Zajmujemy się odzyskiwaniem danych po atakach ransomware od 2016 i przez te 6 lat widzieliśmy mnóstwo ciekawych przypadków. Niestety wiele poradników podpowiada mniej lub bardziej drogie techniki ochrony, na które małych firm po prostu nie stać.
Dla kogo jest ten artykuł, a dla kogo nie?
W Internecie dostępnych jest mnóstwo różnych poradników, jak się bronić przed ransomware - jak postępować przed infekcją, oraz po infekcji. Wiele z tych poradników zawiera bzdury, albo jest po prostu nieaktualna. Zaś te, które są aktualne, najczęściej odnoszą się do dużych firm, które stać na zatrudnianie specjalistów od bezpieczeństwa IT i wdrażanie specjalistycznego systemu do zarządzania użytkownikami, hasłami, urządzeniami, backupami itd.
Nasze rady kierowane są do tych firm, których na takich specjalistów nie stać. Oraz do firm określanych pogardliwie "januszexami", w których z różnych powodów oszczędza się na bezpieczeństwie. Uważamy, iż takie firmy też zasługują na pomoc.
Czy możliwa jest naprawdę bezkosztowa i w pełni skuteczna obrona przed ransomware?
No cóż, dosłownie bezkosztowa, niekoniecznie. W pełni skuteczna na dłuższą metę też nie, gdyż ciągle rozwijane są nowe warianty ransomware oraz techniki ataku. Natomiast koszty mogą być naprawdę minimalne i da się przy tym uniknąć wdrażania systemu wykraczającego poza "zwykłe" Windows Server, Active Directory i ew. płatnego antywirusa, oraz zatrudniania drogich specjalistów, którzy by je musieli ogarniać. Największym kosztem będzie mimo wszystko koszt osobowy - z tą różnicą, iż nasze porady powinien być w stanie wdrożyć każdy, komu się udało postawić AD.
Zacznij od czterech najważniejszych spraw dot. konfiguracji Windows
1. Zdalny Pulpit - ogranicz dostęp z Internetu
Usługa Zdalnego Pulpitu dostępna z Internetu odpowiadała w 2019 za ponad 90% prób ataków ransomware Dharma/Phobos - czyli tego, który najczęściej dotyka niewielkie firmy bez rozbudowanych zabezpieczeń. Działa to bardzo prosto:
- na serwerach Amazon Web Services uruchomione są skanery, które przeszukują cały Internet pod kątem adresów IP z otwartym portem 3389, lub innym, na którym odpowiada serwer RDP
- gdy taki IP zostanie znaleziony, kolejne narzędzia (w tym wykradzione z NSA) próbują dostać się na serwer - przy użyciu słabego hasła, ale też podatności w usłudze Zdalnego Pulpitu pozwalającej połączyć się bez znajomości hasła (od 2011 miały miejsce co najmniej 3 takie podatności)
- po zdobyciu dostępu, na komputer wgrywany jest adekwatny program ransomware, czasem w połączeniu z kolejnym programem do kradzieży danych
Najczęstszą radą, jaką można spotkać w Internecie, jest postawienie Zdalnego Pulpitu wewnątrz VPN. Co jednak, jeżeli z jakiegokolwiek powodu nie masz VPN? To proste:
- ogranicz na firewallu dostęp RDP tylko do zaufanych adresów IP - nie muszą to być pojedyncze adresy, na początek wystarczy ograniczenie per ISP, z jakich korzystasz, np. tylko klasy adresowe Orange i T-Mobile - możesz wziąć je np. z tego repozytorium - utrzymujemy je od 2016 i są tam tylko te klasy adresowe, z których możesz potencjalnie otrzymać ruch przychodzący
- zmień numer portu RDP (na serwerze, bądź na routerze) na jakiś niestandardowy, najlepiej powyżej 30000
2. Software Restriction Policies
Drugim w kolejności zabezpieczeniem, jakie powinieneś wdrożyć, jest SRP - którego działanie można w uproszczeniu opisać bardzo prosto: dowolny użytkownik powinien mieć dostęp do dowolnego miejsca na dysku albo do zapisu, albo do uruchamiania - nigdy do jednego i drugiego na raz.
