Napadl nás kryptovir
Home ― Proč K-net ― Pro vás ― Časopis Login ― Články Loginu ― Napadl nás kryptovir
Kyberneticka hrozba zvaná kryptovirDruh ransomware (vyděračský software) je druh škodlivého programu, který šifruje data v něm zapsaná, a pak požaduje od oběti výkupné za obnovení přístupu. Více na… neboli ransomwareSložení anglických slov ransom („výkupné“) a software. Jedná se o druh škodlivého programu, který blokuje počítačový systém nebo šifruje data v něm zapsaná, a pak… je v současné době hrozbou číslo 1 pro IT společností a organizací. Mimo medializovaných kauz nemocnice Benešov či OKD a dalších se tato „nákaza“ bohužel nevyhnula ani významné české cestovní kanceláři ATIS.
Jak se kryptovirDruh ransomware (vyděračský software) je druh škodlivého programu, který šifruje data v něm zapsaná, a pak požaduje od oběti výkupné za obnovení přístupu. Více na… dostal do sítě, není přesně známo. Pravděpodobně šlo o závadný e-mail nebo nějakou nezjištěnou díru v systému. Toto se velmi těžko zpětně dohledává, pokud přijdete o data a přístup do systému. K nákaze došlo někdy před 8. 8. 2020 ransomwarem Phobos.C., k samotnému šifrování souborů potom v noci ze soboty 8. 8. na neděli 9. 8., kdy v neděli ráno byl systém nedostupný a téměř všechny soubory zašifrované. Došlo k napadení devíti serverů z celkových třinácti, jeden neměl nastaveno žádné sdílení a byl mimo doménu, zbývající tři zachránil zálohovací software Acronis, který rozpoznal nestandardní chování a proces kryptování zastavil.
Poté, co došlo k vypnutí všech zařízení a odpojení serverů, se začal zjišťovat rozsah škod. Vzhledem k tomu, že kryptovirDruh ransomware (vyděračský software) je druh škodlivého programu, který šifruje data v něm zapsaná, a pak požaduje od oběti výkupné za obnovení přístupu. Více na… se šířil pravděpodobně přes sdílení souborů, napadl vše, co viděl v síti. Neunikly tomu ani zálohy, které byly zálohované na sdílené úložiště, i když byly pod speciálním administrátorským účtem mimo doménu. Téměř všechny servery byly nefunkční a nepřístupné. Jediné, co zůstalo funkční, byl naštěstí informační systém cestovní kanceláře, který je webový a běží v clouduJedná se o služby poskytované přes internet, pomocí kterých se zprostředkovává přístup k aplikacím, úložišti pro data nebo výpočetnímu výkonu. Poskytovatel těchto služeb zajišťuje veškeré… u dodavatele. Každopádně velkým problémem bylo to, že nebyly k dispozici žádné e-maily, dokumenty ani jiná data.
Hned v neděli se tedy začalo s opravnými pracemi ve spolupráci se společností K-net. Prvním krokem bylo najít v systému daný virus a ten ze systému odstranit. To se naštěstí podařilo celkem rychle pomocí antiviru ESET. Vzhledem k tomu, že nebyl zašifrovaný systém doménového serveru (Microsoft Active DirectoryActive Directory je v informatice název adresářových služeb LDAP implementované firmou Microsoft pro řadu systémů Windows. Databáze Active Directory je uložená na řadiči domény, který…) a terminálového serveru, podařilo se ještě během neděle nouzově zprovoznit chod kanceláře. Větším problémem byl e-mailový server, který bylo nutné instalovat celý od začátku včetně kompletní konfigurace. K úplnému zprovoznění došlo až v průběhu dalšího týdne, kdy uživatelům začala chodit nová pošta, ale starou poštu samozřejmě neměli k dispozici.
