Case study: odzyskiwanie danych po ataku ransomware Dharma

payload.pl 3 lat temu

Ransomware o nazwie Dharma dziesiątkuje polskie małe firmy, szyfrując dane i uzależniając ich dalsze funkcjonowanie od okupu sięgającego kilkudziesięciu tysięcy złotych. Na szczęście istnieje sposób, aby uniknąć jego płacenia i odzyskać swoje dane znacznie taniej, często poniżej 1000 zł.

Poznajcie centrum odzyskiwania danych Ransomware.pl

Ransomware.pl od 2016 pomaga polskim firmom odzyskiwać dane zaszyfrowane w wyniku ataku przestępców. Dane są odzyskiwane dzięki naszych autorskich technik, które opisujemy niżej. Co warto podkreślić, przy odzyskiwaniu danych nigdy nie współpracujemy z przestępcami i nie płacimy im czegokolwiek.

W tym case study chcielibyśmy omówić 3 interesujące przypadki infekcji różnymi wariantami wirusa Dharma, pokazując przy okazji przewagę naszych autorskich algorytmów odbudowy plików nad "zwykłym" odzyskiwaniem plików usuniętych programami typu R-Studio, Photorec itp..

Jak działamy w Ransomware.pl?

Przede wszystkim wychodzimy ze staroświeckiego założenia, iż partnerzy w biznesie powinni sobie ufać - zwłaszcza gdy mówimy o drobnych, kilkuosobowych firmach. Z jednej strony nie wymagamy więc podpisywania żadnych umów, zamówień ani innych cyrografów - po prostu wysyłasz do nas zainfekowany dysk, opisując w 2-3 zdaniach, na jakich danych przede wszystkim Ci zależy.

Z drugiej, analiza wstępna jest bezpłatna i niezobowiązująca - a zatem możesz zrezygnować z odzyskiwania choćby gdy po jej przeprowadzeniu powiemy Ci, iż widzimy np. 90% szans na odzyskanie wskazanych danych.

Z trzeciej wreszcie, nie interesujemy się tym co znaleźliśmy i nie zadajemy zbędnych pytań - wierzymy, iż naszym zadaniem jest po prostu odzyskanie jak największej ilości danych, a nie wchodzenie z butami w czyjeś życie.

Trzy interesujące historie

Pierwszy klient dostarczył nam 2 dyski twarde: SSD o pojemności 128 GB, oraz magnetyczny o pojemności 3 TB. Pierwszy z nich był dyskiem systemowym, zawierającym Windows 7 i co ciekawe, zajętym w zaledwie 19% (nie zdążył on jeszcze "napuchnąć" od danych z Microsoft Update), drugi zaś magazynem danych, zawierającym m.in. 773 tysiące zdjęć w formacie JPG, popakowanych z arkuszami XLS i okazjonalnie innymi plikami w archiwa ZIP.

Drugi klient to bardzo prosty przypadek: pojedynczy dysk z Windows i zainstalowanym pakietem Insert GT. Najciekawsza jest w nim... szybkość, z jaką udało się przywrócić i przekazać dane klientowi.

Trzeci klient to również bardzo prosty przypadek, bardzo podobny do poprzedniego, ale z dodatkową komplikacją, na którą okazaliśmy się nie być przygotowani:

  • komputer Dell Vostro - model tak nowy, iż nieobsługiwany przez Ubuntu 18.04 LTS, na bazie którego działa nasz mobilny zestaw do odzyskiwania danych (a jak się później okazało, nieobsługiwany choćby przez Ubuntu 20.04 LTS)
  • w jego środku dysk twardy SSD w standardzie m.2 NVMe (jak się okazało, dysponowaliśmy tylko przejściówką na "zwykłe m.2")

Dharma - jak działa i jak odzyskać dane?

Kto zawodowo zajmuje się analizą wirusów lub odzyskiwaniem danych, zauważył prawdopodobnie interesujące zachowanie Dharmy: w większości przypadków (w zależności od rozszerzenia i wielkości pliku) nie szyfruje ona całych plików, a jedynie pierwsze i ostatnie 256 kilobajtów każdego pliku o wielkości powyżej 1.4-2.6 megabajta (najczęściej 2.5 MB, ale zależy to od wariantu Dharmy). Fragmenty te są w oryginalnych miejscach zerowane, a następnie doklejane do pliku w postaci jednego zaszyfrowanego bloku.

Jednocześnie Dharma samodzielnie alokuje pamięć na szyfrowane pliki i wczytuje je po kawałku standardowymi funkcjami do czytania bloków danych z otwartego deskryptora pliku. Co za tym idzie, pamięć taka nie jest zabezpieczona przed chwilowym wywłaszczeniem i zapisem jej zawartości na dysk, odblokować pamięć RAM dla innych programów - jest to zjawisko tzw. swappingu i zachodzi tym intensywniej, im mniej pamięci RAM ma komputer, oraz im więcej programów jest uruchomionych jednocześnie. Windows prewencyjnie swapuje pamięć niektórych programów w oparciu o różne wewnętrzne wyliczenia, aby zapewnić responsywne działanie interfejsu użytkownika choćby jeżeli "pod spodem" komputer bardzo intensywnie pracuje (np. szyfrując właśnie pliki użytkownika).