Czyli jeżeli np. zapisujesz jakiś załącznik maila na dysk, to będziesz go w stanie obejrzeć (jeśli to np. PDF albo obrazek), ale już go nie uruchomisz - ani przypadkowo, ani choćby celowo. Oczywiście SRP na początku wyda Ci się mocno niewygodne - natomiast:
- autor tego tekstu używa SRP na wszystkich swoich komputerach od co najmniej 2005 i zapewnia, iż się da - co więcej, SRP wymusza i docelowo uczy pewnej dyscypliny w codziennej pracy na komputerze, co w dłuższej perspektywie przekłada się na dobre nawyki odnośnie zachowania bezpieczeństwa
- zacząć możesz od wdrożenia SRP na samym serwerze
3. Program antywirusowy na każdym komputerze
Przede wszystkim upewnij się, że:
- na każdym komputerze jest zainstalowany i działa jakiś program antywirusowy - jak najbardziej może to być darmowy Windows Defender
- nie ma wygaśniętej licencji (np. darmowych 30 dni, które się już dawno skończyły), problemów z aktywacją itp.
- jest w stanie na bieżąco ściągać aktualizacje
95% wszystkich problemów z programami antywirusowymi, które widzieliśmy przez 6 lat, to zupełnie trywialne zaniedbania: antywirusa w ogóle nie ma, albo nie działa i od miesięcy wyświetla jedynie ostrzeżenia o końcu licencji, albo ma bazę wirusów ostatnio aktualizowaną 3 lata temu...
Jeśli już masz jakiś program antywirusowy, jest całkiem nieźle - choćby jeżeli jest to Windows Defender. W dalszej kolejności powinieneś przyjrzeć się jego konfiguracji (czy ktoś nie poluzował za bardzo ustawień związanych ze skanowaniem).
Warto też pomyśleć o przesiadce na ESET, czyli najlepszy w tej chwili program antywirusowy - jest płatny, ale jego koszt to raptem ok. 220 zł za 3 lata (na 1 komputer, z możliwością przeniesienia licencji).
(Aktualizacja: nie, to nie jest reklama, post sponsorowany itp. - w przeciwieństwie do niektórych szkoleń prowadzonych przez handlowców Veeam Software... Autor niniejszego tekstu jest od kilkunastu lat szczęśliwym użytkownikiem rozwiązań ESET [wcześniej NOD32] i je poleca. Oczywiście na tej jednej firmie świat się nie kończy - jeżeli z jakiegoś powodu akurat ESET Ci nie podchodzi, zajrzyj na tą stronę.)
4. Aktualny Windows
Z każdą kolejną edycją Windows, ten problem jest coraz rzadszy - mniej więcej od 2015 nie musisz już niczego specjalnie uruchamiać, instalować, konfigurować itp. Windows 10/11 sam ściągnie i zainstaluje sobie potrzebne aktualizacje - wystarczy tylko, aby tego mechanizmu nie wyłączać (bo np. częste restarty przeszkadzają).
I to wszystko?
Tak i nie. Powyższe 4 proste sprawy w pełni eliminują możliwość infekcji automatycznej przez boty, które przeszukują Internet i infekują wszystko, co się da - jak również zamykają drogę dla wszystkich gotowych, dostępnych publicznie narzędzi używanych przez amatorów. choćby jeżeli pracujesz na koncie administratora (czego robić nie powinieneś).
Natomiast zawsze pozostaje ryzyko, iż ktoś będzie chciał Ci podrzucić ransomware manualnie - tak działają ekipy Conti czy Lockbit: działania manualnie, wieloetapowe, poprzedzone dokładnym rekonesansem, czasem z udziałem exploitów typu 0-day (czyli dostępnych na rynku, zanim jeszcze producent podatnego na niego systemu wypuści odpowiednią poprawkę). I powiedzmy sobie wprost: skuteczne zabezpieczenie się przed takim atakiem, to nie jest temat na jeden artykuł, ani choćby na jedną książkę. Nie oznacza to jednak, iż nie możesz się na taki atak przygotować - tak aby zminimalizować jego skutki.
Jak się przygotować na atak?
Zacznijmy od napisania wprost: poniższe rady nie mają za zadanie Cię uchronić przed atakiem. One mają zminimalizować jego efekty i dać jak największe prawdopodobieństwo odzyskania danych - tak abyś mógł jak najszybciej wznowić działalność.
