.crypt zsaroló vírusra megoldás?

Sziasztok!

A címben szereplő zsarolóvírus által letitkosított file-okat. Valaki ismer megoldást természetesen akár fizetöset hogy a file-okat ismét lehessen használni?

Előre is köszönöm a segítségeteket.

Hozzászólások

Mentésből visszaállítás, nem vicc, hanem sajnos. Víruskergető gyártóknak voltak decrypt eszközeik egyes rwkhez, próba cseresznye. 

Kifizetni a bitcoint nem jó? Ha értékes a cucc, akkor megéri,  ha pedig nem ér annyit, akkor az nem is értékes annyira.

"Nem akkor van baj amikor nincs baj, hanem amikor van!"
Népi bölcsesség

Valaki ismer megoldást természetesen akár fizetöset hogy a file-okat ismét lehessen használni?

Az instrukciot kell csak elolvasnod es meglesz hova es mennyit kell fizetned.

Hát, nem tudom, ez mennyire jó megoldás.

1. Kifizeted a zsarolónak a pénzt, de sosem lehetsz abban biztos, hogy a kapott válasz megfelelően fog működni.
2. Ha úgy működik a visszafejtés, hogy elküldöd a lekódolt fájlokat és visszakapod kikódolva, akkor kiadod a kezedből a számodra érzékeny adatokat.
3. Már a fizetéssel is elvi probléma vagy: gyakorlatilag ezzel anyagilag támogatod a törvénytelen tevékenységét.

Gábor

-Mentésből visszatölteni, megvan gyorsan.

-File szervernek valami snapshotolo fájlrendszert érdemes használni, sok szabad hellyel. Nekünk bejött a zfs. És legyen mentés. 

A fontos adatot az különbözteti meg a lényegtelentől, h van róla mentés. Esetetben mivel nincs mentés, ezért nem is volt fontos az az adat.

Nem biztos, arra pl. még fel lehet hívni a figyelmét, hogy eszébe ne jusson ugyanarra a diszkre újratelepíteni, mert ha mondjuk egy év múlva lesz decryptor (volt már, hogy simán publikálták a kulcsokat a készítők "jófejségből"), még legyen esélye visszaállítani.

BlackY

"en is amikor bejovok dolgozni, nem egy pc-t [..] kapcsolok be, hanem a mainframe-et..." (sj)

Nem az a tanulópénz, hogy akkor nem csinálunk semmit - az a tanulópénz, hogy kifizetjük az útonálló követelését és jó esetben visszakapjuk a szajrét (a könyvelőmnek legalábbis bejött), aztán fel lehet készülni legközelebb, de az nem megoldás, hogy akkor ennyi volt, nem veszünk tudomást az összes lehetőségről. 

"Nem akkor van baj amikor nincs baj, hanem amikor van!"
Népi bölcsesség

Fizetni nem szabad! Ezt előre mondom. Általában már a zsarolók által megadott bitcoin account sem szokott működni néhány hét után, a hatóságok szoktak intézkedni, hogy ne legyen elérhető. De ha még működik is, és fizet, akkor is majdnem biztos, hogy benyelik a támadók a pénzt, és vagy nem fognak semmilyen feloldókulcsot küldeni, vagy egy olyat, ami nem fog működni. Nagyon kicsi az esélye, hogy ezen az úton az adatok visszakaphatók.

Annak utána lehet nézni, hogy pontosan milyen ransomware ez, talán van hozzá decrypt túl, ha már nem túl friss, az esetleg mázli lehet, de ebben bízni már nagyon szalmaszálba kapaszkodás.

“I didn’t start using Linux so I could have friends.” (Luke Smith, 2019) 🐧

A .crypt kiterjesztés kevés ahhoz, hogy kiderüljön, hogy konkrétan melyik kártevőről van szó.

A leírásban mi a kapcsolati mail cím?

OFF: Aki jön a "tanulópénz", "ígyjárás", "majd legközelebb okosabb leszel" dolgokkal, az akkor mondja ezt, ha ez élet semmilyen területén soha nem követett el elkerülhető hibát.

