
Case Study na podstawie akcji odszyfrowania danych dla jednej z pod poznańskich firm, która w maju 2015 roku zgłosiła się po pomoc do naszego specjalisty.
Odsłona pierwsza. Szok! Gdzie są nasze dane?!?
Według relacji informatyków wirus przedostał się do działu sprzedaży przy pomocy zainfekowanej wiadomości pocztowej. Nieopatrzne klikniecie w załącznik i mechaniczne wykonanie instrukcji z maila (hasło do pliku: 12345) spowodowało uaktywnienie się wirusa. W ciągu kilkunastu minut program przestępców zaszyfrował kilkaset gigabajtów danych na firmowych dyskach twardych.
Niestety nowoczesna technologia pomagała w tym przypadku przestępcom – firma posiadała serwery wyposażone w wydajne procesory i szybkie dyski twarde, połączone w macierze RAID, które dodatkowo zwiększały wydajność pracy wirusa. Kiedy do działu IT zaczęły spływać informacje o braku dostępu do plików i baz danych – było już za późno. Wszystkie udostępnione dyski z danymi zostały jak to nazywamy “zaorane”.
Zaczęła się gorączkowa praca przy przeczesywaniu internetu w kierunku poszukiwania strony z magicznym rozwiązaniem. Po wchłonięciu kilku litrów kawy i nocce przy komputerach informatycy doszli do genialnego wniosku: odzyskiwanie danych! Tu sprawa była łatwiejsza – google szybko wydał z siebie jedyny słuszny numer telefonu do naszego specjalisty: 784 380 784. Niestety rozmowa nie przyniosła pocieszenia zdesperowanym administratorom. Nasz specjalista ocenił, że nie ma szans na odzyskanie danych na wielokrotnie nadpisanym podsystemie dyskowym. Ponadto typ wirusa, który buszował na serwerze był wyjątkowo paskudny i sprytny – po zaszyfrowaniu informacji w pamięci nadpisywał oryginalne dane w sposób uniemożliwiający odczytanie z tzw wolnej przestrzeni. Po kilku minutach dział IT przesłał do nas zrzut ekranu z informacjami od szantażystów.
Odsłona Druga. Przekazywanie okupu.
Kierownictwo IT zadecydował o przekazaniu pieniędzy szantażyście. Miało się to jednak odbyć przy pomocy naszej firmy, by nie niepokoić zarządu. Niestety poza stresem jaki przysporzył wirus doszły jeszcze problemy polskiej giełdy bitcoinów, której bank wymówił konta, a nowe były monitorowane ręcznie przez pracowników giełdy, co spowodowało spore opóźnienia w transferze środków. W międzyczasie kurs BTC skoczył o 15%… Po kilku godzinach komunikat CTB Lockera zmienił się na : ponaglenie – informatyk w panice przesłał zdjęcie ekranu monitora (sic!).
Założyliśmy jednak, że jest to typowe zagranie z wykorzystaniem socjotechniki i kontynuowaliśmy akcje przekazywania okupu.Niestety pojawił się kolejny problem – serwer szantażysty często znikał z sieci, a kiedy wracał dostęp do niego był bardzo utrudniony – wyglądał na mocno obciążony. Wielokrotnie obawialiśmy się, że już nie wróci do sieci. Oczywiście pomiędzy każdą z operacji następowały godzinne konsultacje z przełożonymi informatyków i tłumaczenie jakie konsekwencje może mieć każda z decyzji. Wszystko to spowodowało, że operacja, którą można było wykonać w ciągu kilkudziesięciu minut trwałą kilkadziesiąt godzin. Na szczęście udało się uzyskać potwierdzenie wpłaty na konto bitcoinowe szantażysty i wkrótce udało się otrzymać program deszyfrujacy pliki CTP Lockera.
Odsłona trzecia. Mądry Polak po szkodzie. Wdrożenie systemu archiwizacji danych.
Zaraz po odzyskaniu danych informatycy utworzyli ręcznie archiwum bezpieczeństwa danych. Zasugerowaliśmy im zakupienie systemu archiwizacji danych online, ponieważ system ten chroni przed podobnymi przypadkami utraty danych, ale również przechowuje przez 30 dni 30 ostatnich kopii każdego pliku. Oznacza to w praktyce, że nawet jeśli nie zauważymy w porę, że nasze dane zostały utracone – możemy cofnąć się do wybranego momentu, co gwarantuje, że plik zawiera poprawne informacje.