Mi így jártunk egy Ransomware-rel...

    Noha a mi esetünk azt példázza, hogy egy kis szerencsével és némi odafigyeléssel meg lehet úszni egy ilyen fertőzést, a 2017. május 12-i események tükrében úgy hiszem, hogy lehet némi haszna annak, ha összefoglalom, hogy mi történt a szerkesztőségünkben jó egy hónappal a világot kissé megroppantó WannaCry támadás előtt.

     

    Épp egy prágai konferenciára utaztam volna, amikor beütött a krach. Az egyik számítógépen valaki rossz helyre kattintott, és bár a vírusvédelmi megoldásunk szólt, hogy valami nincs rendjén, megállítani sajnos nem tudta a fertőzést.

    A mi esetünkben nem a WannaCry, hanem a Win32/Spora volt a ludas, és - mivel a támadás után perceken belül - azt gondoltuk akkor, hogy időben - lekapcsoltunk minden érintett gépet, a fertőzött gépről pedig egy direkt Spora (és variánsai) elleni céleszközzel - azon nyomban eltávolítottam magát a kártékony programot, a fertőzés nyomot hagyott az egész hálózatunkon, és ott ütötte fel a fejét, ahol egy Windows vírustól nem várná az ember: a Linux fájlszerverünkön.

     

    ransomware_1.jpg

     

    A Spora ugyanis hálózati féregként működik, és okosan nem kezdett el azonnal terjedni, hanem bebiztosította Önmaga terjedését a szerverünkön. Szerencsére nem bántott és nem törölt adatokat, egyszerűen elrejtette az azokat rejtő mappákat, és olyan, a mappákat utánzó  parancsikonokat hozott létre, amiknek a neve az elrejtett mappastruktúrát tükrözte vissza. Ezek a parancsikonok azonban kattintás esetén nem a mappát nyitották meg, hanem egy teljesen véletlenül generált nevü “exe” fájlt futtattak, és bár itt is volt vírusvédelem, a telepített Clam AV észre sem vette a fertőzést.
    Aki látott már mappára mutató parancsikont Windows alatt, az pontosan tudja, hogy mire gondolok akkor, amikor azt mondom, hogy ezek a kis ikonkák alig térnek el, a valódi mappákat mutató ikonoktól.

     

    ransomware_2.jpg

     

    Jött tehát a jól megérdemelt büntetés a figyelmetlenségemért cserébe: a vírus másnap terjedni kezdett a hálózaton.

    Elég sok jel utalt rá, így már viszonylag korán észrevettük a fertőzést a szerveren, és minden gépen igyekeztünk útját állni a terjedésének, így szerencsére az nem tudott kiteljesedni. Mivel a vírusirtónknak semmi hasznát nem vettük, a Bitdefender ingyenes Anti Ransomware eszköze mellett a kifejezetten ilyen fertőzések kezelésére, és a Spora ellen garantáltan hatásos Malwarebytes szoftverrel néhány óra alatt sikerült úrrá lennünk a magán a víruson, a szerver megtisztítását pedig a parancsikonokból kinyert konkrét linkek alapján - biztos ami biztos - manuálisan végeztem el.

    Estére teljes volt a rend - legalábbis úgy tűnt, a munka folytatódott, de a fekete leves csak ezután következett. Eltelt ugyanis vagy két nap, (ekkor már külföldön tartózkodtam) mikor a kollégák furcsa dolgot tapasztaltak a hálózaton. Nem fertőzés volt, még csak nem is a vírus terjedt tovább: egyszerűen csak szellem volt a gépben.

    Az általános sebességcsökkenés és néhány megduplázódó mappa hívta fel a figyelmünket arra, hogy valami még mindig nincs rendben.
    A szerveren lévő logok böngészése azonban nem várt eredményt hozott -  az “admin” felhasználó egy konkrétan beazonosítható gépről egy perc alatt több, mint száz alkalommal kísérelte meg elérni az egyik megosztást. Sikertelenül.
    Mire végigolvastam volna, a LOG már vagy tíz megásra hízott, és - csak hogy ne legyen felhőtlen a boldogság - lekapcsolva a beazonosított gépet, kis szünet után ugyanez a jelenség megismétlődött egy másik munkaállomásról.
    Majd egy harmadikról. A szerkesztőség 10 számítógépéből csupán 2 nem produkálta ezt a viselkedést, az összes többi aktívan támadta a szervert.

    Ekkor már minden mindegy volt. Azonnal visszautaztam Budapestre, és éjfél után néhány perccel ott álltam az irodába. 12 érintett gép volt, másnap 9 órakor munkakezdés, én pedig nem is nagyon tudtam eldönteni azt, hogy valamiféle hátsó ajtón keresztül támad valaki manuálisan, vagy olyan kártékony vírusrészlet fut, ami valahogyan elkerülte a figyelmünket, és ami ezt eredményezi. Mit lehet ilyenkor tenni?

    A megoldás szerencsére kézenfekvő volt.

    Mivel az első támadás után a Linux felhasználók jogköre némileg meg lett nyírbálva, és a szerver fájlrendszere azóta rendben működött, tudtam, hogy az adatok alapvetően rendben vannak. Nagy méretű adatmennyiségről lévén szó, nem állíthattam vissza mindent az Acronis  Cloud-ban tárolt adatainkból (persze, könnyen beszélek, hiszen végső soron volt ilyenünk is), de azt megtehettem, hogy a felhőben lévő, biztosan nem fertőzött fájlokat összevetem a szerveren lévőkkel. Tudtam mire kell figyelni, hol lehetnek olyan eltérések, amik megmagyarázhatóak, így viszonylag gyorsan meggyőződhettem róla, hogy a szervert nem érte el a több ezer próbálkozás.

