Moje pytanie wzięło się z informacji o tym, że ofiarą ransomware stał się ostatnio jeden z urzędów gminnych.
Wielkie halo, że co teraz zrobić, że instytucje rządowe nie potrafią pomóc.
Ja zajmowałem się do tej pory kilkudziesięcioma komputerami z Windows i takim samym objawem (ekran żądający okupu w BitCoinach za odzyskanie dostępu do "zaszyfrowanych" danych) i w 100% przypadków była to ściema.
Tak naprawdę nic nie było zaszyfrowane, a żeby pozbyć się złośliwego oprogramowania wystarczyło użycie aktualnego antywirusa zainstalowanego na obcym sprzęcie.

Pewnie macie znacznie większe doświadczenie w tej materii - czy pojawiły się odmiany, które potrafią rzeczywiście szyfrować?
Trudno mi po prostu w to uwierzyć. Szyfrowanie wielu GB danych nie trwa przecież sekundę, a skoro informacja się wyświetla, to system startuje. A skoro startuje, to chyba nie jest zaszyfrowany?

W skrócie: tak.

System wstaje bo musi - bo jak inaczej uzyskać okup? Poza tym szyfrowane są zazwyczaj tylko dokumenty - głównie zdjęcia.
I tak, sam się zetknąłem jakoś dwa razy i nie było (wtedy) co zrobić. Jak jest teraz - nie mam aktualnej wiedzy.

PS. żądający.

Też przytrafiło się u mnie w firmie, atakowane były wszystkie pliki dokumentów z grupy microsoft (word excel...)
Rozeszło się po katalogu sieciowym i dość inteligentnie bo źródłem infekcji był user o małych uprawnieniach w AD, zakaził kogoś z wiekszymi prawami i poszło jak po sznurku :/ . Na szczęście mamy codzienne backupy - inaczej byłby na prawdę duży problem

Jako iż firmę w której pracuję dopadł Ransomware całkiem niedawno to coś mogę napisać. 

Nie szyfruje tylko zdjęć, szyfruje wszystko praktycznie. Generalnie zainfekowanie odbywa się kilka-kilkanaście dni przed szyfrowaniem. Na stacjach roboczych i serwerach tworzona jest lista plików do zaszyfrowania, po to żeby któregoś pięknego dnia o wyznaczonej godzinie rozpocząć działanie.

Na stacjach roboczych doprowadzał do momentu, że uszkadzał pliki Windowsa odpowiedzialne za logowanie.

Na zaatakowanych kompach na których ukończył pracę zostawia plik TXT z adresem email, pod który należy się zgłosić po okup.

Wydajność komputerów dziś zupełnie wystarczy aby w krótkim czasie wyrządzić dużo szkód. Wirus jest dość sprytny szyfruje wpierw małe pliki na końcu duże. Niektóre duże PST np udało się uratować, tylko kasując rozszerzenie, wydaje mi się, więc, że wpierw dopisuje rozszerzenie a potem szyfruje, żeby stworzyć wrażenie zaszyfrowania wszystkiego.

Są to często ataki typu Zero-Day, wykorzystujące lukę w oprogramowaniu, wyspecjalizowane w zaatakowaniu danej firmy/organizacji.

Antywirus jest bezradny raczej, u nas tylko na jednej stacji roboczej AV zablokował podejrzany skrypt w Powershelu kilka dni wcześniej. Nigdzie to dalej nie prowadziło, nie dało się to z niczym powiązać, w logach było pusto, skrypt wyglądał na uszkodzony. Ta stacja i tak została zainfekowana. Mądry człek po szkodzie, następnym razem już wiemy, że trzeba każdą taką sprawę zgłaszać do twórcy programu antywirusowego. Nóż widelec coś odkryje i zdarzy wydać witaminkę. 

Backup backup backup to jedyne w 100% pewne zabezpieczenie przed tego typu atakami. Dla firm to oczywiście jest jeszcze kwestia kosztownego przestoju w pracy.

Atak odbył się oczywiście z Rosji, co chyba nikogo nie dziwi 

@mee

Jako polityka się rozniósł właśnie po wszystkich kontrolerach domeny. Wpisał się też do Harmonogramu zadań jako sprawdzanie dysku, gdzie aktywował się w cyklu godzinowym.

A więc jednak.
Skubane.

Czesc 

Po jakims czasie zazwyczaj pojawiaja sie darmowe narzedzia np:
https://noransom.kaspersky.com/pl/

Ale jak to się przedostaje, ktoś otwiera podejrzanego maila, czy raczej atak hakerski?

@Wojtek

Fajne lokowanie produktu.Szkoda, że takiego który sobie wyjątkowo z ochroną przed Ransomware słabo radzi.

Te darmowe narzędzia są do kilku dość starych, dobrze znanych już ransomware.

