Программа-вымогатель захватила все данные компании и чуть не уничтожила весь бизнес

  • 25 февраля, 2016
  • 1 min read

blog_main_tourism2

Представьте себе, что вся информация вашей компании, которая хранится в облачных сервисах, все финансовые данные и видеоматериалы – в общем, всё, что было накоплено за 10 лет работы, стало мгновенно недоступным для всех пользователей в вашем бизнесе. Это, конечно, больше похоже на ночной кошмар, но для одной успешной австралийской туристической компании в прошлом месяце этот кошмар стал явью.

В день празднования Нового года, когда большая часть западного мира отдыхала и праздновала, команда Emsisoft боролась почти со стихийным бедствием: наш технический директор Фабиан Уосар препарировал Ransom32, первый вирус-вымогатель, полностью написанный на JavaScript, чтобы высвободить данные и создать в ответ декриптор – быстро и, как обычно, бесплатно.

Как мы уже упоминали в одной из предыдущих публикаций нашего блога «Программы-вымогатели: 3 шага для того, чтобы сохранить Ваши данные в безопасности»), компании рискуют тем, что им придётся заново вкладывать трудозатраты в человеко-годах, чтобы получить интеллектуальную собственность равнозначную тем данным, что могут быть потеряны. Ежедневно этот кошмар становится явью для тысяч компаний.

Спустя всего несколько недель после этой публикации в нашем блоге менеджер по соответствию ИТ-стандартам одной австралийской туристической компании связался с нами, рассказав историю от которой наши волосы встали дыбом.

Вредоносная программа-вымогатель захватила аккаунты компании в облачных сервисах Dropbox и OneDrive, всю финансовую документацию и видеоматериалы службы безопасности помимо прочего — в общей сложности, почти 20 ТБ данных и 10 лет работы, которые мгновенно стали недоступны для 500 пользователей компании.

Как пишет менеджер компании, это было «НАСТОЯЩЕЕ БЕДСТВИЕ, к которому мы были плохо подготовлены…»

Читайте дальше, чтобы узнать, что ответила компания.

Приветствую, Фабиан!

Я хотел бы поблагодарить Вас за Вашу помощь и поддержку на прошлой неделе, когда вирус программы-вымогателя поразил данные нашей компании. Ваше оперативное реагирование на нашу проблему буквально спасло наш бизнес!

Целая неделя ушла у нас на то, чтобы найти ЭКСПЕРТА и идентифицировать вирус, ещё неделю я ходил к от компьютера к компьютеру и восстанавливал данные после нанесённого ущерба.

После этого я приобрёл 10 лицензий Emsisoft, чтобы начать пользоваться функцией «Анализ поведения», которая ранее могла бы спасти нас от всей этой развернувшейся драмы.

Как Вам известно, наша конкретная вредоносная программа сканирует все диски (в том числе, и подключённые), а в нашем случае и одноранговую сеть Windows 10 со всеми машинами, хранящими личные файлы локально и общие файлы на сервере.

Причина нашего бедствия заключалась в том, что все компьютеры имели общие папки на других дисках. В результате этого, всего ОДИН пользователь через нажатие на .zip или .exe файл мог изменить ДАННЫЕ на восьми машинах и на сервере (через Общие папки). Не производилось резервное копирование данных с локальных ПК на сервер, хранящий критические данные за прошлые периоды.

Примеры данных, ставших непригодными для использования:

Все онлайн-данные обменивались через облачные сервисы Dropbox и 365 OneDrive для бизнеса, которыми пользовались все наши внешние агенты (в настоящее время 500 пользователей). То есть 2 облачных аккаунта объёмом по 1 ТБ каждый.
Резервная копия данных за прошлый год и предыдущие периоды из нашего аккаунта в MYOB (zip-файл)
Юридическая и страховая документация
Банковские и прочие записи (xls-файлы)
Клиентский маркетинг (pdf-файлы)
Записи VoIP-разговоров
Видеоматериалы службы безопасности Данные для разработки сайта (изображения)
Результаты аудита
Тендерная документация/презентации (doc-файлы, ppt-файлы)
и многое-многое другое.

network-cables-494645_1920

Пострадали даже данные резервного копирования

Вы можете спросить, почему не делались резервные копии? Делались, но опять же это была сетевая система хранения данных (NAS) для каждого пользователя… Например: \\SERVER\(N:)\User

Все клиентские резервные копии «были связаны», поэтому ВСЕ копии файлов также пострадали, в том числе истории файлов всех пользователей на их ПК.
Данные с сервера копируются довольно быстро, поэтому к тому моменту, когда мы обнаружили проблему, они тоже уже были скопированы.