    A másik nagy mázli, hogy a munkaállomások többé-kevésbé egyformák, így joggal bízhattam abban, hogy egy másik Acronis szoftver, a True Image a segítségemre lesz.

    Éjjel fél három is elmúlt már, mire egy külső merevlemezre szépen, manuálisan felbackupoltam az egyes felhasználók nem a szerveren tárolt néhány gigányi adatát, majd egyetlen gépet teljesen újratelepítettem (Windows 10-el, irodai csomaggal, és ezúttal egy olyan vírusírtóval, ami hálózatvédelmet is biztosít ( a NOD32-t választottam némi utánaolvasás után.))

    Ezután kapott szerepet a True Image: az elkészített lemezképpel körbejártam az irodát, és mindenki megkapta ugyanazt a gép - klónt. Maga a folyamat nem tartott két óráig, és bár volt két gép, ami valamiért kilógott a sorból és manuális Windows telepítést igényelt, így is rengeteg időt (nem túlzok, ha azt mondom, hogy több mint egy egész napot megspóroltam az újratelepítéssel.

    Kis csúszással reggel 10 órakor mindenki elkezdhette a munkát idebent. Happy End.

    Hogy ezt most miért osztjuk meg veletek?
    Egyrészt a pénteki sajnálatos események miatt: tanulságok sorát lehet levonni abból, hogy mi, és hogyan történt nálunk. Nem állítjuk, hogy mi jól csináltunk mindent, hiszen a józan ész azt diktálta volna, hogy azonnal cselekedjünk, és ne is próbálkozzak a vírus leirtásával: ugyanakkor ez a döntés hozta el azt, hogy megismerjem és lássam a fertőzés egyes stádiumait, és kitapasztaljam azt, hogy hogyan próbál terjedni a féreg a hálózatunkon. (Ha hiszitek, ha nem, utólag néhány kérdőjellel a teljes útját le tudtam írni a naplók alapján, tökéletesen rekonstruálható volt, hogy hol jött be a fertőzés, és hogy merre tartott).

    Ez pedig, ha másra nem - tapasztalat gyűjtésre bizonyosan alkalmas volt.

    A tanulságokat persze már millióan megfogalmazták előttünk is, így én most csak és kiegészítem és összefoglalom gyorsan az alapvető tételeket:

    • Legyen a szerveren jól kiosztott jogosultság kezelés. Ha a felhasználónak nincsen rá feltétlenül szüksége, akkor ne legyenek jogai egy mappán. Ez nem bizalom kérdése: amit nem ér el a vírus, oda nem tud terjedni.
       
    • Legyen backup. 2017 van, egy felhő-backup filléres móka. Az Acronis megoldását, az Acronis Cloud-ot valóban gyerekjáték használni, és 100%-os biztonságot nyújt mindenféle adatvesztés ellen, ráadásul magyar piacról, magyar számlával beszerezhető, magyar nyelvű támogatással igénybe vehető.
       
    • Legyen komplett biztonsági megoldás az egész hálózaton. Tök jó, hogy volt egy hardveres tűzfalunk kifelé a routeren, de a vírusnak - miután megtalálta a terjedésének a módját - esze ágában nem volt elhagyni a belső hálózatot. Egy ilyen fertőzés kivédésre pedig a Windows alap tűzfal szolgáltatása nem elégséges.
       
    • Nagy, elismert vírusvédelmi megoldást használj. Igaz, ez egy picit drágább, mint a kis cégek megoldásai (vagy az ingyenes védelmet nyújtók), de pl. az ESET terméke (Nod32, Endpoint Security) olyan fejlett, felhő alapú megoldásokat kínál, amikkel a kisebb gyártók egyszerűen nem tudnak versenyezni.
       
    • Egymilliószor el lett mondva, és lám mégis megtörténik! Ne kattints SOHA DE SOHA DE SOHA olyan e-mail csatolmányra, amiről nem tudod, hogy mi az, még akkor sem, ha olyasvalakitől kapod, akiben megbízol.


    Ha már beütött a baj, a helyreállításhoz inkább használj segédprogramokat: rengeteg időt fogsz megspórólni. adatmentésre backup szoftvert, írtásra célszoftvert (fogsz találni többet is), telepítésre klóneszközöket. A True Image-vel az amúgy 2 és fél órás komplett “Windows/Office/Adobe CC/Vírusírtó/sokmindenmás” telepítés írd és mond, példányonként 6-7 perc alatt sokszorosítható.

    Végső soron akár a létrehozott lemezképet el is tárolhatod, és bármikor visszatérhetsz az alapokhoz ha gond van. Az idő pénz!

     

    A végére hagytam a legfontosabbat. Tudom, könnyű okosnak lenni, de kérlek fogadd ezt meg: SOHA, DE SOHA - DE SOHA ne fizess az adataidért.
    Minden egyes fillérrel, amit a zsarolóvírus terjesztőjének küldesz, a következő ilyen támadást segíted elő. Ráadásul az, hogy a fájlrendszered használatát feloldják (HA feloldják egyáltalán) még távolról sem jelenti azt, hogy elhagyják a gépedet. Minden leütésedet, minden dokumentumodat figyelik, és hidd el, hogy egy pillanatra nem fogja őket a hatalmába keríteni a lelkifurdalás, ha kiolvassák az monitorozott adatokból a netbanki belépő kódodat (amúgy egy jó vírusírtó ez ellen is véd.)...

     

    ransomware_3.jpg