[Techinfo] Alinas89 at aol.com - YOUR FILES ARE ENCRYPTED
eNTi Szoft
enti at entiszoft.hu
2020. Nov. 21., Szo, 06:37:13 CET
Üdv Lista, András,
2020. 11. 20. 21:45 keltezéssel, techinfo-request at lista.sulinet.hu írta:
> Message: 7
> Date: Fri, 20 Nov 2020 17:10:38 +0100
> From: Varga András<administrator at kisfaludy.hu>
>
> A szerverünk az éjjel a fenti zsaroló programmal fertőződött...
> ...minden file titkosítva lett; a NET tudásbázisa sem kecsegtet sok
> reménnyel...
>
> Valaki? ...találkozott már a problémával? és a megoldásával?
Ha van mentésed a szerver adatairól, akkor van esély a zavartalan
folytatásra.
Minden más halott ügy, mert
- zsarolásnak nem engedünk; egyrészt ki fizesse ki a zsarolt összeget,
másrészt, nincs rá garancia, hogy valóban megkapod a visszafejtő
kulcsot, harmadrészt, ha már találtak egy tejelő kuncsaftot, miért ne
próbálnák meg újra?
- a konkrét kulcs hiányában nincs esély a visszafejtésre.
- de még ha lenne is visszafejtő kód, nem lehetsz biztos abban, hogy
valami rejtett zugban nem bújt meg valami alvó ügynök, és nem fog
legközelebb is aktiválódni.
A menet:
- szerver lehúzása a külső és belső hálózatról
- mivel minden titkosítva lett, nulláról újra húzni a szükséges szoftvereket
- a legkiválóbb védelem mellett is érhet fertőzés, ha magán az op.
rendszeren nincsenek befoltozva a biztonsági rések, ezért FEL KELL
TELEPÍTENI MINDEN FRISSÍTÉST, AMI A RENDSZEREKHEZ ELÉRHETŐ. Jó eséllyel
nem kliens oldali a fertőzés forrása. A szerver-fertőzések két legfőbb
oka a frissítések hiányából fakadó biztonsági rések ÉS/VAGY a
rendszergazda óvatlan eszközhasználata, pl. nyitva hagyott távoli
elérési kapu.
- felkonfigurálni mindent, amire szükséged van
- megfelelő védelmet telepíteni és beállítani a szerveren. Ma már van
olyan két körös védelem a piacon, ami egyrészt távol tartja a káros
kódot a géptől, másrészt, ha valami fatális véletlen folytán mégis
átszakadna ez a vonal, a második gát nem eged fertőzhető áldozathoz
férést a gépen.
- előkeresni a legfrissebb mentést, ami abban megvan, abból
visszaállítani az adatokat, ami nincs, annak forrását felkutatni, az
adatait újra bevinni a rendszerbe.
- ezzel párhuzamosan széthúzott hálózat mellett végig kutatni a
klienseket, nincs-e rajtuk bármi kártevő.
és csak ha már minden rendben van, akkor visszakapcsolni a hálózatot.
Utógondozás:
- tanulságokat levonni
- biztonsági házirendet elkészíteni/frissíteni
- a kollégákat megtanítani, miért védik őket (is) ezek a rendelkezések
- betartani, betartatni, folyamatosan fejleszteni.
> Message: 8
> Date: Fri, 20 Nov 2020 17:34:32 +0100
> From: Sándor Fehér<sandor.feher84 at gmail.com>
>
> Csak mentés segít, ha van.
> Ha nincs akkor kereszt...
+1
> Message: 9
> Date: Fri, 20 Nov 2020 17:37:19 +0100
> From: "=?UTF-8?B?TW9sbsOhciBQw6l0ZXI=?="<molnarp at petersoft.hu>
>
> Lehet tudni, hogy
> 1. Milyen rendszert tamadott meg?
> 2. Hogyan jutott be?
> Hatha tanulhatunk belole.
András, ez a te jövőd szempontjából is fontos kérés.
Rajtad is segít, ha tudod, mi vezetett ide, mert legközelebb már nem
fogod elkövetni ezt a hibát.
Ha ezt meg is osztod, akkor ha csak egyvalaki is profitálhat a
tapasztalataidból, és elkerüli ezt a kárt, már megérte.
> Message: 10 Date: Fri, 20 Nov 2020 18:24:10 +0100 From: Alaksza Balázs
> <johnny1107 at gmail.com> Mi lett a fájlok kiterjesztése? Az dönti el
> melyik támadott a sok ransomware közül, némelyikhez(főleg régebbiek)
> van decrypter, egy guglizást megér, de azért nagy reményeket ne fűzz
> hozzá.
> Megoldás:
> 0.: megkeresni honnan jött, ha user hiba(99%) akkor felhasználót
> keresztre feszíteni, feldarabolni és az iskola 4 sarkába temetni
> 1.: szerver legyalulása, tiszta rendszer telepítése
> 2.: normális vírusírtó vásárlása
> 3.: adatok visszatöltése mentésből
>
> Milyen oprendszer volt? Milyen védelemmel?
> Az alapján amiket ezekről olvastam főleg kamu e-mail
> csatolmány/fertőzött oldalról jönnek, illetve a nem teljesen up-to-date
> windowsok távoli asztal lehetőségén használnak ki valami rést.
Jó, hogy ezt felvetetted, kicsit tovább lehet gondolni az esetet.
Alapjaiban igazad van, azt leszámítva, hogy manapság már szinte mindegy,
mi volt a kártevő.
Van felmérés, amiben nagy, >1000 gépes nemzetközi cégek IT vezetői arról
számolnak be, hogy az esetek kb. ötödében egyszerűen nem volt kapacitás
a fertőzési mechanizmus tisztázására.
Az ő "drága tanfolyamuk" eredménye: kárt nem felszámolni, hanem
megelőzni a kifizetődő.
Ezt az elavult "van egy víruskeresőm, minden rendben van" szemlélettel
nem lehet elérni.
Ma már csak a védelmi feladatra legmegfelelőbb védekezés vezet eredményre.
Ennek kialakításában a lényeg a védelmi rések felderítése és felügyelet
alatt tartása - és a rés itt széles értelemben vizsgálandó. Minden olyan
faktor ide tartozik, ami ha érvényesülhet, a rendszered károsul.
(Kellemetlen, de attól még tény: igen, akár a saját rendszergazdai
szakismeret hiányosságai is, de pl. a pénzügyek ingyenes védelmet
elváró, biztonsági kérdésekben nem járatos, ám döntéshozó gazdái is ide
értendők.)
Üdvözlettel:
Simon Gábor
eNTi Szoft Kft.
További információk a(z) Techinfo levelezőlistáról