Файлы находились на клиентском ПК, в сетевом хранилище NAS, в истории файлов на ПК, на сервере или в облачном хранилище… Однако в НАШЕМ случае ― ВСЁ БЫЛО БЕСПОЛЕЗНО.

Архив делался каждый месяц, поэтому мы могли бы вернуться к данным на сервере шестинедельной давности, но не получили бы резервные копии с текущими данными сетевого хранилища NAS или 8 ПК.
Для получения всех данных из онлайн-хранилищ потребовалось бы значительное время.

ТЕПЕРЬ ОЧЕВИДНО, ЧТО ДЕЛАТЬ КОПИИ ДАННЫХ – ЭТО БОЛЬШЕ НЕ ВАРИАНТ…
В настоящее время мы подыскиваем визуальные системы, которые могут быть как архивными, так и с пошаговым наращиванием информации с возможностью восстановления данных на определённый момент времени, а не только изменений в файлах — поскольку вирус изменил их, и они затем были добавлены в резервную копию.

Итого: 1 сервер (2 Тб), 8 ПК (100 ГБ каждый), всевозможные облачные хранилища (корпоративные — 2 ТБ и личные — 4 ТБ), клиентская сетевая система хранения данных (4 ТБ) и 6 ТБ данных резервного копирования сервера.

В общей сложности, почти 20 ТБ данных и 10 лет работы стали просто недоступны, а пользователи оказались недееспособны… НАСТОЯЩЕЕ БЕДСТВИЕ, к которому мы были плохо подготовлены…

Пожар в буквальном смысле нанёс бы нам меньший урон… Это тревожный звонок, о котором должны быть осведомлены другие компании…

Фабиан! Будет недостаточно всех слов, чтобы выразить Вам признательность за Вашу неустанную работу в борьбе против угроз, среди которых мы живём. Пожалуйста, примите наши искренние слова благодарности…

ВСЕ ДАННЫЕ БЫЛИ ВОССТАНОВЛЕНЫ. Не пропал НИ ОДИН ФАЙЛ…

С уважением,

[Имя не разглашается],
Менеджер по соответствию ИТ-стандартам

blog_content_breaker

Что Вы можете сделать, чтобы предотвратить появление подобных кошмаров:

1. Не храните данные резервных копий на локальных жёстких дисках или в подключённых общих сетевые папках, поскольку вредоносная программа может легко добраться и туда.

Описанный выше конкретный пример лишь подтверждает результаты наших наблюдений: безопасность настолько надёжна, насколько надёжно самое слабое звено. Чтобы уменьшить последствия атаки вредоносной программы (а лучше — вообще избежать её), убедитесь, что Вы не храните резервные копии Ваших данных на любых дисках, к которым можно подключиться через Ваши локальные учётные записи без ввода пароля вручную.

2. Закройте доступ: постоянно обновляйте Вашу систему и используемые программы. Установите хорошую защиту, работающую в режиме реального времени.

Довольно часто самыми слабыми звеньями являются сотрудники, действующие из лучших побуждений и сосредоточенные на том, чтобы хорошо выполнить свою работу, но не осознающие уровень рисков для безопасности компании в Интернет-пространстве. Чтобы закрыть доступ вредоносных программ к Вашей системе, необходимо, в первую очередь, поддерживать актуальность версий и обновлений Вашей операционной системы и всех Ваших программ, то есть не разово обновить, а делать обновления постоянно, каждый день. Кроме того, убедитесь, что Вы используете надёжное решение для защиты системы в режиме реального времени, которое может отлавливать все вредоносные файлы тогда, когда они только пытаются проникнуть на Ваши компьютеры. Потому что, перефразируя одну пословицу, легче предупредить появление вредоносных программ, чем устранять их последствия.

 

Emsi

What to read next

Reader Comments