[Techinfo] Alinas89 at aol.com - YOUR FILES ARE ENCRYPTED

eNTi Szoft enti at entiszoft.hu
2020. Nov. 21., Szo, 06:37:13 CET


Üdv Lista, András,
2020. 11. 20. 21:45 keltezéssel, techinfo-request at lista.sulinet.hu írta:
> Message: 7
> Date: Fri, 20 Nov 2020 17:10:38 +0100
> From: Varga András<administrator at kisfaludy.hu>
>
> A szerverünk az éjjel a fenti zsaroló programmal fertőződött...
> ...minden file titkosítva lett; a NET tudásbázisa sem kecsegtet sok
> reménnyel...
>
> Valaki? ...találkozott már a problémával? és a megoldásával?
Ha van mentésed a szerver adatairól, akkor van esély a zavartalan 
folytatásra.

Minden más halott ügy, mert
- zsarolásnak nem engedünk; egyrészt ki fizesse ki a zsarolt összeget, 
másrészt, nincs rá garancia, hogy valóban megkapod a visszafejtő 
kulcsot, harmadrészt, ha már találtak egy tejelő kuncsaftot, miért ne 
próbálnák meg újra?
- a konkrét kulcs hiányában nincs esély a visszafejtésre.
- de még ha lenne is visszafejtő kód, nem lehetsz biztos abban, hogy 
valami rejtett zugban nem bújt meg valami alvó ügynök, és nem fog 
legközelebb is aktiválódni.

A menet:
- szerver lehúzása a külső és belső hálózatról
- mivel minden titkosítva lett, nulláról újra húzni a szükséges szoftvereket
- a legkiválóbb védelem mellett is érhet fertőzés, ha magán az op. 
rendszeren nincsenek befoltozva a biztonsági rések, ezért FEL KELL 
TELEPÍTENI MINDEN FRISSÍTÉST, AMI A RENDSZEREKHEZ ELÉRHETŐ. Jó eséllyel 
nem kliens oldali a fertőzés forrása. A szerver-fertőzések két legfőbb 
oka a frissítések hiányából fakadó biztonsági rések ÉS/VAGY a 
rendszergazda óvatlan eszközhasználata, pl. nyitva hagyott távoli 
elérési kapu.
- felkonfigurálni mindent, amire szükséged van
- megfelelő védelmet telepíteni és beállítani a szerveren. Ma már van 
olyan két körös védelem a piacon, ami egyrészt távol tartja a káros 
kódot a géptől, másrészt, ha valami fatális véletlen folytán mégis 
átszakadna ez a vonal, a második gát nem eged fertőzhető áldozathoz 
férést a gépen.
- előkeresni a legfrissebb mentést, ami abban megvan, abból 
visszaállítani az adatokat, ami nincs, annak forrását felkutatni, az 
adatait újra bevinni a rendszerbe.
- ezzel párhuzamosan széthúzott hálózat mellett végig kutatni a 
klienseket, nincs-e rajtuk bármi kártevő.
és csak ha már minden rendben van, akkor visszakapcsolni a hálózatot.

Utógondozás:
- tanulságokat levonni
- biztonsági házirendet elkészíteni/frissíteni
- a kollégákat megtanítani, miért védik őket (is) ezek a rendelkezések
- betartani, betartatni, folyamatosan fejleszteni.

> Message: 8
> Date: Fri, 20 Nov 2020 17:34:32 +0100
> From: Sándor Fehér<sandor.feher84 at gmail.com>
>
> Csak mentés segít, ha van.
> Ha nincs akkor kereszt...
+1

> Message: 9
> Date: Fri, 20 Nov 2020 17:37:19 +0100
> From: "=?UTF-8?B?TW9sbsOhciBQw6l0ZXI=?="<molnarp at petersoft.hu>
>
> Lehet tudni, hogy
> 1. Milyen rendszert tamadott meg?
> 2. Hogyan jutott be?
> Hatha tanulhatunk belole.
András, ez a te jövőd szempontjából is fontos kérés.
Rajtad is segít, ha tudod, mi vezetett ide, mert legközelebb már nem 
fogod elkövetni ezt a hibát.

Ha ezt meg is osztod, akkor ha csak egyvalaki is profitálhat a 
tapasztalataidból, és elkerüli ezt a kárt, már megérte.

> Message: 10 Date: Fri, 20 Nov 2020 18:24:10 +0100 From: Alaksza Balázs 
> <johnny1107 at gmail.com> Mi lett a fájlok kiterjesztése? Az dönti el 
> melyik támadott a sok ransomware közül, némelyikhez(főleg régebbiek) 
> van decrypter, egy guglizást megér, de azért nagy reményeket ne fűzz 
> hozzá.
> Megoldás:
> 0.: megkeresni honnan jött, ha user hiba(99%) akkor felhasználót
> keresztre feszíteni, feldarabolni és az iskola 4 sarkába temetni
> 1.: szerver legyalulása, tiszta rendszer telepítése
> 2.: normális vírusírtó vásárlása
> 3.: adatok visszatöltése mentésből
>
> Milyen oprendszer volt? Milyen védelemmel?
> Az alapján amiket ezekről olvastam főleg kamu e-mail
> csatolmány/fertőzött oldalról jönnek, illetve a nem teljesen up-to-date
> windowsok távoli asztal lehetőségén használnak ki valami rést.
Jó, hogy ezt felvetetted, kicsit tovább lehet gondolni az esetet.
Alapjaiban igazad van, azt leszámítva, hogy manapság már szinte mindegy, 
mi volt a kártevő.
Van felmérés, amiben nagy, >1000 gépes nemzetközi cégek IT vezetői arról 
számolnak be, hogy az esetek kb. ötödében egyszerűen nem volt kapacitás 
a fertőzési mechanizmus tisztázására.

Az ő "drága tanfolyamuk" eredménye: kárt nem felszámolni, hanem 
megelőzni a kifizetődő.
Ezt az elavult "van egy víruskeresőm, minden rendben van" szemlélettel 
nem lehet elérni.
Ma már csak a védelmi feladatra legmegfelelőbb védekezés vezet eredményre.

Ennek kialakításában a lényeg a védelmi rések felderítése és felügyelet 
alatt tartása - és a rés itt széles értelemben vizsgálandó. Minden olyan 
faktor ide tartozik, ami ha érvényesülhet, a rendszered károsul.
(Kellemetlen, de attól még tény: igen, akár a saját rendszergazdai 
szakismeret hiányosságai is, de pl. a pénzügyek ingyenes védelmet 
elváró, biztonsági kérdésekben nem járatos, ám döntéshozó gazdái is ide 
értendők.)

Üdvözlettel:
Simon Gábor
eNTi Szoft Kft.


További információk a(z) Techinfo levelezőlistáról