой уязвимости?
Если у трояна или у самого злоумышленника есть права администратора, то больше ограничений никаких нет. Верно?
0
375 / 140 / 34
Регистрация: 15.02.2019
Сообщений: 467
Записей в блоге: 1
26.01.2021, 17:00  [ТС] 9
Цитата Сообщение от Sandor Посмотреть сообщение
Вы говорите об этой уязвимости?
Нет. Я не говорю об этой уязвимости - о ней вы упомянули. Я в первом посте вообще стараюсь абстрагироваться от эксплуатаций каких либо уязвимостей, потому что они вопрос изобретательности с одной стороны и скорости реакций в обновлениях безопасности с другой.

Я говорю о том что я с правами администратора не могу удалить или изменить файл бекапа НЕ из оснастки Акрониса.
Я не могу достаточно повысить свои права чтобы удалить tib. Нет у меня такой кнопки в интерфейсе в проводнике.
Я хрен его знает почему - служба, драйвер, без понятия как акронис это делает.
Может ли шифровальщик, запущенный от меня сделать это?

(максимально краткая выжимка вопроса из первого сообщения темы)
0
375 / 140 / 34
Регистрация: 15.02.2019
Сообщений: 467
Записей в блоге: 1
26.01.2021, 18:11  [ТС] 10
Окей, я даже не знаю что мне более неудобно - показывать свою некомпетентность, или тратить время умных людей впустую.
Возможно в первом сообщении мне не удалось достаточно чётко описать свой вопрос...
Поэтому я сейчас его нарисую:

1) Есть вот такая десятка с вот такими версиями обновлений безопасности:
Acronis true image .tib .tibx и шифровальщики

2) В ней есть вот такой один единственный пользователь:
Acronis true image .tib .tibx и шифровальщики

3) В установленном (по умолчанию - далее-далее-далее-готово) акронисе вот такой версии:
Acronis true image .tib .tibx и шифровальщики

4) Настроено резервное копирование тестового файла вот так и вот сюда:
Acronis true image .tib .tibx и шифровальщики

5) Я пробую удалить его из проводника и получаю логичный вопрос:
Acronis true image .tib .tibx и шифровальщики

6) После подтверждения в предыдущем диалоге я получаю чуть менее логичный вопрос (КОТОРЫЙ ПОВТОРЯЕТСЯ И НИКУДА НЕ ДАЁТ ААА!!1):
Acronis true image .tib .tibx и шифровальщики

7) Я (сырно не дура!) повторяю в командной строке от себя и от администратора (и получаю фиг):
Acronis true image .tib .tibx и шифровальщики


ВНИМАНИЕ, ВОПРОС:
Если допустить что у меня в системе начал работать шифровальщик (ну под кем же он будет запущен изначально, как ни подо мной), который попал ко мне (допустим, методами социальной инженерии) и создан РАНЬШЕ, чем даты обновлений безопасности (коряво сформулировано, но вы меня поняли) - тоесть не содержит действующих эксплойтов по повышению привилегий именно в моей системе - он не пошифрует этот архив.
ВСЁ ВЕРНО?

ПОБОЧНЫЙ ВОПРОС:
Каков механизм защиты этого файла от шаловливых ручек? Как акронис это делает? Службой открыл и держит? Или это не файл, а устройство с отдельным драйвером? Вдруг кто в курсе - интересно.
0
Вирусоборец
16633 / 13596 / 2457
Регистрация: 08.10.2012
Сообщений: 55,107
26.01.2021, 20:48 11
Цитата Сообщение от AL_O Посмотреть сообщение
ВСЁ ВЕРНО?
Да. Но всё же самый верный способ защиты - резервное копирование в физически другое место, куда у злоумышленника опять же физически не будет доступа.
1
375 / 140 / 34
Регистрация: 15.02.2019
Сообщений: 467
Записей в блоге: 1
26.01.2021, 21:15  [ТС] 12
Цитата Сообщение от AL_O Посмотреть сообщение
ПОБОЧНЫЙ ВОПРОС:
Каков механизм защиты этого файла от шаловливых ручек? Как акронис это делает? Службой открыл и держит?
Ну кстати походу да - файл спокойно удалился если службу отключить. Поди держит постоянно, вот и вся хитрость. Любопытный момент - она отключается только из самого акрониса. Из системной оснастки отключить её я не могу - не хватает прав. Значит возможно, шифровальщику понадобится не только действующий эксплойт, повышающий права но ещё и заточенность под акронис - надо понять что определённую службу надо отключить и отключить её, да? Или возможно запрограммировать поведение, которое при ошибке доступа выясняет какая именно служба держит файл и, с системными привилегиями закрыв её, повторить попытку шифрования?
Acronis true image .tib .tibx и шифровальщики
0
Вирусоборец
16633 / 13596 / 2457
Регистрация: 08.10.2012
Сообщений: 55,107
27.01.2021, 09:12 13
Будьте осторожны: как тут уже недавно упоминали, грань между обсуждением способов защиты и способов взлома очень тонка. При этом можно нарушить п.5.7 правил форума.
В вашем случае Акронис установлен в системе. Но часто его образы создаются с помощью загрузочной флешки или копируются на другой компьютер. Тогда доступ к такому файлу получает даже обычный пользователь.
1
AL_O
27.01.2021, 10:05  [ТС]
  #14

Не по теме:

Цитата Сообщение от Sandor Посмотреть сообщение
грань между обсуждением способов защиты и способов взлома очень тонка.
Понимаю. Наверное... Надеюсь было видно что я искренне пытаюсь восполнить пробел в знаниях, который раздражает.
Акронис просто способ. Можно просто файл закрыть на запись руками или том размонтировать. Было интересно работают ли шифровальщики с помощью некой магии (я же понимаю что могу многого не знать), или это тупо открытие, редактирование и сохранение с соответствующими правами.

