Og så sørg for at købe dig et godt antivirus. Da jeg i anden tråd nævnte at jeg havde købt i forbindelse med Black Friday, så blev der rynket på næsen, at man brugte penge på det, etc.

Sørg for en ordentlig backup i fremtiden.

(Ked af, at det kan lyde lidt hårdt)

Helt uenig. Man må aldrig betale til den slags banditter.

Flemming

Det dumme opstår når man ikke passer på. 

Og suppler evt med en stærk firewall før router. Anvender selv en mikropc med PFSense som router og firewall. Den blokerer langt det meste og opdaterer to gange daglige med forskellige offentlige trusselslister. Desuden er der realtime antivirusscan på alle filer ind og ud. Download blokeres ved inficeret fil. 

Derudover skal du have en backup med versionsstyring, så du har fere versioner af dine filer.

Det er værd at bemærke, at de nede i artiklen skriver, at selvom folk har betalt, så har de ikke fået dekrypteret deres filer. 

Muligvis er du slet ikke inficeret med noget, men har har givet adgang til dit netværk via nogle åbne porte, hvorved krypteringen har kunne foregår - det gør det så også svært at finde en måde at bryde krypteringen, når der ikke er nogen eksekverbar fil på computeren :

https://www.bleepingcomputer.com/forums/t/708119/nyton-ransomware-nyton-support-topic/page-5" rel="nofollow - https://www.bleepingcomputer.com/forums/t/708119/nyton-ransomware-nyton-support-topic/page-5

Uden at kende til denne, er der måske en redning:

https://adware.guru/remove-nyton-virus/" rel="nofollow - https://adware.guru/remove-nyton-virus/

Ellers virker den til at være rimmeligt ny, så er det måske altid en ide at afvente og se hvad der dukker op af redninger

men en backup der er et halvt år gammel, er det så ikke bare og tage det som en lærestreg og komme videre i livet?

Få opsat dine ting korrekt..

hvordan dælen formår du at få inficeret din nas samtidig med du ikke engang har en backup du kan gøre brug af?

Tag en backup af alt på NAS til en ekstern harddisk, før du giver dig til at rydde op.  Det kan jo være at der kommer en løsning engang, så du kan redde dine filer.

Mit råd er:

1) Tag både PC og NAS fra netværket, så de bliver isoleret fra omverden og hinanden.

2) Hvis du har DATAfiler på PC'en du vil redde, så kopier dem til ekstern harddisk, også selv om de er NYTON-ramt.

Eller endnu bedre: tag harddisken ud og gem den, og køb en ny harddisk til PC'en.

3) Brug NAS til at kopiere alle datafiler fra NAS til ekstern harddisk.

4) Installér en frisk Windows på en ny eller totalslettet harddisk på PC'en.  Du kan hente installationsfiler på https://www.microsoft.com/en-us/software-download/windows10ISO" rel="nofollow - https://www.microsoft.com/en-us/software-download/windows10ISO

5) Slet NAS'ens diske og geninstallér NAS'ens operativsystem fra frisk.

6) Sæt NAS op til kun at acceptere connect fra lokalt net.

7) Læg backup ind på NAS

Hvis du synes det er pengene værd at forsøge, kan du betale løsesummen.  Hvis du får en dekrypteringsnøgle, så kan du tage den ny HD ud af PC'en og bruge den gamle NYTON-inficerede til at dekryptere EN KOPI af dine krypterede datafiler. 

Kan du fremtrylle en guide til at lave sådan en firewall?

Jeg vil gerne lave sådan en maskine til mig selv.

Nogle gode specs, eller kan en Raspberry Pi 3B+ klare det?

guldhammer skrev: dr_schlemer skrev: PerW skrev: Betal (Og håb at de vil låse dine filer op igen) eller lev med den gamle Backup. Og så sørg for at købe dig et godt antivirus. Da jeg i anden tråd nævnte at jeg havde købt i forbindelse med Black Friday, så blev der rynket på næsen, at man brugte penge på det, etc. Sørg for en ordentlig backup i fremtiden. (Ked af, at det kan lyde lidt hårdt) Og suppler evt med en stærk firewall før router. Anvender selv en mikropc med PFSense som router og firewall. Den blokerer langt det meste og opdaterer to gange daglige med forskellige offentlige trusselslister. Desuden er der realtime antivirusscan på alle filer ind og ud. Download blokeres ved inficeret fil.  Kan du fremtrylle en guide til at lave sådan en firewall? Jeg vil gerne lave sådan en maskine til mig selv. Nogle gode specs, eller kan en Raspberry Pi 3B+ klare det?

