Aktualności

Nowości / Informacje / Bezpieczeństwo / Ciekawostki

Zaszyfrowane dane czyli Cryptolocker w akcji

Autor: Tymek | Data dodania: Wrzesień 29th, 2015 | 0 Komentarze

CryptolockerW tym wpisie chcielibyśmy przytoczyć, krótką historię naszego klienta, który przez pozorną oszczędność stracił bardzo ważne dane, a nie posiadając tych danych zapłacił dodatkowo dość sporą karę. Zapraszam do lektury.

Zacznijmy od początku. W firmie dziesięć stanowisk komputerowych bez nadzoru administratora w tym stanowisko księgowej z bazą danych całej firmy. Część komputerów bez jakiejkolwiek ochrony antywirusowej, na pozostałych darmowe wersje popularnych programów zabezpieczających. Przechodzimy do wstępnej analizy stanowisk, po godzinie czasu już wiemy, że nie jest dobrze: mnóstwo malware, spyware, zbędnego oprogramowania, brak aktualizacji błędów krytycznych i programów, etc.

Z naszej strony proponujemy:

  • założenie konta administratora i przydzielenie ograniczonych uprawnień użytkownikom
  • usunięcie złośliwego oprogramowania
  • instalację skutecznego komercyjnego oprogramowania antywirusowego wraz filtrowaniem poczty email
  • instalację prostego NASa i konfigurację stanowisk do bezpiecznego codziennego backupu danych
  • zabezpieczenie i aktualizację systemu operacyjnego
  • instalacja oprogramowania do zarządzania zdalnego
  • zabezpieczenie sieci

Usiedliśmy z właścicielem w celu ustalenia szczegółów i po chwili wiemy na czym stoimy.

Nie będzie oddzielnego konta administratora, bo za każdym razem gdy użytkownik będzie chciał zainstalować, zaktualizować program musiałby się skontaktować z administratorem.

TAK to prawda, ale jest to jedna z najlepszych metod na zabezpieczenie stanowiska, ponieważ administrator nie pozwoli na instalację złośliwego oprogramowania w postaci fałszywej wtyczki, nie zainstaluje programu do konwertowania pdfa do Worda w pakiecie z 4 toolbarami. Na etapie instalacji administrator jest wstanie wykryć 95% wszystkich niepotrzebnych zdarzeń. Dlatego gdy komputerem włada Admin, nie ma krytycznych zdarzeń. Zaoszczędzi to oby dwu stronom czas i pieniądz.

Po co mi komercyjne oprogramowanie antywirusowe jak jest darmowe. Nie będę płacił 50zł za stanowisko na rok czasu. Do tej pory było darmowe i nic się nie działo.

Oczywiście, zostawimy jak Pan sobie życzy. Dalej proponujemy NASa z dwoma dyskami w macierzy i konfigurację stanowisk, aby codziennie automatycznie tworzyły się kopie przyrostowe najważniejszych folderów z wszystkich komputerów.

Kopie zapasową to sobie księgowa na pendrajwa robi. Reszta pracowników też nie trzyma wszystkich rzeczy na jednej partycji i zgrywają to co jakiś czas na zewnętrzny dysk.

Dobrnęliśmy do końca rozmowy i ustaliliśmy, że robimy “jednorazowy porządek” – usunięci dziadostwa, aktualizacja systemu i oprogramowania. Wykonaliśmy swoją pracę i pożegnaliśmy się. Po trzech miesiącach odbieramy telefon od klienta, że coś nie tak z jednym komputerem, ponieważ nie można otworzyć dokumentów, zdjęć, etc.

Udajemy się na miejsce, sprawdzamy “trefny komputer” i diagnoza jednoznaczna – Cryptolocker/Cryptowall czyli zaszyfrowanie wszystkich wrażliwych plików użytkownika: zdjęcia i dokumenty (Word, PDF, Excel). Do komputera był również podpięty przenośny dysk, który również uległ infekcji i całość została zaszyfrowana. Po usłyszeniu diagnozy, właścicielowi ugięły się nogi.cryptolocker1

Jak doszło do infekcji?

Komputer posiadał bardzo słabą ochronę antywirusową w dodatku bez aktywnej darmowej subskrypcji. Przyszedł do pracownika e-mail z informacją, aby sprawdzić status nadanej przesyłki kurierskiej. Pracownik otworzył link, przepisał kod z obrazka, zatwierdził i pobrał zainfekowany plik wykonywalny i następnie go otworzył. Jako, że nic się nie zadziałało dalej sobie pracował, a w tym czasie po cichu wszystkie dane były szyfrowane. Pracownik skończył dzień i wyłączył komputer. Po ponad tygodniu zauważył, że nie otwierają mu się wszystkie dokumenty i zdjęcia oraz nie dało się usunąć pliku tekstowego z pulpitu, który poinformował o infekcji (w ciągu trzech dni był jeszcze czas na zapłacenie okupu). W tym momencie byliśmy już bezradni, bo gdybyśmy wiedzieli o tym od razu to istniała jeszcze nadzieja, że po zapłaceniu okupu w postaci 350 euro, otrzymamy klucz deszyfrujący.

Dlaczego doszło do infekcji?

Bardzo słabe oprogramowanie zabezpieczające, które pozwoliło pobrać plik wykonywalny. Zalogowany użytkownik z prawami administratora, który mógł wszystko instalować i otwierać. Na dodatek podpięty dysk zewnętrzny, który w bonusie został zaszyfrowany.

Jak zapobiec takim zdarzeniom?

Tak jak było to napisane na początku. Użytkownicy z ograniczonymi uprawnieniami, aktualne oprogramowanie antywirusowe, dobrze skonfigurowany NAS do kopii zapasowych, który uniemożliwi szyfrowanie Cryptolockerowi zasobów sieciowych.

Jakie są straty?

Okazało się, że na komputerze była dokumentacja zdjęciowa rzeczy, którymi właściciel handlował. Pojawiła się w firmie kontrola skarbowa i poprosiła o zdjęcia za rok 2014, które oczywiście zostały zaszyfrowane. Nie mając zdjęć nie był wstanie nic udowodnić i UKS zażyczył sobie zwrot podatku. Nieoficjalnie wiemy, że jest to kwota 35000zł. 

Gdybyśmy od początku wprowadzili naszą politykę bezpieczeństwo plus dodatkowo backup teraz właściciel spałby spokojnie i nie martwił nałożoną karą.

Niedawno pojawiły się w sieci dekryptory, które są wstanie sobie poradzić ze wczesnymi odmianami Cryptolockera, ale uważajcie, aby nie pobrać czasem zainfekowanego dekryptora, który znowu zainfekuje Wasze pliki.

My polecamy metodę prewencyjną i zabezpieczyć się przed takimi wpadkami. Jeżeli jesteście zainteresowani naszymi usługami to dajcie znać.

Napisz komentarz




CLOSE
CLOSE