Zsarolóvírus támadás engem/minket ...

Titkosítás, biztonság, privát szféra

Személy szerint közvetlenül téged (saját szerveren vagy eszközön tárolt adatok), vagy közvetetten munkaadódon keresztül (munkahelyi, általad is használt adatok) érintett-e zsarolóvírus (ransomware) támadás?

Érintett. Fizettem/fizettünk. Az adatokat vissza tudtam/tudtuk állítani teljesen.
2% (22 szavazat)
Érintett. Fizettem/fizettünk. Az adatokat vissza tudtam/tudtuk állítani részben.
0% (1 szavazat)
Érintett. Fizettem/fizettünk. Az adatokat nem tudtam/tudtuk visszaállítani.
0% (2 szavazat)
Érintett. Nem fizettem/nem fizettünk. Az adatokat vissza tudtam/tudtuk állítani teljesen.
12% (117 szavazat)
Érintett. Nem fizettem/nem fizettünk. Az adatokat vissza tudtam/tudtuk állítani részben.
6% (57 szavazat)
Érintett. Nem fizettem/nem fizettünk. Az adatokat nem tudtam/tudtuk visszaállítani.
3% (35 szavazat)
Nem érintett.
76% (765 szavazat)
Egyéb, leírom.
0% (4 szavazat)
Összes szavazat: 1003

( uid_6201 v | 2023. 02. 09., cs – 07:37 )

Szerkesztve: 2023. 02. 09., cs – 07:40

Nem érintett egyelőre, ellenben a HUP-on tárgyalt eseten túl több hazai kisebb cégről is hallottam, amelyiket lefektetett múlt héten zsarolóvírus. Szintén VMware ESXi volt a támadási pont.

na erre en is kivancsi lennek. nalunk mondjuk kulon managelt halon van, vpn-en erheto csak el belulrol is, de ez most remek alkalom volt a vpn hozzaferesek felulvizsgalatara, mert mar eleg sok olyan kulsosnek is volt kulcsa akikkel mar nincs is kapcsolat/szerzodes... (igen tudom jobban kene managelni a hozzafereseket, csak amikor x szerzodott ceg megbizza y alvallalkozot aki megkeri z haverjat hogy nezzen ra valamire stb - tobb 100 vm eseten sok kulsosnek is kell hozzaferest adni...)

az a baj ha egy kulsost vagy annak a ceget bevirusozzak es onnan van hozza vpn hozzaferes, akkor te hiaba vedekezel...

Legutóbbi eset, amiről hallottam, hogy a gyártáson levő termelésirányító gépre a Hans Németországból Teamviewer-t telepített, mert lusta volt az ellenőrzött VPN-nel bíbelődni. Egyik éjjel azt vették észre a dolgozók, hogy valaki "irányítja" a gépet, de akkor már késő volt. Sajnos ez a baj a bedolgozókkal.

trey @ gépház

Vagy mikor szarnak a fejedre, mert az összes vezető beosztásúnak local admin és hozzáférés kell mindenhez is, és csak annyit tudsz tenni hogy ledokumentálod így hárítva a felelőséget. Mindenki ismer ilyen helyet vagy rosszabb esetben dolgozott is ott szerintem. 

The worst or stupidest ideas are always the most popular.

Nem, ez nem az. Ez az, amikor nem a hálózatos mondja meg, meg az op. rendszeresek, hanem a német meg a magyar helyi CEO osztja ki a jogokat. Mert ők tudják :D :D :D

Na, hálózatosként azt bíráld felül. Ha tudod! :D

(Érveik: olcsóbb Hansnak Németországban távoli, local rendszergazda elérést adni a kliensre, mint kifizetni neki a repülőútját. Több bónusz marad így a CEO zsebében)

trey @ gépház

És ezt lehet használni bizonyítékként? :)

Ez tényleg érdekel, ha például van egy 2004-es mentésem és szopóágra akarnak venni (bíróságra citálnak) akkor ki fogja nekem elhinni, hogy valami 2004-ben tényleg úgy volt beállítva ahogy a mentés tükrözi és nem én hamisítottam, de ugyanez eljátszható mailboxal.

Lehet. Nem egyszer sikerült. Eddig még mindig sikerült, amikor kellett és ez nem egyszer volt. Igaz, sokszor se. Szerencsére kevés az a páciens, amelyik a végén a saját hibájából sem tanul. Olyan is volt, attól mi váltunk meg :D

trey @ gépház

Gondolom eszköztől függ.

