Beütött a baj, mit tehetünk?

A héten kaptunk egy telefonhívást, melyben a vonal túlvégéről érdeklődtek, hogy mit tehetnek, ha egy ransomware fertőzés áldozatai lettek. Rengeteget előadást tartottunk már arról, hogy milyen eszközökkel lehet védekezni egy ilyen fertőzés elkerülése érdekében, de most kielemezzük, hogy mit tehetünk akkor, ha már bekövetkezett a baj és a számítógépünk fájljai titkosítva vannak.

  • +

    Első lépés – Tűzoltás

    locky-ransomware-FBAmint a fertőzés tényéről tudomást szereztünk az első és legfontosabb a veszteségek minimalizálása, így esetleg sikerülhet adatokat menteni, de hogyan is tegyük ezt meg!?

    Hálózat elvágása

    Javasolt a fertőzött gépet a hálózatról leválasztani, így ha a kártevő megpróbálja a megosztott mappák tartalmát titkosítani, akkor nem fog sikerrel járni, továbbá egy esetleges tovább fertőződéstől is megvédhetjük a hálózat többi elemét.

    Gép kikapcsolása

    Amennyiben a végpont összes adatát még nem sikerült a kártékony kódnak titkosítania, jó lehet, ha a számítógépet kikapcsoljuk. Ennek segítségével az esetleg még érintetlen fájlok egy szakember vagy komolyabb informatikai tudás birtokában visszaszerezhetők.

    Hol tartunk?

    - Felfedeztük, hogy egy kártékony alkalmazás áldozatai lettünk

    - Megpróbáltuk a hálózati adatainkat megvédeni

    - Megpróbáltuk a számítógépünkön lévő adatokat megvédeni

  • +

    Második lépés – Kárfelmérés

    A kezdeti sokk és idegeskedés után mindenképpen érdemes átnézni, hogy mekkora a kár, amit a kártevőt okozott, milyen fájlok kerültek encryptálásra, melyek azok amikről volt mentés és mik azok az információk amik pótolhatók. Ez sok esetben nem könnyedén kivitelezhető, így arra mindenképpen érdemes készülni, hogy külsös informatikai szakembert szükséges bevonni a folyamatba.

    Példák:

    I.    a kártevő titkosított minden fényképet és pdf dokumentumot, ami a rendszerben volt, de szerencsére az összes fénykép egy offline külső adathordozón(CD, DVD, offline pendrive, offline külső merevlemez,…) megvolt, míg a pdf dokumentumok csak internetről letöltött anyagok voltak, pótolhatók.

    Ilyen esetben a kár nem jelentős, javasolt a számítógép teljes formázása és újratelepítése, az adatok visszaállítása.

    II.    a kártevő titkosított minden fényképet és pdf dokumentumot, ami a rendszerben volt, de nem volt mentés semmiről. Az internetről letöltött fájlok könnyen pótolhatók, de a több éves családi fotóalbum sajnos az enyészeté lett.

    Ilyen esetben jelentős a kár mértéke. További lépések megtétele szükséges.

    Hol tartunk?

    - Birtokunkban van egy „kárfelmérés”, megtudjuk becsülni az elveszett információk értékét

  • +

    Harmadik lépés – Információszerzés

    Fontos tartalmaink a kártevő áldozatai lettek, ilyen esetben a lehetséges ellenlépések megtételéhez mindenképpen szükséges tájékozódnunk, hogy mivel állunk szemben. Megfelelő informatikai szaktudás birtokában mi magunk is a kártevő nyomába indulhatunk, de amennyiben szükséges mindenképpen kérjünk segítségét szakembertől. Tudjuk meg a kártevő pontos típusát(nagyon figyelmesen, mert rengeteg variáns és verzió kering az interneten), mennyi pénzt követelnek a visszaállításukért, mennyi időnk van a fizetésre és milyen módon kell fizetni. Ezeknek a birtokában kezdődhet a harcba szállás az adatainkért.

    Hol tartunk?

    - Kiismertük az „ellenfelet”

    - Tudjuk mennyi időnk van az ellenlépés megtételére

    - Rendelkezésre áll adat a váltságdíj és kár értékének az összehasonlítására

  • +

    Negyedik lépés – Adatok visszaszerzése

    Miután a veszteségeket minimalizáltuk, a kárt felmértük és kiismertük a ransomware-t, következhet az utolsó lépés, próbáljuk meg visszaszerezni az adatainkat, a lehető leggyorsabban. Erre több lehetséges lépés is rendelkezésre áll, nézzük ezeket szép sorban.

    1, Keressünk érintetlen adatot

    Könnyedén lehetséges, hogy sikerült időben közbe lépni és a kártevő nem volt képes minden fontos adatot titkosítani. Erre sokféle megoldás létezik, akár másik operációs rendszert indítva, adat helyreállító alkalmazással, vagy másik számítógépbe helyezve lehetséges adatokat keresni. A folyamat pontos bemutatása túl nő ezen írás keretein, de a megfelelő informatikai vénával rendelkező emberek belevághatnak, de ennek hiányában erősen javasolt szakember segítségét kérni.

    2, Keressünk decryptort

    A nagy végpontvédelmi megoldást gyártó cégek folyamatosan harcolnak a ransomware-ek ellen, megpróbálják visszafejteni a kódjaikat, kitalálni a titkosítási kulcsot, ennek birtokában elkészíthetők a decryptor alkalmazások. Sajnos nem lehet egyértelműen kijelenteni, hogy minden ilyen kártevőhöz el fog készülni a hozzá való visszafejtő alkalmazás. A kártevő írók egyre szofisztikáltabb eljárásokat és bonyolultabb matematikai algoritmusokat használnak a kulcsgenerálásra. A kulcsgenerálási folyamatok ismertetése nem a cikk hatásköre, ezekről részletesebben a cikk végén található ajánlott irodalomban jelölünk meg olvasnivalót.

