История про вирус-шифровальщик

История про вирус-шифровальщик Вирусы-шифровальщики, Истории из жизни, IT, Длиннопост

Впечатлившись рекламой и хвалебными отзывами руководство одной из контор, в которых мне довелось сисадминить, приняло решение о внедрении модного Kerio Control. Сказано – сделано: мечта об удаленном рабочем столе претворилась в жизнь, а трудовые будни окрасились в неожиданно привлекательные тона. Теперь начальство могло преспокойно работать из дома, попивая кофе в трусах.


Беда, как это обычно бывает, пришла, откуда не ждали. Поскольку о таком понятии как VPN ребята слыхом не слыхивали, а о его назначении – и подавно, то, недолго думая, открыли порт удаленного рабочего стола для доступа из любой точки недружелюбного внешнего мира. И, конечно же, при этом пароль администратора на сервере был «12345», его никто не удосужился поменять, да и вряд ли кто об этом задумывался.


Всего через пару недель счастливой и безоблачной работы из дома на сервере появилась зловещая картинка.


Работа конторы оказалась парализована, со стороны это всё выглядело следующим образом: все опрошенные старательно отрицают переход по небезопасным ссылкам нигерийских принцев, руководящий состав мечет громы и молнии, часть рядовых сотрудников радуется возможности похалявить, проектный отдел рвёт на себе волосы, логисты нервничают, кадровики хранят отстраненное молчание, и только снабженцы с трудом скрывают довольные ухмылки. Стало очевидно, что без привлечения квалифицированного специалиста дальнейшее функционирование не представляется возможным. Тогда-то меня и вызвали, чтобы поставить извечный русский вопрос: «Что делать и кто виноват?».


Послание от злоумышленников, как можно было легко догадаться, содержало требование выкупа в обмен на обещание расшифровки файлов. По тем временам, учитывая актуальный на тот момент курс биткоина, сумма запрошенного выкупа – 0,5 биткоина – выходила в сущие копейки и составляла всего-то 500 килорублей.


На кону была не только дальнейшая работа компании, клиентская база и многолетние наработки, но и пресловутая коммерческая тайна. Казалось бы – что такое полмиллиона для преуспевающей столичной конторы с приличным годовым оборотом?


Однако директор был категоричен и непреклонен, заявив, что не намерен вести никаких переговоров с вымогателями, а восстановление предполагается вести в ручном режиме. «Мне бы только файлик с «черной» бухгалтерией восстановить» - понизив голос, добавил директор и вкрадчиво присовокупил обещание «в долгу не остаться».


От успеха или неудачи в данной ситуации напрямую зависела моя репутация и дальнейшее сотрудничество с компанией, не скупящейся на оплату моих трудочасов. Вариантов у меня было немного. Здраво рассудив, что за спрос денег не берут, решил закинуть удочку злодеям. Написал, мол, деньги не проблема, однако, имеются сомнения в оправданности трат – хорошо бы продемонстрировать способность к расшифровке, вот, хотя бы на этом «совершенно рандомном» файле.


Вымогатели радостно заглотили мою наживку и прислали заветный файл в дешифрованном виде. Окончательное спасение ситуации пришло от главбуха – оказалось, что она со своей профессиональной паранойей регулярно делала резервное копирование. Миссия моя была близка к успешному завершению – всего-то за квартал документов пришлось восстанавливать.


А ведь всего этого можно было избежать, если бы VPN вовремя настроили, порты открывали с умом и использовали сложные пароли.


P.S. Прикладываю скрин переписки с злодеями, дабы развеять все сомнения в кото-ламповости истории. В нем видно, что файл они прислали.

История про вирус-шифровальщик Вирусы-шифровальщики, Истории из жизни, IT, Длиннопост

Лига Сисадминов

1.8K поста18.1K подписчиков

Правила сообщества

Мы здесь рады любым постам связанным с рабочими буднями специалистов нашей сферы деятельности.

Вы смотрите срез комментариев. Показать все
13
Автор поста оценил этот комментарий

Бекап!!?? не ... не слышали...

раскрыть ветку (43)
13
Автор поста оценил этот комментарий
Велик шанс, что и его шифранут. Если куда нить его не сливать. Тем более, если под админом зашли.
раскрыть ветку (38)
14
Автор поста оценил этот комментарий

Чтобы бекап не шифранули надо иметь чуть-чуть ума (или опыта).


