Stateam linistit la biroul meu si asteptam sa treaca ziua. Imi suna telefonul si dispecerul imi spune ca mi-a fost alocata o interventie hardware la o firma. Cu greu ma sui in masina si ma pornesc sa vad despre ce este vorba. Imi suna iarasi telefonul. De de data aceasta era directorul executiv. Direct imi spune: Imediat te duci pana la X si vezi ce se intampla acolo!
Bineinteles ca imediat a fost imediat dupa mi-am terminat interventia programata. Ajung la X, ma prezint si intreb ce probleme au. Administratorul de retea ma duce la unul din computere si imi arata cum toate fisierele de pe storage-ul lor aproximativ 2,5 TB de date, au extensia schimbata cu numefisier.extensie.id-12345678_helpme@freespeechmail.org.
Ma uit si le spun ca toate cele 585.000 de fisiere cu extensia *.doc, *.docx, *.xls, *.xlsx, *.pdf, *.cad, *.jpg, *.avi, *.db, samd, sunt criptate si inutilizabile. Vine patronul, ii dau vestea si...incepe sa planga. Intreaba cum a fost posibil asa ceva. Ii raspund ca unul din computerele din reteaua lor a fost infectat cu un maleware si s-a raspandit in retea.
Toate "bune si frumoase", plec de acolo "fericit" ca am scapat.
Ajung la birou, dar gandul imi era tot la incidentul neplacut de la firma X. Si ma apuc de treaba.
Cer un ID de teamviewer si intru pe serverul de fisiere.
Din cate stiu acest gen de malware actioneaza cam in acest fel:
- cripteaza fisierul original
- redenumeste fisierul original
- sterge fisierul original
Primul pas a fost sa verific Network Recycle Bin dupa fisierele sterse. Din pacate, nu erau acolo.
Intru pe serverul lor de AD sa verific integritatea fisierelor de acolo. Toate erau la locul lor.
Imi fac un port forward pe router pentru remote desktop in ideea de a folosi acel server in incercarile mele de recuperare a fisierelor.
Si salvarea a venit! De data aceasta de la Kaspersky cu rakhnidecryptor (click pentru download).
Pornesc utilitarul cu drepturi de administrator:
Ma avertizeaza ca procesul poate dura cateva ore:
Din "Change parameters" alegem unde anume sunt celelalte fisiere criptate:
Selectam Removable drives daca fisierele sunt pe un dispozitiv extern (Stick USB, HDD extern)
Selectam Network drives daca fisierele sunt pe un director din retea si avem acel director mapat pe computer.
Nu am bifat "Delete crypted files after decryption", le voi sterge dupa ce voi fi sigur ca toate fisierele sunt integre.
Cruce mare si Start Scan
Va spuneam ca am folosit resursele serverului pentru decryptor deoarece acesta foloseste un Brute Force Methode si dupa cum sper ca stim, ne trebuie un procesor foarte bun.
Dupa 16 ore surpriza a venit. Toate fisierele sunt decriptate
0xa4e4 Found: 1
0xa4e4 Decrypted: 585,889
De acum, trebuie sa izolam computerul/e infectate si asta o facem cu Malwarebyte.
Ideea e ca trebuie:
- securizata reteaua - folositi un firewall cu antivirus (eu prefer Sophos UTM pentru companii mari si Sophos UTM Home pentru firme cu pana in 50 de calculatoare)
- folosit un antivirus bun - preferabil sa aveti un server de antivirus (Kaspersky, Symantec Endpoint Protection, Sophos). Nu folositi antivirusi free. E ca si cum v-ati plimba prin ploaie cu umbrela gaurita.
- nu disperati. Toate se rezolva cu putina incredere in voi si cu multa rabdare.
Multumesc
PS:
Am scris un email la adresa data. Iata raspunsul:
Hello
If you wish to get all your files back, you need to pay 5 BTC. (edit:1445.63 RON / BTC)
How to get bitcoins?
Go to localbitcoins dot com, it's probably the easiest way, open an account, buy bitcoins and then ask me for the address to send the bitcoins to.
This is the only way to get your files back.
There’s no way to decrypt them without the original key.
The price is non-negotiable.
After paying 5 BTC and emailing the confirmation of payment you will be provided
with a decoder.
If you don't trust me, you can email one of your files, I will decode it and send it back to you.
However, if the file you're requesting to decode is valuable, I will send you either a quote from it or a screenshot.
I apologise for any inconvenience caused.
Let me know if you want to proceed.
Thank you for cooperation
Niciun comentariu:
Trimiteți un comentariu