Az okos más kárán tanul. A hülye a sajátján sem. Bocs, de ez van. Nekem esett szét (ketten hibáztunk anno) négy diszkes stripe-olt kötet egy rosszul beállított scsi-id miatt. Javarészt mentésből lett visszavakarva az adat. Tanultam belőle. Hullott atomjaira fájlrendszer, mert memóriahibás volt a pécé, és az emiatt lerohadó gép az újraindítás után a hibás memóriát használva fsck-zott. egy sérült wav-fájlt azóta is őrzök - csak mementóként. Volt szerencsém HP-s post mortem jelentést, amiben egy raid-tükör egyik diszkjének a cseréjének a vége lett újratelepítés - más kárán, de abból is tanultam. Döglött meg egyik pillanatról a másikra pendrive-om - megtanultam, hogy amit pendriv-on viszek a-ból b-be, nem move, hanem cp a pendrive-ra...
Szóval belőlem is a tapasztalat beszél akkor, amikor azt mondom, hogy backup, backup, backup, mert ami egy példányban van meg, az nincs meg.

Ez így mind igaz. Csak amikor állsz az autópályán a baleseti helyszínen, akkor sem az az első, hogy "Köllöt vóna a bittonsági öv, igaz-e?", hanem első körben higgadtan megnézed, hogy valahogy életben tudod-e tartani a csávót (jó esetben).

Adatvesztés-gyanús szituban én mindig azt mondom, hogy jó, akkor most amit lehet, megcsinálunk (anno ide is blogoltam, amikor dd-vel turkáltam ki fájlokat image-ből), aztán ha meg van az elveszett cucc, leülünk és összerakunk neked egy back-up megoldást.

BlackY

"en is amikor bejovok dolgozni, nem egy pc-t [..] kapcsolok be, hanem a mainframe-et..." (sj)

Akkor mégegyszer, mert szegénynek szétoffolom a topikját. Semmit nem segít, ha valaki az észt osztja, hogy mit kellett volna tenni. Én is voltam hasonló helyzetben, mint a topiknyitó, kurvára nem azt akarja az ember hallani, hogy mit kellett volna csinálni.

A tanulság levonása az eset után jön.
Ezzel kapcsolatban már nem írok ide vissza.

+1

Viszont mint írtam, kevés az infó. .crypt kiterjesztésből nem tudjuk melyik zsarolóvírus volt. A beazonosításhoz kéne még legalább a kapcsolati mail cím.

Kevés amit tudunk, a legnagyobb körültekintés és backup megléte esetén is becsúszhat egy ilyen. Olyan esetről is hallottam ahol a backup is ment a levesbe. Hiába van mentés ha az egy domain admin felhasználóval nullázható, vagy ha fertőzött gépre rákötik az USB diszken tárolt backup lemezt. Biztosan sok olyan szerencsés van itt akiknek a keze alatt csak fullra patchelt, támogatott oprendszerek vannak, az AD infra jogosultságok MS ajánlás szerint (https://docs.microsoft.com/en-us/windows-server/identity/securing-privi…) vannak kiosztva, óránként minden gépről image mentéssel, kazettán, minden reggel banki széfbe elszállítva. Aztán ha vissza kellene állítani a teljes infrastruktúrát akkor az óriási adatmennyiség miatt az 3 hónapig tartana. Szerintem mindenkinek lehetne meglepetést okozni, annak is aki azt hiszi, hogy mindenre felkészült.

Elég valószinűtlen, hogy a domain admin futtatna zsarolóvirust. Jellemzőbb, hogy egy mezei user szedi össze, igy a domain admin által elérhető backup biztonságban van.

Az óránkénti gép image-et sem értem. Mit érdekelne, hogy mi történik a kliens gépével? Meg van mondva neki, hogy ami fontos, azt a file szerverre mentse, amiről 5 percenként van replica (extended replica offsite), óránként shadow copy, éjjelente backup.
Ha meg szétbarmolja a kliens gépet, azt újrahúzom a standard image-ből, adat ott nem veszhet el.

Banki széf, persze. Nem kell azért ezt túlmisztifikálni.

"Elég valószinűtlen, hogy a domain admin futtatna zsarolóvirust "

Na pontosan erről írtam; nem az okoz meglepetést, amire számítasz. Több olyan esetről is hallottam, ahol megszerezték a domain admin jogot és azzal ment szét a teljes infrastruktúrán. Talán még itthon is volt ilyen eset.

Hát persze, megszerzik.