Man finder en ældre PC (evt. med AES-NI krypteringsunderstøttelse i CPU'en - så er den fremtidssikret), med to stk gigabit-porte (meget gerne intel), en lille SSD (>40GB) og 4GB ram og installerer PFSense, som er freeware OS/firewall/router software i én opsætning. Anvend dog gerne en PC med et meget lille strømforbrug :-)

https://www.pfsense.org/" rel="nofollow - https://www.pfsense.org/

https://www.tecmint.com/installation-and-configuration-of-pfsense-firewall-router/" rel="nofollow - https://www.tecmint.com/installation-and-configuration-of-pfsense-firewall-router/

https://blog.monstermuffin.org/pfsense-guide-nat-firewall-rules-networking-101/" rel="nofollow - https://blog.monstermuffin.org/pfsense-guide-nat-firewall-rules-networking-101/

Jeg anvender selv sådan en Lenovo Thinkcentre med en i5 2400s CPU, ekstern PSU og i uSFF-format:

https://www.refurb.dk/b/lenovo-thinkcentre-m91p-usff" rel="nofollow - https://www.refurb.dk/b/lenovo-thinkcentre-m91p-usff

med en sådan installeret:

https://www.pricerunner.dk/pl/117-504711/Netvaerkskort-og-traadloese-adaptere/Intel-PRO-1000-GT-Desktop-Adaptor-%28PWLA8391GTBLK%29-Sammenlign-Priser" rel="nofollow - https://www.pricerunner.dk/pl/117-504711/Netvaerkskort-og-traadloese-adaptere/Intel-PRO-1000-GT-Desktop-Adaptor-(PWLA8391GTBLK)-Sammenlign-Priser

Det fungerer perfekt og kan sagtens klare input/output på selv meget hurtig fiberbredbånd og belastet netværk. Den bruger ca. 28W - hvilket er en anelse højt; men PC'en var billig. Min Asus RT-AC68U føles som uendelig langsom router sammenlignet med denne opsætning og har endt sine dage som "accespoint" 

I PFSense kan man installere forskellige apps eller "packages", som man så sætter op. Umiddelbart kan det godt se lidt teknisk ud; men det er nemt at anvende - og man kan nemt lave en hel backup af opsætningen i én fil - som man kan falde tilbage på, hvis noget ikke virker.

Packages, som jeg bl.a. anvender er:

* pfBlockerNG

PFBlockerNG er så sat op til nogle "feeds", som er offentlige ban-lister. Jeg abonnerer på en stribe "feeds", som så er samlet i kategorierne "Malware", "Advertisements", "Cryptojackers" og "Phishing". Maskinen opdateres ift. feedsene to gange dagligt.

Antivirus, der kører gennem "Squid Proxy Server", opdateres én gang dagligt ift. "ClamAV Database".

En raspberry fungerer ikke - der skal en x86/AMD64 processor til - hvis det skal fungere godt og stærkt.

for den Lanner FW er ikke til at finde ret mange af, og dem på Ebay gider ike sende til DK.

den har en Intel@ J4105 cpu, men man kan ikke sætte en ssd disk til.

Ethernet-portene er dog Realtek og ikke Intel ( Realtek RTL8111/8168/8411 PCI Express Gigabit Ethernet ). Intel er mere stabilt og med bedre kompatibilitet.

Et alternativ kunne være:

https://www.minipc.de/catalog/il/2070" rel="nofollow - https://www.minipc.de/catalog/il/2070

CPU har en AES-NI understøttelse:

https://ark.intel.com/content/www/us/en/ark/products/91831/intel-celeron-processor-n3160-2m-cache-up-to-2-24-ghz.html" rel="nofollow - https://ark.intel.com/content/www/us/en/ark/products/91831/intel-celeron-processor-n3160-2m-cache-up-to-2-24-ghz.html

Og netværkskortene er 2 x Intel I211-AT PCI-E Gigabit LAN.

http://www.jetwaycomputer.com/JBC313U591.html" rel="nofollow - http://www.jetwaycomputer.com/JBC313U591.html

Skal det være billigt og brugt har jeg som sagt en FW-7535F liggende...

