Egyszeru: Ne reaktiv, hanem proaktiv modszereid legyenek a vedekezesre.

Peldaul:
Legyen offline backup-od a fontos dolgokrol; igy virus eseten az adatok visszaallitasan kivul nincs sok egyeb dolgod es kicsi a kockazat.

Utána kéne nézned hogy működnek a zsarolóvírusok, mert baromira látszik, hogy halvány kis lövésed sincs a működésükről. A fájlokat fizikailag kódolják, ergo másik gépbe rakva is pontosan ugyanazt fogod látni. Nem véletlenül állt az egész UNIX is napokig.

Elég zavarosan fogalmaztad meg, de ha jól értelmezem, azt szeretted volna megkérdezni, hogy ha egy zsarolóvírus letitkosítja a merevlemezed tartalmát és ezután kiveszed a merevlemezt a gépből és átrakod mondjuk egy másikba, akkor ott mit látnál?

Ha ez a kérdés, akkor pontosan az a válasz amit írtak a többiek is, ugyanúgy a letitkosított fájlokat látnád. A zsarolóvírusok (magától a fertőzés mechanizmusától eltekintve) lényegében végigmennek a fájlrendszeren és minden egyes fájlt (vagy csak bizonyos fájltípusokat) fognak és letitkosítanak, ami prosztón megfogalmazva annyit tesz, hogy "krikszkrakszokra" cserélik a tartalmát, a változást pedig vissza is írják a lemezre. Ha ez megtörtént, akkor már akármivel nézegetheted, vagy rakhatod másik gépbe, ugyanazt fogod látni.

Sok ransomware-hez viszont készítettek dekódert, vagyis ha szerencséd van és olyan zsarolóvírust nyaltál be, amihez készítettek dekódert, akkor vissza tudod fejteni a titkosítást és ezáltal az adataidat.

A No More Ransom Projekt oldalán megtalálod ezeket a visszafejtő eszközöket.

Az egyetlen biztos megoldás, ha mentésed van, mégpedig off-line mentésed is az adatokról.

Én csak azt nem értem, hogy lehet zsarolóvírust, vagy bármi ilyet benyelni.
Ismeretlen feladó zavaros levele: kuka
Telefonszolgáltató számlája, amihez semmi közöm: kuka
Tört magyarságú nigériai fivérem szomorú sorsa: kuka

Stb, stb.

A mostanában futó csomagküldős SMS is jól példázza, az emberek a saját dolgaikról sincsenek képben.

Lövésem sincs, hol lehet zsarolóvírushoz jutni. Gyanús mellékletek is csak az ezeréves freemail címem spam mappájában landolnak, de a freemail-ről tudjuk, hogy a T-Online/Telekom elég trehány ilyen téren, egy időben a szolgáltatós címemre is jött szemét, pedig semmire se használtam. Értelmesen használt Gmail-en viszont már semmi, a spam is üres.

Részedről kaptam a legpontosabb megfogalmazást.
Erre lettem volna kíváncsi.

Nem csak emailben lehet "benyelni", az ellen könnyen lehet védekezni viszonylag. Ez még pár éve volt a fő tendencia. Mostanra már aktívan kihasznált sebezhetőségeken keresztül és célzott támadással is bőségesen jönnek. Például a legutóbbi Exchange sebezhetőségről bizonyára hallottál, de ugyanígy aktívan keresik a kint hagyott RDP-n elérhető gépeket, a már nem supportált (pl. Win XP, Win7 stb.) oprendszereket, régi SAP rendszereket, Teamviewer elérésket (de láttam már Chrome Remote Desktopon is), és így tovább. És persze az adathalászatok során összegyűjtött info-kat is felhasználják, hogy személyre szabottan küldjenek levelet, amik már nem olyan béna spam-ek, amiket fél kilométerről felismersz csukott szemmel, hanem akár olyan emailek, amiben előzményként ott van mondjuk egy korábbi valós levelezésed valakivel...

Nyilván ha odafigyel az ember (főképp otthoni környezetben), akkor ezek jól védhetők, de egy vállalat például sokkal nehezebb helyzetben van ilyen szempontból. Több az ember, bonyolultabb a rendszer, sok a szolgáltatás, sok a külső elérés, több a hibalehetőség.

