Üdv Lista, András,
2020. 11. 20. 21:45 keltezéssel, [email protected] írta:
Message: 7
Date: Fri, 20 Nov 2020 17:10:38 +0100
From: Varga András<[email protected]>
A szerverünk az éjjel a fenti zsaroló programmal fertőződött...
...minden file titkosítva lett; a NET tudásbázisa sem kecsegtet sok
reménnyel...
Valaki? ...találkozott már a problémával? és a megoldásával?
Ha van mentésed a szerver adatairól, akkor van esély a zavartalan
folytatásra.
Minden más halott ügy, mert
- zsarolásnak nem engedünk; egyrészt ki fizesse ki a zsarolt összeget,
másrészt, nincs rá garancia, hogy valóban megkapod a visszafejtő
kulcsot, harmadrészt, ha már találtak egy tejelő kuncsaftot, miért ne
próbálnák meg újra?
- a konkrét kulcs hiányában nincs esély a visszafejtésre.
- de még ha lenne is visszafejtő kód, nem lehetsz biztos abban, hogy
valami rejtett zugban nem bújt meg valami alvó ügynök, és nem fog
legközelebb is aktiválódni.
A menet:
- szerver lehúzása a külső és belső hálózatról
- mivel minden titkosítva lett, nulláról újra húzni a szükséges szoftvereket
- a legkiválóbb védelem mellett is érhet fertőzés, ha magán az op.
rendszeren nincsenek befoltozva a biztonsági rések, ezért FEL KELL
TELEPÍTENI MINDEN FRISSÍTÉST, AMI A RENDSZEREKHEZ ELÉRHETŐ. Jó eséllyel
nem kliens oldali a fertőzés forrása. A szerver-fertőzések két legfőbb
oka a frissítések hiányából fakadó biztonsági rések ÉS/VAGY a
rendszergazda óvatlan eszközhasználata, pl. nyitva hagyott távoli
elérési kapu.
- felkonfigurálni mindent, amire szükséged van
- megfelelő védelmet telepíteni és beállítani a szerveren. Ma már van
olyan két körös védelem a piacon, ami egyrészt távol tartja a káros
kódot a géptől, másrészt, ha valami fatális véletlen folytán mégis
átszakadna ez a vonal, a második gát nem eged fertőzhető áldozathoz
férést a gépen.
- előkeresni a legfrissebb mentést, ami abban megvan, abból
visszaállítani az adatokat, ami nincs, annak forrását felkutatni, az
adatait újra bevinni a rendszerbe.
- ezzel párhuzamosan széthúzott hálózat mellett végig kutatni a
klienseket, nincs-e rajtuk bármi kártevő.
és csak ha már minden rendben van, akkor visszakapcsolni a hálózatot.
Utógondozás:
- tanulságokat levonni
- biztonsági házirendet elkészíteni/frissíteni
- a kollégákat megtanítani, miért védik őket (is) ezek a rendelkezések
- betartani, betartatni, folyamatosan fejleszteni.
Message: 8
Date: Fri, 20 Nov 2020 17:34:32 +0100
From: Sándor Fehér<[email protected]>
Csak mentés segít, ha van.
Ha nincs akkor kereszt...
+1
Message: 9
Date: Fri, 20 Nov 2020 17:37:19 +0100
From: "=?UTF-8?B?TW9sbsOhciBQw6l0ZXI=?="<[email protected]>
Lehet tudni, hogy
1. Milyen rendszert tamadott meg?
2. Hogyan jutott be?
Hatha tanulhatunk belole.
András, ez a te jövőd szempontjából is fontos kérés.
Rajtad is segít, ha tudod, mi vezetett ide, mert legközelebb már nem
fogod elkövetni ezt a hibát.
Ha ezt meg is osztod, akkor ha csak egyvalaki is profitálhat a
tapasztalataidból, és elkerüli ezt a kárt, már megérte.
Message: 10 Date: Fri, 20 Nov 2020 18:24:10 +0100 From: Alaksza Balázs
<[email protected]> Mi lett a fájlok kiterjesztése? Az dönti el
melyik támadott a sok ransomware közül, némelyikhez(főleg régebbiek)
van decrypter, egy guglizást megér, de azért nagy reményeket ne fűzz
hozzá.
Megoldás:
0.: megkeresni honnan jött, ha user hiba(99%) akkor felhasználót
keresztre feszíteni, feldarabolni és az iskola 4 sarkába temetni
1.: szerver legyalulása, tiszta rendszer telepítése
2.: normális vírusírtó vásárlása
3.: adatok visszatöltése mentésből
Milyen oprendszer volt? Milyen védelemmel?
Az alapján amiket ezekről olvastam főleg kamu e-mail
csatolmány/fertőzött oldalról jönnek, illetve a nem teljesen up-to-date
windowsok távoli asztal lehetőségén használnak ki valami rést.
Jó, hogy ezt felvetetted, kicsit tovább lehet gondolni az esetet.
Alapjaiban igazad van, azt leszámítva, hogy manapság már szinte mindegy,
mi volt a kártevő.
Van felmérés, amiben nagy, >1000 gépes nemzetközi cégek IT vezetői arról
számolnak be, hogy az esetek kb. ötödében egyszerűen nem volt kapacitás
a fertőzési mechanizmus tisztázására.
Az ő "drága tanfolyamuk" eredménye: kárt nem felszámolni, hanem
megelőzni a kifizetődő.
Ezt az elavult "van egy víruskeresőm, minden rendben van" szemlélettel
nem lehet elérni.
Ma már csak a védelmi feladatra legmegfelelőbb védekezés vezet eredményre.
Ennek kialakításában a lényeg a védelmi rések felderítése és felügyelet
alatt tartása - és a rés itt széles értelemben vizsgálandó. Minden olyan
faktor ide tartozik, ami ha érvényesülhet, a rendszered károsul.
(Kellemetlen, de attól még tény: igen, akár a saját rendszergazdai
szakismeret hiányosságai is, de pl. a pénzügyek ingyenes védelmet
elváró, biztonsági kérdésekben nem járatos, ám döntéshozó gazdái is ide
értendők.)
Üdvözlettel:
Simon Gábor
eNTi Szoft Kft.
_______________________________________________
Techinfo mailing list
[email protected]
Fel- és leiratkozás: http://lista.sulinet.hu/cgi-bin/mailman/listinfo/techinfo
Illemtan: http://www.szag.hu/illemtan.html
Ügyfélszolgálat FAQ: http://sulinet.niif.hu/