Windows Backup i Volume Shadow Copy - zły pomysł
Windows Backup i Volume Shadow Copy to natywne mechanizmy backupu danych, zawarte w systemie Windows. Ich zaletą jest głównie to, iż można je uruchomić dosłownie kilkoma kliknięciami. Niestety mają też sporo wad:
- przede wszystkim, większość ransomware potrafi te mechanizmy skutecznie wyłączać, a utworzone już backupy kasować lub uszkadzać
- nawet jeżeli backupy przetrwają (np. zgrane na osobny dysk USB), ciężko się z nich korzysta - w szczególności ciężko się odzyskuje pliki o rozmiarze ponad 200 MB (a na nich pewnie będzie Ci zależało najbardziej), np. bazy danych SQL Server, pliki z pocztą Outlooka itd.
Co zamiast nich?
Bardzo dobre pytanie. Istnieje mnóstwo wartych polecenia rozwiązań do backupu - które jest najlepsze, to już bardzo mocno zależy od okoliczności. Przede wszystkim wyjdź od prostego pytania: dlaczego dotychczas nie masz wdrożonego czegoś lepszego?
- bo to kosztuje - licencje, drożsi pracownicy, którzy to ogarną
- prowadzisz 1-osobowe IT i nie chcesz używać czegoś, czego działania nie rozumiesz
- dane rozwiązanie jest skomplikowane - jest mowa o jakichś serwerach backupu, taśmach, rozwiązaniach Enterprise itp., a Ty masz po prostu 1 serwer do ochrony
Wiele osób z IT wyśmiewa takie podejście i podpowiada od razu profesjonalne rozwiązania z wyższej półki, nie próbując choćby wnikać w Twoje realia biznesowe. Ok, nie zaszkodzi poczytać o systemach typu Veeam Backup, Bacula, Zmanda itd. - może Ci się któryś spodoba. Ale jeżeli nie, nie ma ciśnienia - zacznij od czegoś prostego, np. darmowy Cobian, albo płatny ale dość tani w stosunku do możliwości Acronis.
Możesz też w ogóle darować sobie oprogramowanie do backupu i stworzyć po prostu skrypty BAT, które będą:
- wyciągać dane źródłowe (np. eksportować bazy danych z SQL Servera - i tak musisz do tego stworzyć własny skrypt, zwłaszcza jeżeli chcesz robić backup SQL Servera w darmowej edycji Express)
- pakować je w archiwa np. za pomocą programu 7-Zip (możesz nim tworzyć również archiwa w formacie ZIP, patrz niżej)
- przerzucać gotowe archiwa na jakiś serwer FTP, dysk zewnętrzny itp.
Nie musisz ich choćby tworzyć od zera - w Internecie znajdziesz mnóstwo przykładów, jak wykonać każdą z tych operacji, wystarczy po prostu skopiować te przykłady, dostosować (nazwy hostów, baz danych itp.) i skleić w całość. Wbrew opiniom wielu "profesjonalistów", to wystarczy - co najwyżej będzie takimi rozwiązaniami trudno zarządzać, trudno je skalować itp. - ale tym możesz się zająć dopiero wtedy, gdy faktycznie stwierdzisz, iż to dla Ciebie namacalny problem.
ZIP vs 7z vs RAR
Większość osób, gdy już tworzy jakieś archiwa z kopiami zapasowymi, wybiera format RAR lub 7z - są to formaty zapewniające bardzo dobre współczynniki kompresji danych, a więc takie archiwa zajmują mniej miejsca. I faktycznie ma to sens, gdy tworzymy archiwa:
- do długotrwałego przechowywania - które po wgraniu gdzieś, będą tam leżeć całymi latami "na wszelki wypadek", ze względów prawnych itp.
- do szybkiej, jednorazowej wymiany dużej ilości danych - gdzie również zależy nam na zmniejszeniu oryginalnych plików, ale w razie czego jesteśmy w stanie cały proces ponowić
Natomiast formaty te mają bardzo poważną wadę: są do archiwa "solid", o strukturze ciągłej. Czyli wystarczy uszkodzić np. pierwsze 64 kilobajty takiego archiwum, a cała reszta do niczego się już nie przyda.