0
Maks
27.01.2021, 14:01
  #15

Не по теме:

Цитата Сообщение от AL_O Посмотреть сообщение
Было интересно работают ли шифровальщики с помощью некой магии (я же понимаю что могу многого не знать), или это тупо открытие, редактирование и сохранение с соответствующими правами.
В Windows есть главная уязвимость, в виде учетной записи "NT AUTHORITY\SYSTEM".
Полагаю, что именно от ее имени шифровальщик запускает скрипт, который наделяет вирус необходимыми правами и далее ведет сканирование системы на предмет знакомых ему расширений и шифрует файлы.
Я, конечно, не проверял, но скорее всего Акронис вряд ли поможет защитить данные от этого вируса, ибо он также использует для своих файлов учетные записи Windows, которые вирусы научились обходить уже достаточно давно.
А знания нужно развивать в сторону защиты данных, а не эффективностью использования стороннего инструментария.
На сегодняшний день самая эффективная защита данных это копирование таковых в недоступное по сети место, т.е. например, копируете файлы на какое-нибудь сетевое хранилище, а потом средствами этого хранилища убираются данные в недоступную по сети область.

0
375 / 140 / 34
Регистрация: 15.02.2019
Сообщений: 467
Записей в блоге: 1
27.01.2021, 14:36  [ТС] 16
Цитата Сообщение от Maks Посмотреть сообщение
"NT AUTHORITY\SYSTEM".
Я медленно открываю консоль, в консоли даю psexec'у задачу открыть консоль от системы, в открывшейся консоли от системы я медленно проверяю система ли я и немедленно даю задачу удалить файл.
Acronis true image .tib .tibx и шифровальщики

Отказано в доступе, потому что служба акрониса держит файл.
Я не допускаю глупых ошибок, неправильно запуская консоль от неправильного пользователя и давая неправильную команду на удаление?
Цитата Сообщение от Maks Посмотреть сообщение
которые вирусы научились обходить уже достаточно давно.
И которые принципиально не фиксятся в новых версиях? Я уже в который раз пишу что хочу в рамках данной темы абстрагироваться от уязвимостей, потому что мне не хватает знаний чтобы рассуждать, а вам терпения чтобы мне это втолковать

Не по теме:

Maks, если вам хоть на секунду показалось что я лично считаю что либо панацеей от чего либо, недооцениваю важность резервного копирования или угрозы шифровальщиков и не слушаю ваших рекоммендаций - это далеко не так. Я очень ценю ваши советы и благодарю за них и за ваше время. Просто я в рамках данной темы стараюсь понять всего один непонятный мне технический момент. И не более того.

0
0 / 0 / 0
Регистрация: 30.03.2021
Сообщений: 1
30.03.2021, 16:12 17
Долбаная защита Acronis Active Protection!
Я неделю убил, не понимая, почему не могу с переместить образ .tib с одного винта на другой с помощью Ctrl+X Ctrl+V, исходный файл заблокирован от удаления!
Причем интересно, если просто скопировать .tib на второй винт, то и там копия .tib блокируется намертво даже после перезагрузки компа
Сколько раз скопируешь - столько заблокированных файлов получишь. Красота.
Уже всё попробовал, думал с правами NTFS мутки, сбрасывал по всякому, менял владельцев папок.
Чуть винду не переустановил от отчаяния
И вот чисто интуитивно зашел в Acronis True Image, отрубил Acronis Active Protection и все .tib поудалял.
Очень интересная защита (нет).

Автору такие мысли подброшу, по теме безопасности, кто и как блочит:
1) При попытке удаления в FAR Manager чуть больше инфы дает - заблокировано дескриптором PID: 0
2) Есть путь простого удаления - freeware программка https://ru.iobit.com/iobit-unlocker.php
Спокойно разблочивает и удаляет .tib.
Тут закрадываются мысли об искомой защите - а если шифровальщик сделает такой-же Unlock ?
0
IT_Exp
Эксперт
87844 / 49110 / 22898
Регистрация: 17.06.2006
Сообщений: 92,604
30.03.2021, 16:12

Не загружается Acronis True Image
Всем привет. Подскажите ПЖ почему не загружается АКРОНИС, выдает какие-то надписи

Acronis True Image WD Edition
Пытался поставить Acronis True Image WD Edition. Не получилось. У меня Windows XP Prof x32 SP3....

Acronis True Image Home
я хочу сделать образ винды,диска ц кароче где и стоит у меня винда, у меня на ноуте три...

Acronis True Image Home 2009...
Доброй всем ночи. Уменя к Вам такой вопрос: С помощью Акрониса я создал резервную копию винды в...

Acronis True Image процесс восстановления ?
Здравствуйте. Мне для проверки системы необходимо сделать бекап ос, сейчас использую wn xp хочу...

Вопросы по Acronis True Image 2009
Всем доброго времени суток. Никогда до этого не пользовался программами создающими образ дисков...


Искать еще темы с ответами

Или воспользуйтесь поиском по форуму:
17
Ответ Создать тему
Опции темы

КиберФорум - форум программистов, компьютерный форум, программирование
Powered by vBulletin® Version 3.8.9
Copyright ©2000 - 2021, vBulletin Solutions, Inc.