Ostrzeżenie! Całkowicie zaszyfrowany WinSrv2008R2


(klonek_wp) #1

Przeróżne cryptolockery są znane i nie trzeba ich przedstawiać, ale dzisiejsza historia dała nam sporo do myślenia, ale od początku... Dziś rano zadzwonił klient (nie nasz) i twierdził że coś nie tak z serwerem bo nie może dostać się do swojego ERPa. Po 2 minutach rozmowy było jasne że nie działa serwer MSSQL i o ile zazwyczaj nie bierzemy zleceń "z ulicy" to jednak coś nas podkusiło.... jednak po przybyciu na miejsce nie wierzyliśmy własnym oczom! Maszyna rackowa z Windows Server 2008R2 - uruchomiła się, udało się nam zalogować i po prostu szok! Cały system został zaszyfrowany! Również wszystkie pliki systemowe (panel sterowania, WMI, itd. - nawet notatnik), bazy MSSQL, "Program Files", rejestry zdarzeń - kompletnie wszystko po za kilkoma plikami w katalogu Windows które wystarczały żeby go uruchomić. Co udało się ustalić : maszyna służyła jako zdalny pulpit dla dwóch osób oraz serwer mssql dla 10 klientów, założone dwa konta zwykłych użytkowników i jeden administrator (AD na innej maszynie), brak udostępnionych dysków, wszystkie porty zamknięte po za RDP który był przeniesiony na duży wyższy numer, żadna końcówka w sieci nie została zainfekowana, użytkownicy RDP łączyli się "bezpośrednio" bez VPN, w każdym katalogu był plik tekstowy z informacją że po 24h odszyfrowanie będzie utrudnione i kontakt na podany mail. Niestety nie możemy ustalić jaki był wektor ataku (brak logów), a po dacie modyfikacji domyślamy się że atak był zdalny (sobota wieczór)


(bachus) #2

Widziałem już w tym roku 3 razy takie akcje - z jedną walczyłem 3 dni. 99% przypadków to PEBKAC - użytkownik. Wektorem ataku jest głównie email o fakturze i podobne. Skrypt z mailami jest tak sprytny, że ładnie zwraca się nazwiskiem do osoby atakowanej, jest ładnie poprawnie opisany i do tego załącznik.

 

Good evening X, There were some errors in the monthly report you submitted last week.
See the highlights in the attachment and please fix as soon as possible. Best regards, Pete Horton Account Manager (022226959e4efb19a0561bf3e4f635005998)

 

Ransomware po zakończeniu szyfrowania i wyświetleniu informacji o sposobie opłaty okupu… sam się usuwa z systemu.


(klonek_wp) #3

tylko że tu na serwerze można było uruchomić tylko i wyłącznie ERP. nie było możliwości odpalenia skryptu - chyba że ktoś ręcznie i z premedytacja przeniósł by go na serwer i uruchomił


(adam9870) #4

Najprostsza opcja: ktoś na serwerze otworzył przeglądarkę WWW i sprawdził pocztę.

 

Rozwiązanie: backup na nośnik, do którego nie będzie mieć dostępu ransomware w momencie infekcji, np. na serwer FTP.

 

Jeżeli musisz odszyfrować dane, może Dr.Web pomoże za drobną opłatą.


(klonek_wp) #5

 

żadnych przeglądarek nie było zainstalowanych po za IE, a użytkownicy korzystali z RemoteApp


(adam9870) #6

Zobacz kiedy nastąpiło utworzenie plików z informacją o zaszyfrowaniu. Sprawdź logi na routerze w tym czasie. Czy dane logowania do kont były proste (np. admin, 1234, qwerty itp.)?


(klonek_wp) #7

data modyfikacji sobota wieczór, logi na routerze nic nadzwyczajnego nie pokazały - żadnych “bruteforce”, silne hasła


(roobal) #8

Skoro wzieliście zlecenie z ulicy, to rozumiem, że tam nie ma żadnego admina (lub jakiś admin z przypadku) i backupów też pewnie nie ma? Jeśli tak, to za takie zlecenie wystawiłbym słoną fakturkę za doprowadzenie tego doładu. Niestety właściciele firm myślą, że admin jest zbędny, bo wszystko działa, a potem przyłażą na kolanach.


(klonek_wp) #9

 

dokładnie jak piszesz - kucharek sześć i żadna za nic nie odpowiadała, QNAPa nawet kupili i ktoś instalował jakiś soft od niego ale od 2013 kopie się nie robiły :smiley: , ale najciekawszy jest wektor ataku… postawiliśmy serwer zombi z identycznymi usługami i ustawieniami jak poprzedni i pełnym “logowaniem” a równocześnie przeszukaliśmy wszystkie kompy i w zasadzie na dziś po analizie wszystkiego wniosek jest tylko jeden - to coś najpierw wykradło cały magazyn poświadczeń z windows i wysłało osobie która z powodzeniem dokonywała zdalnego ataku - zresztą próbowała cały czas wchodzić przez RDP na nasz zombi/DMZ używając starych poświadczeń ale co nas ostatecznie przekonało to fakt że ktoś cały czas próbował użyć też połączenia przez VPN które było skonfigurowane na starym serwerze i nie używane, ale w laptopie był skrót i zapisane poświadczenia (podobnie jak do RDP z publicznym IP)

 

PS. wirus to CrySiS i nawet zapłacili 0,8bitcoina, ale jak już miało dojść do odszyfrowania dostali info że to jednak zostało zaszyfrowane drugi raz przez kogoś innego i od teg drugiego otrzymali info że odszyfrowanie kosztuje 1000USD


(eskimosek) #10

Nigdy nie robi sie tak że 2 osoby mają dostęp do konta administratora bo wtedy nie wiadomo co ktoś przeskrobał.Moze robota kogoś z adminów albo jakieś złe uprawnienia kont uzytkowników.http://www.free-uninstall.org/how-to-remove-crysis-ransomware-decrypt-crysis-files/


(bachus) #11

 

A co w sytuacji, gdy coś się stanie temu jedynemu administratorowi? Co do usunięcia - to nie jest największym problemem - taki serwer i tak powinien być przeinstalowany; problemem są zaszyfrowane dane.