Vzhledem k tomu, že mnoho dalších dokumentů a systémů bylo neobnovitelných, začaly se paralelně zjišťovat další možnosti obnovy. Po konzultaci s antivirovou společností ESET bylo ověřeno na stránkách nomoreransom.org, že dekryptor k tomuto typu ransomwareSložení anglických slov ransom („výkupné“) a software. Jedná se o druh škodlivého programu, který blokuje počítačový systém nebo šifruje data v něm zapsaná, a pak… neexistuje a pravděpodobně nějakou dobu existovat nebude (pokud vůbec někdy). Došlo tedy k pokusu kontaktovat útočníka. Útočník požadoval cenu za dekryptování 1 bitcoin (v přepočtu asi 230 tisíc Kč v době incidentu). Po delší diskusi slevil na 0,5 bitcoinu. Po interní dohodě s jednateli společnosti mu byly tyto peníze odeslány. Výsledkem bylo bohužel obdržení kódu pouze k jednomu systému a za ty další požadoval další peníze (6800 USD). Toto už bylo pro společnost neakceptovatelné, a tedy s útočníkem diskuzi přerušila.
Dalším pokusem bylo kontaktování společ-ností, které se profesionálně zabývají řešením následků po napadení kryptoviremDruh ransomware (vyděračský software) je druh škodlivého programu, který šifruje data v něm zapsaná, a pak požaduje od oběti výkupné za obnovení přístupu. Více na…. Osloveny byly společnosti beforecrypt.com a datarecovery.com. Jak se ale ukázalo, tyto společnosti žádné dekryptory nemají a jsou to pouze profesionální vyjednavači. Tedy za cenu například 3000 € vám zajistí odbornou komunikaci s útočníkem. Ručí za to, že útočník data dešifruje, ale v ceně samozřejmě není poplatek útočníkovi, a ten samozřejmě nejsou schopni dopředu sdělit. Reagují ale opravdu velice rychle a jako první krok posílají hned na proplacení svoji fakturu.
S ohledem na výše zjištěné informace bylo vedením společnosti rozhodnuto, že se do dalšího pokusu o obnovu dat nebude pouštět. Vše bylo zarchivováno v daném stavu a byl spuštěn postupný proces instalace nových systémů. Některé drobné systémy se ještě podařilo obnovit ze starších archivů, ale většinu bylo nutné zprovoznit a pořídit znovu.
Aktuálně se samozřejmě pracuje na kompletní změně zálohovací strategie. Zálohovací systém musí být zcela oddělen od produkční infrastruktury a zálohy nesmí být pro útočníka dostupné. Po těchto zkušenostech budou určitě vytvořeny minimálně 2 kopie různých záloh a minimálně jedna bude vytvářená na přenosné disky a odnášená mimo budovu. V řešení byla i záloha do ClouduJedná se o služby poskytované přes internet, pomocí kterých se zprostředkovává přístup k aplikacím, úložišti pro data nebo výpočetnímu výkonu. Poskytovatel těchto služeb zajišťuje veškeré… K-net, ale s ohledem na velké množství dat a stávající konektivitu společnosti to bude ještě realizováno starým způsobem na přenosné disky. Uvažovaným řešením je zálohovací systém Veeam nebo Nakivo. Zálohování by mělo být ideálně prováděno ze zálohovacího serveru či NASNetwork Attached Storage (zkratka NAS, česky „datové úložiště na síti“) je v informatice označení pro datové úložiště připojené k místní síti LAN. Data toho úložiště…, kde bude zálohovací SW instalován. Ten by měl zálohovat celé virtuální systémy přes rozhraní virtualizaceJe původně pojem zažitý pro metodu, kdy více operačních systémů běží současně na jednom fyzickém serveru (bez virtualizace může běžet jen 1 operační systém na… bez toho, aby bylo v síti cokoli sdíleno.
Komunikace firmy ATIS s útočníkem – vyjednávání výkupného za dešifrovací klíče
ATIS: Hello, we are a travel agency strongly affected by covid-19. In this moment we are last 3 people here. We are therefore not able to pay you.
We ask you seriously for a free of charge decision.
JZ
Útočník: Hello!