W przeciwieństwie do RAR i 7z, tradycyjne archiwa ZIP mają kilka zasadniczych przewag pod kątem odzyskiwania danych:
- są to archiwa o strukturze nieciągłej - czyli wewnątrz archiwum kończy się jeden plik i zaczyna kolejny, potem kolejny itd. - jeżeli wirus nadpisze pierwsze 64 kilobajty archiwum i tym samym uniemożliwi odzyskanie np. pierwszych 15 skompresowanych plików, to cała reszta przez cały czas da się odtworzyć (niekoniecznie standardowym programem do dekompresji ZIP, ale np. my mamy do tego autorskie oprogramowanie)
- mają listę skompresowanych plików na końcu, zamiast na początku - a więc jeżeli wirus nadpisze tylko początek archiwum, będzie można odtworzyć nie tylko większość skompresowanych plików, ale też pełną listę tego, czego brakuje (nazw plików, dat modyfikacji, wielkości itd.)
- mają w środku nagłówki wewnętrzne na początku każdego pliku - a to bardzo ułatwia pracę narzędziom do odzyskiwania danych - usunięte z dysku archiwa ZIP da się bez problemu odtworzyć (a jeżeli zostały usunięte przed infekcją, to wirus najprawdopodobniej w ogóle ich nie naruszył)
- i oczywiście kompresja ZIP jest dużo szybsza i mniej zasobożerna od kompresji programami WinRAR czy 7-Zip
U 100% klientów, którzy trafili do nas w związku z atakiem ransomware, a przed infekcją mieli backup oparty na archiwach ZIP i ponad 50% wolnego miejsca na zaatakowanych partycjach, udało nam się odzyskać bazę danych w wersji albo tuż sprzed infekcji, albo co najwyżej sprzed kilku dni, dzięki czemu klient mógł w czasie poniżej 48 godzin wznowić działanie firmy. Najczęściej było to możliwe właśnie dzięki odtworzeniu usuniętych plików ZIP związanych z codziennymi kopiami zapasowymi.
A tak to wygląda w praktyce:
Autorskie formaty archiwizacji, np. InsERT IAR
Niektóre programy oferują autorskie techniki i formaty archiwizacji danych - przykładem są systemy ERP polskiej firmy InsERT, posiadające wbudowane narzędzia tworzące kopię bazy danych w postaci plików IAR i I01 - absolutnie takich wynalazków nie używaj!
- usuniętych z dysku plików IAR i I01 nie da się odtworzyć i naprawić żadnym narzędziem do odzyskiwania danych - po prostu jest to zamknięty format producenta, do tego nie zawierający w środku żadnych charakterystycznych elementów, na których można by oprzeć odzyskiwanie
- dodatkowo choćby jeżeli masz te pliki, nie możesz "na boku" wypakować z nich samej kopii bazy danych - musisz zainstalować SQL Server w odpowiedniej wersji, zainstalować samą aplikację InsERTu i dopiero próbować coś odzyskiwać
Jedyne, do czego polecamy taką formę archiwizacji, to tworzenie kopii bazy danych na potrzeby przesłania jej do producenta w związku z jakimś zgłoszeniem serwisowym - wtedy chcą kopię właśnie w formacie IAR. Natomiast na potrzeby kopii zapasowych, trzymaj się od tego formatu z daleka.
Wolne miejsce na dysku
Aby wspomniane wyżej archiwa ZIP miały szansę przetrwać, musi być spełniony jeszcze jeden warunek: na zaszyfrowanej partycji musi być statystycznie przynajmniej 40% wolnego miejsca - im większa partycja, tym ten minimalny próg jest niższy.
Po prostu jeżeli w trakcie szyfrowania plików przez ransomware zabraknie "świeżego" wolnego miejsca, to Windows zacznie nadpisywać to, w którym poprzednio leżały już jakieś dane, ale zostały usunięte. jeżeli tak się stanie, nie da się już niczego odtworzyć.
Z tego samego powodu, po wykryciu infekcji nie powinieneś na zaatakowanym komputerze niczego instalować, ale jak najszybciej go wyłączyć - bo każdy kolejny kilobajt nowo zapisanych danych (np. logów systemu Windows) to kilobajt nadpisanych potencjalnie wartościowych fragmentów dysku.