De szerezzék, a domain admin nem fér hozzá a replikákhoz, a hyperv szerverek mégcsak nem is domain tagok :)
De ne is folytasd, tudom: a replikákhoz való jelszót is megszerzik. Sőt az offsite szerver jelszavait is megszerzik és azt is letörlik, aztán pedig mindmeghalunk :)

Viccet félretéve, biztos létezhet ilyen is, de ha azt amit fent leirtam megtenné minden rendszergazda, akkor a zsarolóvirusok 99.9999%-al kevesebb esetben lennének sikeresek.

Az óránkénti gép image-et sem értem. Mit érdekelne, hogy mi történik a kliens gépével? Meg van mondva neki, hogy ami fontos, azt a file szerverre mentse

Ez nálunk is így volt, csak pont a visszaszámlálós (szeret magán emailről mellékleteket nyitogatni) kolléganő tett rá nagyívbe.  

A minden gép alatt érthetném azt a 200 szerveres környezetet is ami mondjuk több ezer vékonykliens kiszolgálását végzi. De az is csak egy példa volt. Nyilván a vékonykliensek mentéséről nem kell gondoskodni, de a 200 szervert menteni kell. A teljes infra visszaállítása pedig ott sem egy-két nap lenne.

200 fileszerver? Erősen kétlem. Sokezer vékonykliens esetén RD farmot szokás üzemeltetni, azok meg tömeges telepitéssel szoktak létrejönni, nem kézzel. Nem nagyon kéne adatot tároljanak, ha elpusztul, hát felhúzol egy (vagy éppen tucat másikat) és kész. És kell legyen 2-5-10 fileszerver, sql szerver stb klaszterben, amit már lehet normálisan shadow copy-zni, replikálni, backupolni.

"200 fájlszerver?"

Nem írtam 200 fájlszervert. 200 szerveres környezetet írtam. Láttam már ilyet, nem magamtól találtam ki. Nem tudom Ti milyen infrastruktúrákat üzemeltettek, de ha egy nagyobb cégnél több ezer vékonykliens működik, ott azért más rendszereket is használnak az RDS szerver farm csak egy kis része az egésznek. Ott vannak még a domain kontrollerek, a dhcp, dns, mail/mail-gw, web, proxy, könyvelési, termelésirányítási, 30-40 egyedi alkalmazást kiszolgáló, backup, monitorozó, hibajegykezelő rendszerek, stb.     

" domain kontrollerek, a dhcp, dns, mail/mail-gw, web, proxy, könyvelési, termelésirányítási, 30-40 egyedi alkalmazást kiszolgáló, backup, monitorozó, hibajegykezelő rendszerek "

Ezekre is irdatlanul soknak tartom a 200 szervert, látatlanban a ötöde inkább reális. Az pedig bőven kezelhető a fent emlitett dolgokkal és messze nem kellene hozzá sok nap, hogy visszaállitsa az ember, ha már az összeset egyszerre tönkreteszi az a borzasztóan fejlett virus, ami mindenhez hozzáfér, minden jelszót megszerez.

De igazából mindegy, hogy 5, 40 vagy 200 szerver, ugyanaz a technika működik bármennyi szervernél, bár nyilván egyre többe kerül az infrastruktúra, de aki 10-20 userenként beüzemel egy újabb szervert, az fizesse is meg az infra árát.

Kisebb, normális környezetben ez pedig aprópénz.

Igen, mindenki hibázik. Pl a druplálban annyi hiba van, hogy hónapokba kerül elindítani egy portált vele. Egy összetett rendszerről van szó, ezek hibák.

Az pedig felelőtlenség, hogy nincsen mentés fontos adatokról. Óriási a különbség.

Ráadásul évek óta létező probléma a zsaroló vírus. Aki nem barlangban él és informatikával foglalkozik, biztosan találkozott a problémával, szívásokkal.

Egy ilyen eset után inkább mindenki gondolja át, hogy van-e megfelelő mentése, és az a mentés véd-e a zsaroló vírusok ellen (külső HDD x maghajtóként és társai).

írtam privátba ...

--
ESET és Synology hivatalos viszonteladó

Ki lehet használni, hogy a vírus csak a fájlok elejét titkosítja, nem feltétlenül az egészet.

Firebird adatbázisokat már állítottam vissza ezt kihasználva, az adatokat egyáltalán nem érintette a titkosítás.

Milyen formátumokat titkosít? Vagy mindent, amit csak ér?