Jeśli więc znamy sposób działania systemu plików NTFS oraz wewnętrzną budowę konkretnych typów plików, np:

  • zdjęć w formacie JPG
  • archiwów ZIP
  • baz danych MSSQL (np. od systemów Insert GT/Nexo, Comarch ERP Optima i podobnych)
  • wielu innych typów plików bogatych w różne wewnętrzne nagłówki i sumy kontrolne

to jesteśmy w stanie odczytać z dysku fragmenty plików i próbować je składać w całość jak puzzle, aż uzyskamy zgodność na poziomie sum kontrolnych, offsetów do nagłówków z kolejnymi sekcjami pliku, kolorystyki zdjęć, lub innych parametrów, jakie tylko potrafimy weryfikować automatycznie.

Klient 1

Czy udało się odzyskać 100% zaszyfrowanych plików? Nie. Wręcz nigdy choćby nie próbujemy odzyskiwać wszystkiego - nie ma np. sensu odzyskiwać plików systemowych od systemu Windows, Office, czy innych zainstalowanych programów, zwłaszcza iż system i tak klient musi postawić od nowa.

Efektywność w przypadku tego konkretnego klienta to:

  • co najmniej 93% odzyskanych przydatnych dla klienta danych (co najmniej, ponieważ dokładny procent zależy od sposobu liczenia - w tym przypadku mówimy dodatkowo o częściowo odratowanych archiwach ZIP) - generalnie klientowi zostało przekazanych 850 GB danych po kompresji 7-Zip
  • 95.2% (736 z 773 tysięcy) zdjęć i skanów w formacie JPG odzyskanych bez błędów (pozostałe 37 tysięcy zostało zrekonstruowanych z różnymi drobnymi błędami, ale w stopniu dającym się odczytać)

Czy to dużo, czy mało? To zależy od punktu widzenia. Wysokość okupu oczekiwanego przez przestępców opiewała na kilkadziesiąt tysięcy złotych. Dla porównania, odzyskiwanie danych przez Ransomware.pl zostało wykonane w ciągu 3 dni roboczych i kosztowało raptem 720 zł netto.

A jak to wygląda u pozostałych klientów?

W przypadku drugiego i trzeciego klienta, odzyskania wymagała baza danych Microsoft SQL Server systemu Insert GT.

Nasze standardowe kroki w takich przypadkach to:

  • analiza wstępna dysku (z jednoczesnym wykonaniem zrzutu obrazu dysku do pliku)
  • telefon zwrotny do klienta, omówienie indywidualnych szans na odzyskanie konkretnych danych - dopiero na tym etapie klient podejmuje decyzję o ew. działaniach płatnych
  • odzyskiwanie i dalsza obróbka danych - z reguły etap ten trwa ok. 30-35 godzin na każdy terabajt powierzchni dysku
  • formowanie nowych plików MDF dla producenta systemu ERP lub innego (w przypadku gdy zlecenie dotyczy właśnie bazy danych Microsoft SQL Server)
  • przekazanie klientowi danych do ściągnięcia wraz z instrukcjami odnośnie dalszych kroków

Klient 2

W przypadku klienta 2 udało się cały ten proces wykonać w ciągu jednej doby:

  • paczka z dyskiem twardym została przekazana przez kuriera przed południem
  • o 1:10 klient dostał gotowe archiwum z danymi do przekazania do firmy Insert SA
  • wg naszej wiedzy firma Insert dokonała wskazanych przez nas napraw i przekazała klientowi gotową do użytku bazę tego samego dnia jeszcze w godzinach biurowych
  • kolejnego dnia klient był w stanie kontynuować normalną pracę firmy

Klient 3

Klient zjawił się w naszym laboratorium z nowym, raptem 2-miesięcznym komputerem Dell, z którym zdążył już zjeździć bez skutku kilka innych firm. Niestety i u nas przy pierwszym podejściu okazało się, iż jest problem (zbyt nowy model Dell Vostro wprawdzie uruchamiał się na Ubuntu 18.04 LTS i 20.04 LTS, ale nie widział wówczas dysku twardego).

Sam dysk zaś okazał się być w standardzie m.2 NVMe i okazało się, iż trzeba zdobyć do niego przejściówkę. Sytuację uratował zakup obudowy zewnętrznej Icy Box w salonie X-Kom, który mieści się nieopodal naszego laboratorium.

Cała reszta była już niemalże formalnością...

Zaufanie popłaca

W Ransomware.pl robimy wszystko, aby klient był zadowolony - przede wszystkim jednak naszą przewagę stanowią autorskie techniki i narzędzia, dzięki którym uzyskujemy znacznie lepsze wyniki od firm oferujących usługi generycznego odzyskiwania danych. Zarówno w zakresie ilości i jakości naprawionych danych, jak i czasu realizacji.

I to popłaca opiniami takimi jak te:

Właśnie zaszyfrowało mi komputer! Co robić?

Przede wszystkim wyłącz ten komputer i upewnij się, iż nikt go ponownie nie włączy. A już na pewno nie ściągaj na zaszyfrowany dysk różnych narzędzi do samodzielnego odzyskiwania danych - jeżeli chcesz najpierw samodzielnie sprawdzić ich efektywność, zainstaluj je na innym komputerze i przełóż do niego zainfekowany dysk, a wyniki odzyskiwania zapisuj na dysk w czystym komputerze.

Następnie przejdź na tą stronę, przeczytaj spokojnie i postępuj wg podanej instrukcji.

Idź do oryginalnego materiału