Én pl. Outlookból egy archívumot nyitottam meg (ami valójában egy fájl), és oda másoltam azokat a leveleket, amiket nem akartam, hogy pl. egy automatikus törlés vagy bármi hiba eltüntessen.

Az archívum fájlt aztán meg tárolhatja az ember akárhol, akárhány példányban, offline is. (Az én régi archívum fájljaim a laptopomon voltak egy ideig, aztán kb. évente CD-re írtam ezeket (is)).

Manapság nem nagyon van ilyen mentendő email, évek óta nem kellett Outlookból archiválnom, de ha kellene, kb. ugyanezt csinálnám, csak mondjuk Google Drive-ba vagy menne a fájl.

Elsősorban nem zsarolóvírusok miatt csináltam ezt régebben se, de ha zsarolóvírustól félnék, akkor az Outlookomból az automatikus archiválással mindent másolnék az archívumba, az archívumot meg automatikusan feltölteném valahova, amit utána unmountolnék. Jelenleg nincs kialakítva ilyen infrastruktúrám, otthon pl. a NAS-t tudnám erre használni NFS mount, copy, umount. Ugyanezt valami felhős megoldással vagy alapból nem mountolt helyi partícióval próbálnám esetleg a laptopon úgy megcsinálni, hogy ne csak otthon működjön.

Más emailjeimet, amik nem MS rendszerben jöttek, azokat meg a rendes napi/heti backup, illetve a levelező kliensbe letöltött másolatok óvták volna meg. De mondjuk ilyen rendszereket se használok manapság.

disclaimer: ha valamit beidéztem és alá írtam valamit, akkor a válaszom a beidézett szövegre vonatkozik és nem mindenféle más, random dolgokra.

Hogy lehet bizonyítani, h. ezeket a leveleket anno valaki tényleg el is küldte, és nem csak kézzel rakott össze magának egy mail fájlt utólag? Vahy kozmetikázta a tartalmat. Teszemazt sok évre visszamenőleg kellene egy elküldött levél. Ahol már talán a saját mailserver logjából (rotált az ilyen, v. csakis szigorúan monoton növekvő lehet?) is kikerült minden nyoma h. volt valaha is ilyen levél!

Eddig nem volt ilyenre szükségem, mert sehol se kérdőjelezték meg, hogy igazi-e valami email.

De ha bizonyítani kell, akkor vannak ilyen dolgok, mint digitális aláírás meg időbélyegzők.

disclaimer: ha valamit beidéztem és alá írtam valamit, akkor a válaszom a beidézett szövegre vonatkozik és nem mindenféle más, random dolgokra.

Persze. Csakhogy Hans úr a német anyacégnél dolgozik, nem bírálhatod felül az anyacég által elrendelt eljárást te, aki a magyar leányvállalat külsős vállalkozója vagy. Annyit tehetsz, hogy leírod a javaslataid. Aztán, amikor gond van, hivatkozol rájuk.

trey @ gépház

Ja szerencsére itt mi mondtuk meg, hogy így lesz. Még az is lehet, hogy simán beintenék a főszuperarcnak, hogy ha valami marhaságot mond. Ha nekem kell csinálni, akkor így lesz és kész, vagy megbeszéljük a HR-en. Igen jó eséllyel találok olyan poliszi pontot egy nagy cégnél, ami egy 3rd party kényelmi hozzáférésnek a gondolatától is agykisütést (lásd még Tökéletes Katona van Damme-mal... :) ) ír elő. Ha meg nem, akkor csóközön.

Én ezt úgy látom, hogy a pénzéért mindenki hadd legyen hülye. Lássuk be, mi abból élünk, hogy vannak IT-hoz nem értő dilettánsok. Tőlem aztán minden hónapban feltöretheti magát bárki, aki nem hallgat a szóra, kockára teheti az adatait, az üzletét. Amíg fizeti a helyreállítást, a költségeket ... miért ne? Ha egyszer ez a fétise?!? :D

trey @ gépház

Egész más a megrendelő, de a megrendelőnek se kell minden marhasága előtt fejet hajtani. Pontosan a fenti miatt mindíg lesz olyan, aki szó nélkül beveri a szöget bárhova, ha azt kérik. A fenti példában egy cégen belüli vagy alvállalkozói történet sejlett fel számomra, ahol azért egészen mások a lehetőségek és opciók. Pláne akkor, ha mondjuk rád van bízva, hogy "működjönjól, soselegyenprobléma" stbstb, akkor nem biztos, hogy hajbókolva mindent is meg kell csinálni.