Tény, hogy kell hozzá az is, hogy valahol hibázzon az ember vagy legyen rés a rendszerben, de ez azért a legtöbb esetben adott.

Röviden: LOL.
Hosszabban: az előző munkahelyemen egy idős kollegina egy vidéki kis színház honlapját meglátogatva (!) nyelt be zsarolóvírust (mint utóbb kiderült). A weblapot korábban feltörték, kártékony kódot helyeztek el rajta, ami lefutott a gépén. Ennyike.

Pár ilyen zsarolóvírusos titkosítással már találkoztam.
Pl régebben azaz talán a kezdetekkor volt egy olyan amely a fileokat titkosította majd locky kiterjesztést adott hozzá és egy txt filet az adott könyvtárba hogy ide fizess ha meg akarod kapni a vissza kódoló kulcsot. Maga a kód addig futott amíg a gép ment de nem terjedt át más gépre szerencsére csak egy adott gép titkosítgatta a hálózati megosztásokon a fileokat.

Szervereknél fileszűrés és figyelést szoktak beállítani. Ha egy felhasználó valamiért létrehoz egy ilyen figyelt kiterjesztést azt egyből ledobja a megosztásról, vagy ha egyszerre túl sok adatot akar mozgatni arról is figyelmeztetés érkezik a rendszermókusnak.
Szerencsére ha ezek a vírusok ha nem a szerverről indulnak akkor könnyedén visszaállíthatóak minimális vagy 0 veszteséggel a fileelőzményekből.
A legnagyobb gond akkor van ha valami luk van a rendszerben, azaz nem egy program indít támadást egy user gépéről hanem közvetlenül a szervert érik el (pl: bejönnek RDP-vel) vagy admin szinten futnak, na ilyenkor van bukó és lehet hozzányúlni a nagyobb mentésekhez és ez bizony már járhat leállásokkal.

Home usernek egyszerűbb ha csinál egy külső vincsire rendszeresen mentést. Illetve több tárhelyet használ egyszerre. Nálam pl a telefonokról megy fel google felhőbe, és otthoni nas-ra is minden kép/video és ezekről havonta csinálok egy mentést külső vincsire.

Cégnél ahol vagyok most minden gépről időnként van teljes lemezkép mentés egy külön szerverre melynek megosztását csak az adott program látja (veeam) és teljesen más userrel fut mint a többi szerver. A szerverek is veamra mentenek erre a szerverre valamint külső hdd-re winsrv saját backupjával amely nincs megosztva és betűjel sincs hozzárendelve. Illetve eleve virtuális szerverek is futnak amelyek alapból visszaállíthatóak árnyékmásolatból. De ez a worst case, mert alapból elég szokott lenni csak az árnyékmásolat ha valami gáz van.

Cégnél ahol vagyok most minden gépről időnként van teljes lemezkép mentés egy külön szerverre melynek megosztását csak az adott program látja (veeam) és teljesen más userrel fut mint a többi szerver. A szerverek is veamra mentenek erre a szerverre valamint külső hdd-re winsrv saját backupjával amely nincs megosztva és betűjel sincs hozzárendelve. Illetve eleve virtuális szerverek is futnak amelyek alapból visszaállíthatóak árnyékmásolatból. De ez a worst case, mert alapból elég szokott lenni csak az árnyékmásolat ha valami gáz van.

Na pont egy hasonló felépítésű rendszernél vettem részt pár hete a felderítésben és a helyreállításban. Csak a tanulság kedvéért és nagy vonalakban:

A támadó bejutott a szerverekre (AD környezet, az összes szerverük kompromittálódott), Veeam agent volt a mentés külön nem domain userrel egy NAS-ra, csak a mentéseknek (ahogy nálatok), Windowsba el sem volt mentve a user. Miután legyakta az összes shadow copy-t és a fájlrendszert, kinézte a Veeam agentből a jelszót és a mentést is bedarálta.

