zaszyfrowane pliki to tragedia dla wielu osób.
mówimy o zaszyfrowaniu przez złośliwe oprogramowanie:)
co zrobić, gdy się to wydarzy?
jak do tego doszło?
co zrobić, żeby się nie wydarzyło?
na te trzy pytania odpowiedzi poniżej.
kiedy zobaczymy na pulpicie pliki z dziwnym dla nas rozszerzeniem, plus żądanie okupu w postaci okienka na pulpicie to mamy kilka możliwości.
jedną z nich jest zapłacenie okupu. nie jest to zalecana forma z uwagi na dwie sprawy. płacenie przestępcom nie jest niczym dobrym, to tylko napędza ten rynek, oraz nie ma pewności, że kupiony klucz deszyfrujący zadziała. Jest jeszcze jedno ryzyko, skoro adwersarzowi udało się uruchomić na naszym komputerze coś co zaszyfrowało dane, to mógł również zostawić inne złośliwe oprogramowania, np tylna furtka (tzw. backdoor), która może pomóc w przyszłości wejść jeszcze raz do komputera, lub złośliwe oprogramowanie, które może zadziałać w przyszłości, ponownie szyfrując dyski.
Jeśli podjęliście decyzję o zapłaceniu okupu i odszyfrowanie się udało, sugeruję sanityzację całego komputera (wyczyszczenie ze wszystkich danych, do zera) i instalację wszystkiego od nowa, zachowując jedynie pliki (skrupulatnie je skanując kilkoma narzędziami pod kątem zagrożeń).
odcięcie usługi RDP jest skuteczne by ochronić się przed atakami Crysis/Dharma/Phobos i inne ich klony. Jak to zrobić? Polecam poradnik na YouTube dla Windows 10 i Windows 7
Można też zmienić konfigurację RDP. „Crysis/Dharma/Phobos i inne klony włażą nie przez maile, a przez RDP (Zdalny pulpit) wystawiony na świat. Więc albo wystawiamy RDP wewnątrz VPN (jeśli go mamy), albo przynajmniej ograniczamy do znanych zakresów IP (np. tylko INEA+Play), biorąc je np. stąd: http://www-public.imtbs-tsp.eu/~maigron/RIR_Stats/RIPE_Allocations/Allocs/PL.html – skany przychodzą najczęściej z Rosji i chmur AWS/GCP/Azure, więc istotne jest to, aby NIE otwierać RDP dla całego AWS (czy innej dużej chmury/DC).
Innym krokiem niż płacenie okupu, jest instalacja całego środowiska od zera na tym komputerze i przywrócenie swoich danych z backupu.
No tak, ale czy mam backup? Czy on zawiera wszystkie dane? Lepiej znać te odpowiedzi wcześniej.
Zawsze na szkoleniach zadaję pytanie: gdy zgubisz komputer, wpadnie on do rzeki, ulegnie awarii, czyli wydarzy się coś co pozbawi Cię bezpowrotnie danych na nim umieszczonych, co wówczas? ile danych stracisz, ile bezpowrotnie, a ile uda się odzyskać? ile czasu zajmie Ci odzyskiwanie?
idealna odpowiedz to: stracę pracę z ostatnich kilku minut, będę mógł pracować na nowym sprzęcie mając wszystkie dane w ciągu kilku godzin.
Tak, jest to realna odpowiedz. Da się tak zrobić. Kilka słów o tym w dodatkowym akcie tego wpisu:)
Najlepszym wyjściem jest kontakt z kimś, kto się zna na odzyskiwaniu (poprzez odszyfrowanie) takich plików. Polecam kontakt z moimi przyjaciółmi z ransomware.pl Na swojej stronie opisali jak dokładnie postępować i uczciwie podchodzą do sprawy.
Co się wydarzyło, że mam zaszyfrowane pliki?
Z dużym prawdopodobieństwem można powiedzieć, że zaszyfrowało te dane złośliwe oprogramowanie uruchomione przez użytkownika. Zazwyczaj nasza ciekawość ciągnie nas w kierunku otwarcia „faktury”, wejście na zainfekowaną stronę internetową.
Wystarczy uruchomić na swoim komputerze wirusa, by zaszyfrował w ciągu kilku minut całe środowisko, wszystkie dane. To oczywiste.
Inna opcja to wejście do komputera przez ww. usługę zdalnego dostępu (RDP). Wykorzystują taką podatność przestępcy, którzy na masową skalę wyszukują podatnych na to komputerów.
Jak nie dopuścić do takiej sytuacji?
Wspominam o tym w podcaście, szczególnie odcinek o BHP i socjotechnice. Rzecz sprowadza się do zachowania ostrożności, nie otwierania załączników, które są nam obce (w formie i treści). Nie możemy doprowadzić do uruchomienia na naszym komputerze złośliwego oprogramowania. Niby banał, ale do tego się to sprowadza. Zapraszam na szkolenie, na którym mówię o tym i innych zagrożeniach.
A co zrobić, by zaszyfrowanie nas nie bolało?
Te recepty są tak samo skuteczne, na bolączkę z powodu zagubionego, uszkodzonego, skradzionego sprzętu.
Kilka podstawowych zasad, sprowadzających się do backupu i archiwum.
- wiedz co jest ważne, a co ważniejsze w zakresie twoich danych
- to co ważne miej w jednej kopii, umieszczonej na pendrive, dysku zewnętrznym, w ostateczności na chmurze typu Dropbox, OneDrive lub innej
- to co ważniejsze musisz mieć na innym nośniku, lub w osobnej lokalizacji.
- ww kopie powinny być na odizolowanym urządzeniu, środowisku od naszego komputera. Co nam po nich, kiedy szyfrowanie obejmie również podłączone urządzenia do komputera, na których owa kopia była?
- takie kopie zapasowe można wykonywać ręcznie, lub automatycznie.
- jest wiele narzędzi do ich realizacji, ja polecam Xopero Personal Cloud, kosztuje 120 zł rocznie i ochroni w tej cenie 1TB danych.
- Xopero Personal Cloud może być skonfigurowane tak, że robi kopię wskazanych danych co 15 minut (lub rzadziej) i wysyła ją do chmury, automatycznie, bez naszego udziału, nawet przez LTE.
- jeśli potrzebujesz z tym pomocy, daj znać
- dane na nośniku zewnętrznym, w chmurze „czekają” na awarię, pomyłkę, zaszyfrowanie. Można ich użyć w ciągu paru minut, od skonfigurowania komputera.
- możesz teraz odpowiedzieć na pytanie „ile stracę i ile czasu będę odzyskiwał”
podsumowując można powiedzieć, że jeśli się wydarzyło to u Ciebie, zaszyfrowało Ci wszystkie pliki, masz teraz zapłacić okup, to wiesz co robić. Wiesz również, co zrobić, by śmiało ignorować takie pomyłki, wystarczy zrobić odpowiedni backup i archiwum.
Jeśli odpowiadasz (i doczytałeś do tego momentu i się nie nudziłeś) za większą sieć , za małą firmę, lub większą to zapraszam Cię na szkolenie, na którym dla osób znających się już trochę na IT wspominam o wielu rzeczach z bezpieczeństwa.