Hvad skal den FW-7535F koste?

Ellers tror jeg at jeg vil prøve at gå efter en Odroid H2.

Jeg tvivler stærkt på at din maskine kun bruger 28 watt. ClamAV fanger langt fra alle virus og mange exploit er 0-dages sårbarheder som henter payload krypteret.

Det er en fin løsning med pfsense, men havde måske ikke beskyttet trådstarter imod inficering.

En god hurtig router med opdateringer og uPNP slået fra vil beskytte de fleste hjem lige så godt udefra, hvis man holder sig fra at åbne alle porte og gøre den hullet som en si.

Jeg gætter på at inficeringen er sket via en ikke opdateret NAS på en åben port igennem router.

F-Protect er et fint antivirus program, som jeg ikke vil være nervør for at anbefale. Selvom jeg  selv sværger til Bitdefender og Kaspersly.

Sørg for at slette NAS og dens styresystem først, hvis du ved at det er NAS. Ellers så sørg for at Windows maskinen er ren med nyt OS, hvis du er det mindste i tvivl.

Jeg ville dog aldrig betale de kriminelle.

2) PFsense blokerer jo netop kommunikationen til kendte skumle adresser og portscannere jvf de feeds med ip-Ban-lister man sync’er. PFsense gør også at man ofte ikke bliver “fundet” af portscannere. Ad-blokering gør at der ikke er reklamer på hjemmesider, når man browser. Dette er rigeligt til langt de fleste. Ellers kan man køre med surricata eller en anden deep-package-inspection software. Det har jeg ikke haft lejlighed (=tid) til at lege med. 

3) En ubeskyttet NAS direkte på nettet er at bede om problemer. Min gamle qnap 410 blev udsat for ca 500-1000 angreb i timen i 2010, da jeg bare lige koblede den op. Løsningen kunne være noget krypteret vpn, som pfsense også er stærk på. 

Mit spørgsmål her:

 Ville en Ubiqiti USG kunne have forhindret dette?

Hvis man åbner porte udefra og ind til sårbare enheder eller tillader uPNP, så vil den ikke beskytte dig.

Det som beskytter er godt udstyr, sund fornuft og gode rutiner.

En vpn som der skrives om ville have forhindret dette, hvis inficeringen kom igennem en ubeskyttet nas fra internettet.

Klaus

Medmindre at routeren gør opmærksom på, at filen der hentes er inficeret. Det er jo netop det ClamAV og realtime-antivirus i PFsense gør.

Klaus

Jeg mener ikke at det er en dårlig løsning, men det kræver at der god detection og her er Clam ikke førende.

Det meste skadelige payload kommer desværre igennem SSL og her kan de fleste proxy firewalls som pfsense ikke scanne.

Det kræver next gen application firewall eller en god antivirus med SSL decryption.

Men 2 antivirus er altid bedre end 1, hvis det ikke er på samme enhed. Så jeg vil ikke fraråde pfsense, men der er mange andre steder jeg ville sætte ind først.

F.eks. god antivirus og ikke have åbne porte fra ydersiden. Samt undervisning hvis man er flere i husstanden som er mindre computer kyndige.

Den bedste antivirus eller firewall stopper ikke nogen i at sende et billede af sit NemID videre.

Houristisk scanning er blevet meget bedre og AI samt cloud collaboration ved application kørsel gør at antivius sætter ukendte programmer på en måske liste og giver færre tilladelser.

De fleste har også anti ransomware som beskytter imod skrivning i filområder af ikke forud godkendte programmer etc.

Selvfølgelig er det altid bedst at have en signatur, men de fleste virus er en modificering af eksisterende kode og genkendes ofte.

Helt enig. Vigtigt med viden og fornuftigt brug samt en ekstra opdateret antivirus/antimalware på den enkelte maskine. 

Med børn i huset er det dog også rart at kunne begrænse content i nogen grad. 

Hvad tænker du om “Snort” og “Surricata”?

Surricata har jeg ikke rodet med. . .