Igen, az a baj, hogy ha a megrendelő hülyesége miatt is van adatvesztés, akkor is kerülhet sár a te nevedre is, mert a mendemondák szintjén már lehet, hogy az lesz belőle, hogy "adatvesztésük volt: az XY kft a rendszergazdájuk, biztos azért". Volt már olyan velem is, hogy egy ügyféllel egészen korai megbeszéléseken leakadtunk egy ponton egy adatgyűjtő szoftver kapcsán, hogy mondtam a tervezett architektúrára, hogy ez így egészen biztosan adatvesztéshez vezet, csak idő kérdése. Ezen olyan jól elvitatkoztunk, hogy nem lett második megbeszélés, nem kerestek többet. Azóta sem tudom, hogy elbuktam-e egy jó üzletet, vagy elkerültem-e egy csapdát.

Pontosan a fenti miatt mindíg lesz olyan, aki szó nélkül beveri a szöget bárhova, ha azt kérik.

Kifejtettem, hogy nem erről van szó. Hanem arról, hogy megkapja a szakvéleményt, hogy mit, hogy kéne, aztán ha attól eltér, akkor az az ő baja.

A teljesen ostobák pedig el vannak tanácsolva.

trey @ gépház

( msandor v | 2023. 02. 09., cs – 09:06 )

Jelenlegi cégemnél nem érintett.

Ám egy régi cégemnél érintett. Nem fizettünk. Az adatokat vissza tudtam állítani teljesen.

Ugyanez. Egy régebbi munkahelyemen érintettek voltunk, vCenter, SAP-Prod Dev Test, on prem exchange és a backup is ment vele, egyedül valami őskövület belső fejlesztésű software, ami WindowsXP-n!!! futott, úszta meg. Nem fizettünk, az volt a szerencsénk hogy két héttel a támadás előtt cseréltük le a BMS-einket, és ott voltak a régi szerverek kikapcsolva, rajta a "nem túl régi" adatokkal. A munkatársaknak így is egy hónapjába telt napirendre jutni, persze egy csomó túlórával. Csúnya volt, de fejek nem hulltak, mert kollektív hiba volt és by design volt elszúrva az egész rendszer. Az érdekesség, hogy a virus, az exchange adatbázis mozgatása közben aktiválta magát, szóval valószínű ott csücsült valamelyik mailben, csak valami miatt nem tudott aktiválódni (lehet megfogta az antivirus), és ott ült mint egy időzített bomba, ami a mailek másolása közben elszabadult. Amúgy 2 hét levelezés kuka. Senkinek nem kívánom azt az egy hónapot, amiben akkor részem volt ...  

The worst or stupidest ideas are always the most popular.

Passz, a kollégák bőszen nyitogatták az inboxot az új exchange szerverről, valószínű aközben. Én fejeztem ki rosszul magam hogy másolás közben, mert tulajdonképpen utána történt, de annak következtében. A nod32 meglátta csak nem tudta megfogni. 

The worst or stupidest ideas are always the most popular.

Oh, szóval ott volt a user mailboxában, de nem ment neki a privilege escalation. ( valószínűleg azért mert patchelve voltak rendesen a kliensek).

Aztán mikor a szerencsés admin megfelelő privilégiummal tesztelés közben megnyitotta a mailboxot, akkor ment minden a levesbe.... nice.

Mindig tanul újat az ember... :)

( Tassadar v | 2023. 02. 09., cs – 09:52 )

Szerkesztve: 2023. 02. 09., cs – 09:56

Rémlik valami '15 környékéről, az IT Windows csapatából a DevOps csapatba frissen igazolt kolléga desktop gépe lakatolt le egy file share-t, amit közösen és nagyon sokan használtak, build és deployment folyamatok alatt is.

Akkoriban az 1200, zömmel fejlesztő kolléga többsége kierőszakolta a local admin jogosultságot, bár ehhez nem kellett priviledge escalation, ha jól emlékszem.

Könyvet tudnék írni róla, hogy milyen súlyos sérülékenyekségek vannak, még globális multik IT rendszereiben is.

( kovi | 2023. 02. 09., cs – 10:22 )

Egyéb: egy nem felügyelt** linuxos dedikált FTP-t vittek tavaly: szerencsére izolált környezetben dolgozott és a rajta lévő adatok már ki voltak szervezve valahová + le is voltak mentve máshová. Így nem is próbáltunk trükközni, egyszerűen leszereltük a gépet és az adattárolót (szintén izolálva) megtartottuk későbbi mintának - illetve arról okosodni.