1. Система С которой делают бекап не имеет доступа к хранилищу бекапа. Система собирает все в папочку и хранит где-то. В это где-то идет система бекапа и загружает себе данные на отдельный носитель. (В другой город, материк, тут как паранойя позволяет).

2. Ротация бекапа. Зависит от объема и бюджета, но если объем позволяет - бекап каждый день, последнюю неделю храним все 7 дней, еженедельные - храним за последние 4 недели, ежемесячные (ежеквартальные) - за последние 12(4). Ежегодные храним вечно.

3. Восстановление. Все это не имеет смысла если раз в Х времени не брать какой-то бекап и восстанавливать из него, проверяя целостность.


Если боитесь за сохранность данных в бекапе - шифруйте сами бекапы.


Все, простые правила позволили пережить эпидемию шифровальщиков с минимальными потерями

раскрыть ветку (8)
2
Автор поста оценил этот комментарий

К слову, в пострадавшей конторе я поставил Hyper-v и загнал их вин сервер в виртуалку. Сети физически разделены, плюс ко всему копия бекапов ежедневно дублируется на внешний хард, харды периодически меняются.

раскрыть ветку (3)
3
Автор поста оценил этот комментарий
Ещё внешнему харду бы букву выдавать только на время создания бекапа, а потом буковку отбирать
раскрыть ветку (1)
7
Автор поста оценил этот комментарий
Можно и не назначать, в принципе. Использовать путь \\?\volume{набор букв и цифр}\

Буквы и цифры узнать через mountvol
Автор поста оценил этот комментарий

Маловато. Я сделал бэкап на внешний usb-диск, который монтируется непосредственно перед копированием файлов на него. Затем эти же бэкапы улетают на сервер, расположенный в другом конце города. Кто-то, но выживет, по любому

8
Автор поста оценил этот комментарий

В те времена шифровальщиков я работал в конторе, где бэкапы делались всего и вся, а потом ещё копировались на внешние диски и увозились сотрудниками СБ в "надёжное место". Ежедневно.

Но там эпидемия и не случилась по причине наличия 3 линий обороны - двухдвижковый антивирь на прокси, аналогичный на почтовике и обязательный каспер на рабочих ПК с жёсткими правилами.

А домашние при удалёнке - под подпись человек обязывался купить свой личный лицензионный каспер и поставить себе (иногда просто приносили ноут и лиценцию, чтобы мы сами поставили). И ни одного случая заражения не было за примерно 5 лет, что я наблюдал всё это.

Автор поста оценил этот комментарий

А вот про ротацию, зачем такой гемор? Не проще 2 бэкапа: вчерашний и позавчерашний. Проверяем вчерашний, после чего позавчерашний перезаписываем сегодняшним.

раскрыть ветку (2)
2
Автор поста оценил этот комментарий

Или диск возьми и сдохни...

1
Автор поста оценил этот комментарий

На случай, если случайно снесли файл, а поняли это только через неделю. Или через месяц.


А такое бывает ОЧЕНЬ часто.


Просто опыт

9
Автор поста оценил этот комментарий
В смысле сливать?! То есть, просто скопипастить в соседнюю папочку - это не бэкап???????????!!!!!

... Если что, я знаю, что ответ "нет"
3
Автор поста оценил этот комментарий

А если никуда не сливать - нафига вообще бекапить? )

6
DELETED
Автор поста оценил этот комментарий

да, но хранить то надо не единственный последний, я настраиваю так, что хранятся ежедневный, ежепятничный, ежевторничный  ежедвухнедельный, ежемесячный, ежедвухмесячный.

раскрыть ветку (10)
1
Автор поста оценил этот комментарий

У тебя там стример за миллионы денег что-ли? Откуда столько места для бэкапов.

раскрыть ветку (2)
Автор поста оценил этот комментарий

вы цены на хдд давно видели? у меня 2 терабайтное хранилище тупо под 1с бэкапы  и как бэ это у нас контора жадная

1
DELETED
Автор поста оценил этот комментарий

нет, чаще обычный сервак на ксеоне под федорой, в разных конторах что под присмотром - по разному, все по аппетитам , в одной конторе всего на два терабайта винтов, а в другой - 6 по 10.у кого-то сасы, у кго-то просто сата.

3
Автор поста оценил этот комментарий
Ну. Эти самые архивы и шифранут. Сами файлы архивов! Без разницы какой срок.
раскрыть ветку (6)
7
Автор поста оценил этот комментарий

Бэкап должен быть оффлайн. Физически. На отдельном съемном носителе в другом помещении.