    Mivel a titkosítás feltörése sok esetben szinte lehetetlen ezért a biztonsági termékeket gyártó cégek más módszerrel is megpróbálják megszerezni a kulcsokat. A Kaspersky Lab külön részleget tart fenn, akik megpróbálják a hackerek által használt szervereket feltörni és onnan visszaszerezni a kulcsokat, amelyek segítségével már az adatok visszaállítása könnyű. Sok esetben jártak már sikerrel és így készítették el a visszafejtő programot.

    Sajnos nem minden ransomware variánshoz készül el a decryptor, de a lehetőség mindenképpen megvan, hogy megtalálják az ellenszerét, például a Kaspersky Lab jelenleg is többféle decryptorral rendelkezik és folyamatosan bővül a számuk. Amennyiben egy változathoz jelenleg nincs vissza fejtő alkalmazás, lehet érdemes kivárni egy kis időt, mert bármikor elkészülhet az.

    3, Keressünk adat visszaállító céget

    Sok cég foglalkozik adat mentéssel. Lehetséges, hogy a kártevő apró hibákat tartalmazott és ennek köszönhetően van lehetőség az általa encryptált fájlok visszaállítására. Sajnos ez sem minden esetben hozza a várt eredményt, hiszen vannak már olyan kártevők, amik olyan eljárásokat használnak, amely után semmilyen módon nem nyerhető vissza az adat.

    4, Fizessünk

    pay-online-paymentsMindenhol az olvasható, hogy ne fizessünk, hisz ezzel pont azoknak a zsebébe kerül a pénz, akik ellen harcolni kell. DE sajnos ez nem ilyen egyszerű, valaki akinek az élete munkája van a számítógépén, vagy az összes emléke, annak minden pénzt megér, hogy azokat visszakapja továbbá birtokunkban van egy összehasonlítás, hogy mennyi kárt okozott a ransomware, illetve mennyibe kerül a váltságdíj, így ez is megfelelő döntési faktor lehet.

    Fizetés menete

    A titkosító vírusok már-már a legkomolyabb üzleti szoftverekkel versengenek a képességeiket tekintve. Minden ilyen fertőzés esetén, hagynak egy teljes felhasználói user guide-ot, hogy a fizetés hogyan kivitelezhető. Ez az eljárás nem egyszerű, általában a TOR hálózat(„az internet sötét oldala”) segítségével és Bitcoin-ban(virtuális „valuta”) kell kifizetni az árat. A fizetés menete hosszabb időt is igénybe vehet, így ha ezen megoldás mellett döntöttünk, akkor javasolt időben elkezdeni a folyamatot, nehogy kifussunk az időből, így veszítve el az adatainkat.

    Visszaállítás

    A váltságdíj kifizetése után hozzájuthatunk a decryptorhoz. Sajnos ez nem minden ilyen esetben egyszerű, hiszen semmi garancia nincs arra, hogy ténylegesen megkapjuk azt és működni is fog. Ez miért történhet meg, hiszen ha senki nem kapja meg a decryptort annak hamar híre megy és senki nem fog fizetni?! Mégis ha bármi védelmi eszköz meggátolta, hogy a ransomware eljuttassa a kulcsot a C&C szerverre(ezeken keresztül vezérlik a ransomware-eket) akkor a hackereknek sincs birtokában a kulcs amivel visszafejthetők az állományok.
    Arról nem beszélve, hogy senki nem garantálja, hogy a megvásárolt decryptorok nem tartalmaznak-e további kártékony kódokat amikkel a későbbiekben újabb fertőzés áldozataivá válhatunk. Így minden ilyen esetben javasolt körültekintőnek lenni és megbizonyosodni róla, hogy nem hagynak más nem kívánt alkalmazást a gépünkön.

    5, Engedjük el

    Amennyiben egyik megoldás sem vezetett eredményre, vagy nem is szeretnénk velük foglalkozni, akkor fájó szívvel mondjunk búcsút az adatainknak, emlékeinknek és a rendszer teljes formázása, újratelepítését követően kezdjünk új életet, amelyben biztonságtudatos viselkedést veszünk fel.

    Hol tartunk?

    - Sikerült/nem sikerült az adatok visszaszerzése

  • +

    Utolsó lépés – Konklúzió levonása


    enterprise_security

    Sikeres vagy sikertelen adatvisszaállítás után mindenképpen gondolkodjunk el, hiszen a fizikai értékeinket is próbáljuk biztonságban tudni(zárjuk az ajtót, riasztót szerelünk fel, kamerát használunk, rácsokat, széfeket, biztosításokat,…), akkor miért éppen a „virtuális” vagyonunk megvédésre nem tettünk lépéseket? Mit kell tenni, hogy ne következzen be még egyszer ez az esemény? Elég felkészültek vagyunk az internet veszélyeivel kapcsolatban? Ilyen és hasonló lépések megválaszolásával és a megfelelő ellenlépések megtétele után máris közelebb kerültünk, hogy a saját, a családunk, a munkatársaink és mindenki számára egy biztonságosabb virtuális világot teremtsünk.

 

Olvasni való

A cikk nem egy részletes elemzés aki érdeklődik a témában itt további információkat szerezhet:

https://en.wikipedia.org/wiki/Ransomware
http://itsun.hu/2015/03/retegelt-vedelmi-megoldasok-meg-mindig-fontos-lenne/
https://en.wikipedia.org/wiki/Symmetric-key_algorithm
http://www.storagecraft.com/blog/5-common-encryption-algorithms/
https://blog.kaspersky.com/tag/ransomware/

KL

5/5 (2)

Kérlek szavazz

Back to Top