@BartekW

Ransomware przedostaje się głównie przez luki w firewallach, zabezpieczeniach sieci, antywirusie. 
Hakerzy wykorzystują braki w aktualizacjach itd, ale przez otwarcie pliku z poczty też można złapać

Mail. W środku jest załącznik .docx lub .xlsx i makro.

Czesto sa tez maile z linkiem do strony na ktorej masz np do pobrania fakture albo list przewozowy a tak naprawde link prowadzi do zainfekowanego pliku.
Dodatkowo czesto plik moze miec nazwe faktura.pdf.exe albo inne dziwne twory i ktos mysli ze to pdf albo .doc.exe ale czasami sa tez macro w wordzie ktore infekuja komputer.
Metod sa dziesiatki, trzeba uwazac co sie pobiera bo programy antywirusowe/firewalle w day zero raczej nie pomagaja.

@Lasica
jednak link jest na temat, nowy kolega wypowiada się sensownie o poruszanym temacie, czy to jest lokowanie czy nie to w tym wypadku nie bardzo mogę coś zrobić jako moderator

To byl pierwszy link ktory znalazlem, a to jest niezalezna (JEZELI TAKOWE SA) strona z narzedziami do deszyfrowania.
https://www.nomoreransom.org/en/decryption-tools.html

@Wojtek

witamy na forum tak przy okazji ;) nie dziw się reakcjom, teraz gros nowych kont to pozycjonerzy, których pracowicie wycinamy. Zmora naszych czasów: uzależnienie sieci od Google Pagerank

@Straszny

Dziekuje, podejrzewam ze dlatego ze nie uzywam polskich fontow ale siedze na sluzbowym laptopie i mam tylko eng klawiature a jak dodam polska to mi sie czasami dzieja cuda, przez GPO.

Co do ransomware to spotkalem sie kilka razy i infekcja nastepowala w rozny sposob, tak jak pisalem wczesniej czasem link w mailu czasem dziwny zalacznik czesto spakowany.

Linka wkleilem bo to daje poglad sytuacji ile roznych typow ransomware wystepuje i ze mozna bez placenia czasami odzyskac zaszyfrowane dane. Oczywiscie czasami trzeba poczekac jakis czas jezeli mamy do czynienia z nowym ransomware i miec nadzieje ze ktos wypusci program deszyfrujacy.

@Wojtek


Przepraszam jeśli poczułeś się urażony. @straszny wyjaśnił Ci sytuację.

Witamy

Zależy jaki "ransonware" ci się trafi ale szyfrują wszystkie dokumenty jak leci. Zależnie od szybkości dysku/systemu może to trwać godzinę, kilka sekund, godziny ale o zaszyfrowaniu dowiesz się na końcu. W tej chwili ataki tego typu "ustały" ze względu, że chyba każdy antywirus już potrafi obronić system przed tego typu atakiem. Najważniejsza jest kopia danych na innym dysku. W domu na USB lub na płytach DVD/BL, płyty dla zwykłego kowalskiego są najpewniejszym nośnikiem. Jak kowalskiego stać to w chmurze. W firmach stosuję głównie kopie na dysku NAS z włączonymi migawkami, migawek nie zaszyfruje ransomware co sprawdzono organoleptycznie :) plus co tydzień super istotne dane na DVD/BL a jak bogata firma to backup w chmurze dodatkowo.

Odkopię nieco temat. Coraz więcej firm pada ofiarą takich ataków(ostatnio z dużych Garmin), a będzie z czasem więcej i więcej. 
W końcu jakiś moloch duży też zostanie zaatakowany typu Microsoft lub Google(o ile już to się nie stało, tylko sobie poradzono i zamieciono pod dywan) i też będzie musiał zapłacić. Systemy zabezpieczeń i backupu nie zawsze dadzą radę bo jednak człowiek zawsze zawiedzie, a backupy nie zawsze się da tak od ręki odzyskać. Da się oczywiście, ale to w przypadku dużego ataku zabiera jednak sporo czasu, a wiadomo, że czas = pieniądz.

Z ostatnich takich ataków fajny przykład negocjacji okupu:  Niebezpiecznik.pl.

Skłania mnie to do nieco innych przemyśleń. Ilość takich ataków znacznie wzrósł od kiedy funkcjonuje BitCoin. Szczytna idea, która zaczyna służyć jednak głównie do ukrywania realnych kont, lewych transakcji, wyłudzeń i oszustw. Nienamierzanych transakcji.

Czas może otrzeźwieć i zacząć zwalczać BitCoin i podobne? Co myślicie na ten temat?

@Lasica
Od samego początku tak uważam. Co do szczytnej ideii to trudno powiedzieć bo od startu ok 40-50% kapitału w bitcoinie pochodzi spoza obszarów jakkolwiek kontrolowanych prawem i ich źródła/właściciele nie są znani.