We are glad to hear You! And We will be happy to help You!
Here is Your personal instruction:
httpsProtokol pro bezpečný, šifrovaný provoz na webu.://onetimesecret.com/secret/suj5uwa7ol8scu3hpvf8xbjp0hg9v17
Password: 1unit
Please read it carefully! After that just follow Your instruction and You will solve this problem very quickly!
Also we have decrypted your files. Check the attached files.
Our kind regards,
Sara Bauman
Customer Service
Extracom IT
&
Worldwide Children Charity Community
Attention! Little girl Ella need a help!
Her diagnosis: Acute Lymphoblastic Leukemia (ALL)
Need for medical help: $130k
Already contributed: $71k
Each donation is very important!
ATIS: Hello, I am willing to contribute to charity, but unfortunately the amount of 1bitcoin is beyond my financial means, 1bitcoin is my profit for the whole year, I can contribute 1/4 bitcoin, I do not have more value for lost data because I run the important part in the cloudJedná se o služby poskytované přes internet, pomocí kterých se zprostředkovává přístup k aplikacím, úložišti pro data nebo výpočetnímu výkonu. Poskytovatel těchto služeb zajišťuje veškeré….
Best regards, JZ
Útočník: Excuse us but it’s not depends from us.
We can only give you a special 50% discount coupon.
The finish price will be 0.5 btc.
This is the most how we can help you.
Best regards,
Sara
ATIS: Unfortunately, I don’t have 1/2 bitcoin at the moment, I can send 1/4 btc immediately, tomorrow I will try to arrange a loan from the bank, but it will take some time.
Best regards,
JZ
Útočník: OK, send half today and half tomorrow.
Your recovery price will be fixed for this time period.
Best regards,
Sara
ATIS: Here is currently 9 o’clock in the evening, I do not have a bitcoin account, in the morning I can make the first part of the transaction, but the rest depends on the settlement of the loan at the bank, which can take 2-3 days.
Best regards, JZ
Útočník: OK, fixed.
ATIS: Hello, 0.5 bitcoin has just been converted.
Best regards, JZ
ATIS: Hello,
today the transfer was entered, but I suspended the payment, because I need to be sure that 0.5 bitcoin is for all infected PCs in the network, ie. that special software decrypts all IDs.
Regards,
JZ
Útočník: Hello.
yes, you will recover all files.
Please inform when the bitcoin transfer will be sent.
Regards,
Sara
ATIS: The transfer has been entered, I’m counting on your honesty.
Útočník: Yes, You can be sure.
Best regards,
Sara
Útočník: Now have to wait while it will be confirmed.
Útočník: Hello!
It has been received.
First of all We want to say THANK YOU! Soon Ella will receive a medical help from Your name! It`s a great moment!
You should be proud of yourself!
Download the attached software to the encrypted PC, switchSíťový přepínač (anglicky switch) je v informatice aktivní prvek v počítačové síti, který propojuje jednotlivé prvky do hvězdicové topologie…. off all anti-virus programs (even Windows Defender!), unzip it, run it.
httpsProtokol pro bezpečný, šifrovaný provoz na webu.://dropmefiles.com/qHdPL
Archive password: software
Then click button „Scan“ and wait. When the Scan process will be done You will see the KEY1 code.
Please copy this code and send it back.
Then we will send You a KEY2 code. You will need to put in the software and then press „Decrypt“ button.
Just in 20 minutes all Your data will be recovered and protected! Your network vulnerabilities will be closed!
All our community is blessing You! We wish You all the best!
Our kind regards!
ATIS: Thank you, I’m sending more keys in attachments
Útočník: Hello!
I regret to inform you that your payment included 3 decryption keys only. That information I’ve just received from the Main Server when tried to get your another KEY2 files. Sorry.
Another IDs should be extra paid.
We are talking about IDs:
E61CD199
5A936317
923B60A0
0A9ACA40
98F8A384
945D5782
This fool final decryption package will cost just a 6,800 USD
Please do not discuss about it. It will not solve your situation.