Benytter en next gen på arbejdet som scanner SSL og har IPS, men det er også i en helt andren prisklasse

De kan have kammerater på besøg som får udleveret wifi password. Det kan også være at de gør ting som man siger de ikke må. Man lærer jo af sine fejl, men du ønsker jo ikke at deres oplæring skal smadre dit netværk.

https://www.glob.com.au/kidsmenu/" rel="nofollow - https://www.glob.com.au/kidsmenu/

Kunsten er at vælge en balance mellem "Sikkerhed" og "Drift" - uden "falske" alerts eller blocks.

Den bedste antivirus er nu engang sund fornuft.

Desværre er vi nået dertil hvor at det snart er svært at beskytte sig som alm. forbruger.

Start med at bruge nogle gode adgangskoder, og overvej om du virkelig har behov for at have din NAS server på nettet.

Har du det behov, og har du ikke mulighed for at bruge en VPN,
så prøv om du ikke har mulighed for at begrænse hvilke IP adresser som skal have adgang, sørg for at kryptere forbindelsen, og sørg for at din NAS server ALTID er opdateret.

Har du vigtige data, så hav en backup på en USB harddisk eller en anden NAS hos en kamerat eller forældre osv. (og ikke noget med automatisk backup)

Lokalt på dit eget netværk skal man også passe på, start med at begrænse hvilke IP adresser som skal kunne tilgå din NAS, og dit windows share på din PC.

Lad hver med at "mappe" dit NAS til et permanent drev på din PC, men åben kun forbindelsen når du skal kopiere filer frem og tilbage, og kopier gerne filer via web browseren, og ikke som et netværksdrev.

evt. hav flere shares, så du ikke tilgår alt på din NAS, bare fordi du skal ind i en undermappe af en undermappe af en undermappe for at kopiere en fil.

Som andre har været inde på, har man børn, har du så styr på deres mobil og deres computer?

Har de venner som kommer på besøg, har DU venner som kommer på besøg og logger på dit netværk?

Har du cloud produkter (HUE, Tado osv.) som er notorisk berygtede for ringe sikkerhed,

er de på samme netværk som resten af dine enheder (og din NAS)?

Alt sammen er en risiko for din data.

Overvej også hvilke porte du åbner til din NAS udefra (eller til hvilket som helst andet udstyr)

En god antivirus beskytter dig måske et godt stykke hen af vejen (personligt bruger jeg windows defender),

men det er nok vigtigere med en god firewall, og her tænker jeg ikke at du skal gå ud og købe en firewall til 5-10.000, men måske bare en unifi USG til omkring 800.- dertil får du behov for en switch og et access point, det kan samlet fåes til omkring 2500-3000.- (Det hele i Unifi)

Her får du et stærkere netværk, med noget af markedets bedste trådløse netværk, og noget udstyr som ikke skal genstartes en gang om ugen som nogle andre produkter skal.

Den skal ikke beskytte dig direkte mod det 'farlige' internet, men nærmere til at segmentere dit netværk, så du får cloud enheder væk fra din eget netværk, din NAS over på sit eget lille netværk, og gæster over på et gæstenetværk.

Har du behov for at port forwarde til din NAS osv. så giver en god router/firewall dig mulighed for at begrænse hvilke IP adresser som skal kunne tilgå den osv.

Dette er den bedste og sikreste måde at sikre dit netværk.

og det samme gør sig gældende for en next gen firewall, som i bund og grund er et buzzord.

Det meste trafik på nettet i dag er krypteret, hvilket begrænser hvad Snort og andre package inspektors kan se, medmindre du installere et certifikat på alle dine computere og mobiltelefoner mm. hvilket ikke engang er muligt på alle enheder, og som du måske kan regne ud også er et stort arbejde.

Samme gør sig gældende med clamav som en anden bruger anbefaler.

eet sted som Snort/Suricata kan hvis du blandt port forwarder, er at kigge på mønstre, hvor nogen måske prøver at port scanne din IP adresse og andre angreb som rammer nogle specifikke mønstre.

Så kan du bruge geografisk begrænsning, det som i PFsense hedder PFblocker, i unifi hedder det vidst geoip filtrering, men virkede ikke så godt sidst jeg prøvede, men geografisk blokkering kan være fornuftigt, da de fleste angreb kommer fra rusland, iraq, kina osv. men sjældent fra lille danmark.