Sajnos tehát az sem garancia, hogy nincs betűjel rendelve hozzá vagy külön usered van. Az árnyékmásolat az meg az első dolog, amit azonnal törölnek (ha nem barmolnak bele fizikailag a fájlrendszerbe, akkor persze még manuálisan van esély ezt visszacsinálni, de pokoli meló). Ha bejutottak a szerverre vagy a gépre, onnan bukta van mindennek amit el lehet érni. Ami védelmet ad, az például az elszeparált hálózat, ha a hypervisor meg a mentések (tehát az alap infrastruktúra) egy olyan másik védett hálózatban van ami semmilyen módon nem elérhetők a produktív környezetből. A mentést meg ebből a védett hálózatból érdemes csinálni akár Veeam Backup & Replication-el, meg snapshot-olni a VM-eket stb. Így akármi történik a produktív hálózatban (mert ott minden is megtörténhet), a mentés érintetlen tud maradni. Meg persze off-line mentés és verziózás. Egy külső USB HDD például teljesen jó, bármilyen primitív megoldás is.

Sajnos már rég túl vagyunk azokon az időkön, amikor csak egy sima encryptáló exe futott a memóriában és ennyi volt a támadás, ha kilőtted akkor vége is, a mostani módszerek sokkal szofisztikáltabbak.

Durván hangzik. Bár tűzfalon csak adott ip-kre engedek be pár külsőst az a gyenge pont. Usereknek gépéről kivéve az enyémet meg nem lehet szerverre bemenni.
Gyakoribb szerintem az user error, az ellen jól állok. Direkt támadás ellen lenne mit javítani. Bár ez kis haló 50 gép 4 szerver fele hyperv. Nem nagy célpont.

A cég - ahol ez történt - kb 20 fő. Sajnos nem a mérettől függ, a lehetőség számít. Tudod, mint a besurranó tolvaj, nem nézi, hogy kinek a lakása, ha nyitva az ajtó akkor már bent is van és viszi ami mozdítható. Érdemes a legmeredekebb forgatókönyvekre készülni, bármilyen túlzásnak is hangzik.

Van egy gyanúm - de tényleg csak gyanú - amúgy, hogy a SolarWinds ügyből kifolyólag (az érintettektől) rossz kezekbe kerülhettek bizonyos 0day sebezhetőségek és/vagy olyan sérülékenységek, amiket most aktívan elkezdtek kihasználni (nem a Red Team Tools-ra gondolok). Kb tavaly év vége óta egyre több olyan esetet látok-hallok, amiket korábban nem nagyon.

Semmit nem látnál egy zsaroló által megtámadott gépen, mert annak a lényege, hogy letitkosítja a file-okat. Ha olyat szívsz be, amire van visszaállító cucc, akkor azt lehet használni, de ez nem életbiztosítás.

@MasterDeeJay : Az a baj, hogy ha valahogyan el lehet érni a te géped, arról simán megszerezheti valaki a jogaidat. Onnantól úgy megy be a szerverre, mint te.
Ez a separation of duties elve, miszerint az ilyen, kintről elérhető gépek csak egyféle dolgot csinálnak, illetve nem zsúfolunk indokolatlanul sok feladatkört egy gépre.
Az sem érdekes, hogy ott ülsz-e. Egy ügyes támadót nem veszel észre a gép fizikai konzoljáról.

@Gargouille : Az Exchange sem véletlenül most pattant ki.

[ Szerkesztve ]

Igaz csak sajnos gyakran kell akár telefonról elérnem a szervereket. Dwservice-t használok távelérésre. Teamviewer már leszedtem mert folyamatosan támadták.

Ilyenkor akkor már érdemesebb egy jumpserver. Nekem a home szerveren van már csak SSH (nem standard porton), azon keresztül bejutok, onnantól kezdve van VNC is.

Meg ha már valamit be kell engedni, akkor azt nem standard portra. Sokkal kevesebb úgy a bepróbálkozás.

[ Szerkesztve ]

Az Exchange sem véletlenül most pattant ki.

Hát nekem is ez az érzésem.

Jól mondja HCL kolléga, jumpszerver a célszerű ha már mindenképp kell. Bár telefonról én egészen biztosan semmilyen módon nem tennék elérhetővé szervert.