** Egyáltalán azért volt üzemben, mert az e téren érintett üzemeltető kolléga sajnos az életének utolsó szakaszában otthon várta a műsor végét, mi pedig (részben szervezetlenségből eredően) nem is tudtunk a gépről.

Vortex Rikers NC114-85EKLS

( khiraly | 2023. 02. 09., cs – 14:08 )

Erintett, reszlegesen sikerult visszaallitani.

Egyik munkavalalonak 2 napnyi munkaja veszett oda (hetfo,kedd).

Plusz amit az asztalan tarolt, ami, mint kiderult tetemes mennyiség.

Saying a programming language is good because it works on all platforms is like saying anal sex is good because it works on all genders....

Egyszer egyik ugyfelnel felulirtak veletlen egy xls filet. Meg csak nem is virus volt, csak emberi hiba. 1 hetes mentesbol visszaraktam nekik, de mint kiderult abban a fileban 5 ember 1 heti munkaja volt, es 1 honapig tuloraztak mire ujracsinaltak... pedig csak par kbyte... szoval minden relativ, ismerek olyat is ahol tobb 10 TB adat van, de ha elveszik hat nagy kaland, ujra digitalizaljak vagy ujra generaljak... nincs is mentes rola, azt mondtak nem eri meg...

Igen, ez is egy céges policy lehet, hogy csak fájlszerverre dolgozzon az illető...bár ahhoz stabil háló kell, meg kinyírni a windows offline mappa hülyeségét.

Ahol ilyet csináltam, ott 50-nél több snapshot nincs.
Első órában 5 percenként, aztán ahogy megyünk hátrébb, óránként 1 (24x), naponta 1 (7x), heti 1 (4x), havi 1 (2-3x). 
De a legértékesebb az 5 percenkénti az office összeomlások miatt meg a jaj véletlenül letöröltem, felülírtam dolgok miatt :)
1-2 hetes távban még vannak visszakeresések, régebbről nem szokott lenni.
Mivel ez egy békés fájlszerver, performancia korlátokat nem vettünk észre.

Backup szervernél használok napi snapshotot, több dataseten. Valamelyik 1 évre vissza megőrzi, valami fél évig. Szóval több száz van összesen. Teszi a dolgát rendesen. Deduppal kell vigyázni, az megöli. Azt csak az archiv dataseten használom, ritkán pakolok bele új mappát.

( nullptr | 2023. 02. 09., cs – 17:08 )

Állami fenntartású, pár 10 embert foglalkoztató szervezet. Az informatikai feladatokat egy részmunkaidős, alulfizetett alkalmazott végzi, aki néhány havonta cserélődik.

Minden adat tárolását "a szerver" végzi, írható-olvasható hálózati meghajtóként felcsatolva. Azért használok jelen időt, mert nem tanultak az esetből.

Egyik nap valaki összeszedett egy vírust (valószínűleg email útján, de sose derült ki), ami legyakta a teljes meghajtót. Biztonsági mentés sem volt, nem is fizettek, úgyhogy több évnyi kép, dokumentum ment a levesbe. Ezek egy része előkerült később az alkalmazottak gyűjteményéből, a többiről végleg lemondtak.

Psszt, elárulom az IP-címemet: 192.168.0.14

( asch v | 2023. 02. 09., cs – 17:32 )

Nem érintett, lekopogom. Kopp kopp kopp.

( Fisher v | 2023. 02. 09., cs – 18:07 )

"Nálunk" nem volt, más accountokon nem is egy.

Nem fizettek egyszer sem.

A legutolsó az biztosan célzott támadás volt.

( uid_4263 v | 2023. 02. 10., p – 15:44 )

Ha lenne, akkor leformáznám az egész gépet, és visszamásolnék mindent a cold backupjaimból. Ami ugye van mindenhol, mindenkinek.

( Raynes v | 2023. 02. 11., szo – 14:03 )

Nem érintett engem, és a céget sem, ahol dolgozok. Utóbbin csodálkozok is, mert elég balfékek, 2017-ben kő keményen beszopták a WannaCry-t, így számítottam rá, hogy a mostaninak is áldozatul esnek, de nem. Vagy mégis, csak lepucolták, és ezúttal volt mentés. Nem tudom, a lényeg, hogy a működésben zavar nem volt. Tippre csak nem használnak esxi-t, vagy ha igen, frissített verziót, nem voltak lusták.

Windows 95/98: 32 bit extension and a graphical shell for a 16 bit patch to an 8 bit operating system originally coded for a 4 bit microprocessor, written by a 2 bit company that can't stand 1 bit of competition.”