Just understand that usually each ID costs 1 bitcoin.
You already have a 3 keys just for 0.5 btc. And another 6 IDs you will get just for 6,800 USD (but in another situation you will pay 6 btc for it)
Send a donation to the same charity wallet. And in the next 20 min you will all KEY2 codes.
Remind you again it’s not depend from us so we can’t help you with the price regulation.
Best regards,
Sara
ATIS: You put me in a difficult financial situation, I borrowed money from the bank, which I will repay all year, I did it because you promised me that I would decrypt all the computers in the entire network for this price. You confirmed it to me twice, so I agreed with the price. For 0.5 bitcoin, I decrypted only one computer, which I didn’t even need. I relied as much as you did for the fair dealings between us. I am very disappointed that I was deceived. I can’t afford to send more money.
Útočník: Hello,
tomorrow is the last day we will be waiting for the answer from you.
The price is $6800.
If you will not answer then your personal decryption keys will be deleted automatically by our Main Server.
Best regards,
Sara
Útočník: Attention!
Tomorrow your decryption keys will be deleted.
You will not able to recover your business data.
It will stay encrypted forever!
Contact us immediately for cancel the deletion process and start the recovery process.
Best regards,
Sara
ATIS: Unfortunately, my trust in your honesty does not exist, if you want to negotiate, prove that you can also take a risk, send this code, for example, and we will continue to negotiate.
Útočník: Attention!!!
Today is the last day for completing the recovery process.
In the end of the day your full decryption keys package will be deleted.
Today you have an opportunity to recover all your servers just for $6800.
Contact us back as soon as you can.
Best regards,
Sara
Útočník: Also it will be absolutely your fault.
All our customers always recover their data when they follow the instruction and complete the full payment.
If we want to cheat you why we already sent you a decryption software and KEY2 ? We never cheat our customers! Never! Just think about it.
And you really have a cheapest price for recover that big quantity of encryption IDs.
Today is the last opportunity for you.
We hope you will choose the right decision.
Regards,
Sara
ATIS: how much do you want for 0A9ACA40-2926
Útočník: One key will cost you $5000
All keys will cost you $6800
ATIS: for this one PC I will give max. 2000, if not, I will start with a new installation
Útočník: sorry, 5000.
or 6800.
ATIS: why did you repeatedly assure me that 0.5 bitcoin is the price for all PCs on the network and now you want more money, don’t you see it as dishonesty?
Útočník: Your account has more than 3 keys. It costs extra money. When I told you I did not know how much keys do you have on account. I’m honest with you.
5000 for 1 ID or 6800 for all:
E61CD199
5A936317
923B60A0
0A9ACA40
98F8A384
945D5782
Regards!
Útočník: Hello!
Are You ready to complete the recovery deal?
ATIS: Yes, You can be sure.
Best regards,
JZ
Útočník: OK, you have to make a final payment to get your full IDs decryption package.
Článek vznikl s laskavým svolením vedení ATIS, které umožnilo sdílet svou zkušenost jako varování ostatním.
Můj osobní závěr a rada pro všechny, kteří měli prozatím štěstí: Smířím se s tím, že budu znova napaden, ale už se nesmířím s tím, že nebudu kvalitně zálohovat; jedině se zálohou nedojdete k trpkému zjištění, že se zločinci se nevyjednává.
Jiří Zahradník
IT, ATIS
Petr Nepustil
Vystudoval VUT v Brně obor Sdělovací technika. Ve firmě K-net je už více než 20 let, začal s ní spolupracovat už na vysoké škole. Závěr studií na vysoké škole strávil na univerzitě v Paříži, kde psal půl roku diplomovou práci na téma kódování řečových signálů. V K-net si prošel pozicemi IT Specialista, vedoucí oddělení, vedoucí divize produkce a kvality. Aktuálně se zaměřuje hlavně na obchod a vedení divize produkce. Baví ho pomáhat našim zákazníkům s návrhem a budováním jejich IT infrastruktury.