PFblocker eller pihole kan hjælpe dig mod hjemmesider som primært bliver brugt til "snavs"

Det blev en lang smøre,

men mit råd er nok kort og godt at bygge et netværk op udfra at det ikke handler om HVIS du bliver ramt, men byg det op omkring hvad der sker, NÅR du bliver ramt. (igen), altså byg det op så du begrænser skaden.

Dette kan måske være ved at betale nogen for at sætte det hele op for dig, eller prøve lidt selv.

Som jeg skriver ovenover, så er det begrænset hvor meget Snort kan hjælpe dig, udover det, så kan Snort kun arbejde med en cpu core af gangen, mens Suricata kan arbejde med flere cpu core, så alt efter din CPU og internethastighed/LAN hastighed, så kan det være Snort kan begrænse din båndbredde, da det kræver en del at inspekte 125MB (1Gbps) data i sekundet.

For både Snort og Suricata, så virker de kun imellem dine netværk, så hvis din PC og NAS er på samme netværk/VLAN, så har Snort/Suricata ingen effekt imellem de 2 enheder.

En NAS direkte på nettet uden VPN-opkobling og med gammelt styresoftware er i denne henseende “uhensigtsmæssig internetbrug”. 

Da jeg valgte pfsense skulle jeg alligevel have en router og ville samtidig have en fornuftig firewall og content manager. Alt dette gør pfsense super godt.

En firewall og router fra ubiquiti havde også været et fint valg; og måske noget nemmere at sætte op.

Snort er noget jeg prøver af - lidt for sjov - med IPS på WAN og IDS på LAN. Det koster ca 2-3% CPU kraft og ca 2W strøm. Ingen performance nedsættelse. CPUen er dog også en underclocket i5 2400s.

Men godt at man får diskuteret it-sikkerhed. Mange hjemmenetværk er pivåbne. 

Jeg stiller på ingen måde tvivl om brugen af PfSense, og personligt foretrækker jeg at arbejde med PfSense fremfor UniFi (Eller på nogle områder Fortigate elle Cisco ASA for den sags skyld), da PfSense på flere områder er mere intuitiv at benytte.

Men hvis man ser bort fra "Next Gen" funktionerne i PfSense som IPS, ClamAV, Squidproxy osv. og bare forholder sig til PfSense som en firewall, og ikke bruger VLAN og andre firewall regler, og Port Forwarder man til en NAS eller anden enhed, så gør PfSense det ikke bedre end en billig Asus alt i en boks.

Så kan man smide IPS, ClamAV, PfBlocker og meget andet på, og alt efter hvordan det bliver sat op, kan det give noget sikkerhed.

Jeg bryder mig bare ikke om at skulle sige at PfSense (Eller en 50.000 kr. NGFW) gør dig mere sikker på nettet, for i sidste ende handler det om opsætning og adfærd, og en firewall til 50.000 med port forwarding kan være lige så usikker som en billig Asus boks.

Derfor:

dr_schlemer skrev: Snort er noget jeg prøver af - lidt for sjov - med IPS på WAN og IDS på LAN. Det koster ca 2-3% CPU kraft og ca 2W strøm. Ingen performance nedsættelse. CPUen er dog også en underclocket i5 2400s.

Hvor mange regler har du aktiveret?

Jeg har set Snort tage livet af en nyere 3.5Ghz Xeon processor ved bare 100Mbps,

men måske Snort har fået en større opdatering for nylig.

https://www.hjemmestyring.dk/artikel/2018/05/16/har-du-styr-paa-sikkerheden-del-1/" rel="nofollow - https://www.hjemmestyring.dk/artikel/2018/05/16/har-du-styr-paa-sikkerheden-del-1/

Min opsætning er lige nu IPS (ID + block) på WAN og IDS (ID + alert) på LAN med følgende rules:

Herudover kører boksen med:

* SquidProxy med ClamAV antivirus

* pfBlockerNG med en del forskellige feeds til IP-blokering samt GEO-blokering

Før SNORT lå CPU-utilization på ca. 3-4%, nu på 6-7%. 4GB ram er rigeligt, makser ud på ca. 80% utilization. Ingen performance-nedsættelse - hverken internt på LAN eller ved brug af fibernet (200Mbit).

Fx har jeg på min nas en mappe hvor alle billeder/dokumneter osv ligger, dem bliver der taget backup af ikke alt på NAS'en som film osv.