Witajcie. Pracuję jako technik IT i bardzo często otrzymujemy wiadomości od dużych firm o próbie ataków. W ostatnich miesiącach zauważyliśmy, że jest coraz więcej ataków tak zwanych "szyfrantów". Hakerzy szyfrują pliki komputera i bez kopi zapasowej nie mamy co marzyć o ich odzyskaniu. Zacznę po kolei: Otrzymaliśmy telefon od bardzo dużej firmy, w której jest prawie 100 komputerów połączonych w jedną sieć, że na ich komputerach pokazał się napis " Peace, Hacking folder pass". Natychmiast wyruszyłem aby zobaczyć co się tam dzieje ( na miejscu mieli swojego pracownika IT). Po dojechaniu na miejsce pracownik IT, który tam pracuje poinformował Nas o zaistniałej sytuacji. Atak był bardzo dobrze przeprowadzony, pod koniec miesiąca przyszła faktura za prąd na adres email firmy. W załączniku oczywiście PDF, który był wirusem i Pani sekretarka o tym nie wiedziała. Pobrała fakturę i wtedy się wszystko zaczęło. Jako iż komputery były połączoną w jedną sieć wirus praktycznie momentalnie przeszedł na inne komputery w firmie. Pracownik IT tamtej firmy popełnił kilka bardzo ważnych błędów. Poniżej opiszę jakich i jak je naprawić: 1. Po pojawieniu się napisu próbował antywirusem wyszukać oprogramowanie i je usunąć. Najgorsze co mógł zrobić, pierwszym ruchem jaki powinien zrobić to odłączenie zasilania od wszystkich komputerów w firmie. 2. Ważne foldery pracowników były oznaczone wykrzyknikami ( skrypt był na tyle mądry, że te foldery zaszyfrował podwójnie) 3. Backup danych (i tutaj moim zdaniem porażka) był zrobiony w osobnym folderze na serwerze. Teraz nasuwa się pytanie: co zrobić aby nie stracić wszystkiego? Niestety w przypadku tej firmy było już za późno. Jedynym sposobem byłoby odzyskanie danych z backupu lecz ten też został zaszyfrowany. Jak się przed takimi atakami zabezpieczyć?: 1. Nie pobierać informacji nie sprawdzonych, przed odczytaniem wiadomości sprawdzić adres email z jakiego przyszła. 2. Backup danych zrobić na dysku w chmurze lub na oddzielnym dysku odłączonym od komputerów. 3.Po pojawieniu się jakiegokolwiek podobnego komunikatu odłączyć komputer od zasilania a sam dysk zanieść do serwisu komputerów i poinformować o danym komunikacie. ( Skrypt działa na takiej zasadzie, kopiuje pliku użytkownika i je szyfruje a stare usuwa, dlatego też możemy próbować odzyskać część danych programami do odzyskiwania usuniętych plików).
4. Pod żadnym pozorem nie pracować na tym komputerze, nawet gdy uda się go uruchomić. Dlaczego? Hackerzy wpadli na bardzo sprytny pomysł. Klucz publiczny dzięki, któremu możemy odszyfrować dane działa tylko 3-5 dni potem jest usuwany. Jeżeli takowy klucz zostanie usunięty możemy pomarzyć o odzyskaniu danych. 5. Systematyczne aktualizowanie antywirusów.
Mam nadzieję, że wyciągniecie jakieś przemyślenia z tej lekcji :) Pozdrawiam SoLLuffka
Użytkownik