раскрыть ветку (1)
7
Автор поста оценил этот комментарий

Бэкап же можно сделать только для чтения, без перезаписи, и все проблемы решены.

1
Автор поста оценил этот комментарий

3-2-1 - закон бекапа

2
DELETED
Автор поста оценил этот комментарий

как можно шифрануть то, что не доступно никому, кроме админа, и то только из-под консоли от суперюзера?

раскрыть ветку (2)
4
Автор поста оценил этот комментарий
Так, у админа пароль 12345 Под ним и зашли. А дальше дело техники.
раскрыть ветку (1)
6
DELETED
Автор поста оценил этот комментарий

ты не понял, я не про убогое подобие, что описал тс в своем плаче.

я уже про то ,как оно настроено у меня.

хранить бекапы рядом с данными - себя не уважать.

а так - то да, согласен, что систему от "админа" который не меняет дефлотные пароли уронит даже не особо умный юзер.

1
Автор поста оценил этот комментарий

Холодный бэкап на удаленном фтп и пускай попробуют зашифровать)))

раскрыть ветку (2)
4
Автор поста оценил этот комментарий

У меня для холодных бекапов ленточный какопитель, хрен зашифруешь...

Иллюстрация к комментарию
раскрыть ветку (1)
Автор поста оценил этот комментарий

Так тот пресловутый "ящик" из "Кремниевой долины" на самом деле был стримером?)

2
DELETED
Автор поста оценил этот комментарий

Существуют 100500 способов избежать шифрования бэкапа, всё зависит от того как и на чём построена инфраструктура резервного копирования.

раскрыть ветку (1)
4
Автор поста оценил этот комментарий
О боже! А вот и капитан очевидность!
Автор поста оценил этот комментарий

Ну, мне повезло в своё время, видимо взломщики оказались не очень умными и не проверили стандартный бекапщик винсервера. То есть зашифровали все файлы по маске, но не бекапы. В итоге при помощи бекапа вернулся на один день в прошлое и все восстановилось. У меня рдп было открыто, но чувствуется мне что это старый админ подключился и запустил, к сожалению доказать это не смог.

раскрыть ветку (1)
Автор поста оценил этот комментарий
Да. Многие шифровальщики вроде не трогают архивы. У них задача, ккк можно быстрее зашифровать.
Автор поста оценил этот комментарий

Смотря чем бекапить, и как настроить элемеентарную безопасность, у меня даже админ не имеет доступ к ресурсям.Шифровальщик работает только с файлами пользователя под каким он запущен, нет доступа , нет шифрования..

раскрыть ветку (8)
1
Автор поста оценил этот комментарий
Хз, слышал что они умели и права себе нужные прописывать.
раскрыть ветку (5)
1
Автор поста оценил этот комментарий
У нас в головной конторе в Мск зашифровало все содержимое сервера, их админ сказал что кто то из пользователей вложение почтовое запустил. Так что шифруется и без админских прав.
раскрыть ветку (4)
2
Автор поста оценил этот комментарий

Без админских прав не шифруется, но есть куча инструментов для поднятия прав, если ты уже зашел в систему.

2
Автор поста оценил этот комментарий

Админа на мыло, походу он не знает что такое ГП...

раскрыть ветку (1)
Автор поста оценил этот комментарий
Юзерские шары с данными. Максимум что можно сделать - разбить доступ по отделам.
Автор поста оценил этот комментарий

нет.

Автор поста оценил этот комментарий
Мы про конкретный случай. Когда у админа пароль 12345. А разве админ не может стать собственником, и права назначить?
раскрыть ветку (1)
Автор поста оценил этот комментарий

Админ может, шифровальщик нет....

6
Автор поста оценил этот комментарий

админы делятся на две категории: те кто ещё не делает бэкапы и те кто уже делает оные.

раскрыть ветку (3)
3
Автор поста оценил этот комментарий

и третьи - кто еще и проверяет работоспособность бэкапов.

раскрыть ветку (2)
Автор поста оценил этот комментарий

У меня 20 Тб бекапов , если каждый проверять, и проблем еще не было, напрошлой неделе полка развалилась, бекапы спасли!!

раскрыть ветку (1)
Автор поста оценил этот комментарий

я переодически проверяю - не каждый раз.

Вы смотрите срез комментариев. Чтобы написать комментарий, перейдите к общему списку