Ile konkretnie powinno być tego wolnego miejsca? Zalecamy, aby była to przynajmniej 20-krotność wielkości archiwum ZIP z kopią zapasową, jakie się codziennie tworzy na tej partycji. A jednocześnie przynajmniej ok. 30 gigabajtów. Uwaga: per partycja, nie per fizyczny dysk twardy.
Backup na dysk USB? Jasne, pod warunkiem...
Kolejnym, wyjątkowo częstym błędem popełnianym przez klientów jest backup na dysk USB, przez cały czas podłączony do serwera. Takie coś może być skuteczne na wypadek awarii sprzętu - jednak w przypadku ataku ransomware, wirus szyfruje również zawartość tego dysku...
Czy to oznacza, iż nagle zamiast prostego rozwiązania do ochrony 1 serwera musisz wdrażać jakieś skomplikowane systemy? Niekoniecznie. Po prostu dokup jeszcze 2 takie dyski i cyklicznie je przepinaj, zgodnie z tymi zasadami:
- jednocześnie tylko 1 dysk może być wpięty do serwera (no chyba iż chcesz np. coś skopiować, ale wtedy zadbaj o to, aby jak najszybciej odpiąć drugi dysk)
- 1 dysk powinien przez cały czas leżeć w sejfie poza siedzibą firmy - aby przetrwać też np. pożar, zalanie, włamanie itp. - prosta zasada: nie wyjmujesz nowego dysku z sejfu, zanim nie wsadzisz tam poprzedniego
- ostatni z dysków, to dysk aktualnie w transporcie - przenoszony pomiędzy chronionym serwerem a sejfem
Mając łącznie 3 dyski, musisz jeszcze tylko pamiętać, aby je kolejno przepinać, np. co tydzień. W dalszej kolejności możesz poczytać o schematach backupu: FIFO, GFS (dziadek-ojciec-syn) i innych, ale podstawą jego właśnie przepinanie dysków - jeżeli jest z tym problem (np. z terminowością, zapominaniem itp.), bezpieczniejszy będzie bardziej toporny, za to możliwie najbardziej "naturalny" w Twoim środowisku schemat (taki, o którym nie musisz specjalnie pamiętać, ale który jakoś wpasowuje się w resztę Twoich nawyków).
Mając te 3 dyski (a w minimalistycznej wersji, 2 dyski podpinane naprzemiennie), jeżeli choćby zawartość jednego zostanie zaszyfrowana, będziesz mógł odtworzyć dane z pozostałych.
Push vs pull
Jeśli masz w firmie jakiś serwer NAS lub inne urządzenie w roli "serwera backupu", wówczas generalnie słabym (choć najprostszym do realizacji i w efekcie najczęściej spotykanym) pomysłem jest backup typu push - tj. chroniony serwer ma podpięty jakiś udział sieciowy i wrzuca tam swoje backupy:
- pół biedy, jeżeli każdy chroniony serwer ma osobny podkatalog, do którego tylko on ma dostęp
- dużo gorzej, jeżeli jest to wspólny udział i każdy serwer może zniszczyć backupy wszystkich serwerów
Rozwiązanie to ma tą samą wadę, co backup na pojedynczy dysk USB: takie backupy zostaną również zaszyfrowane lub usunięte podczas ataku ransomware.
Jak działa rozwiązanie typu pull?
- każdy serwer tworzy swój backup i zostawia go na swoim lokalnym dysku
- żaden chroniony serwer nie ma dostępu do serwera backupu
- serwer backupu codziennie łączy się z chronionymi serwerami i pobiera z nich przygotowane archiwa, a następnie przerzuca na wyznaczone dyski (albo inne miejsca, np. konta chmurowe itp.)
Jeśli dopiero planujesz zakup serwera NAS, podpowiadamy: backup typu pull najłatwiej zorganizujesz na urządzeniach Synology, a w dalszej kolejności QNAP. W zasadzie tylko tych 2 producentów NAS tworzy oprogramowanie faktycznie dające jakąś wartość dodaną (np. deduplikację danych) - w urządzeniach innych marek znajdziesz tylko kompilację systemu open source plus prosty panel do zarządzania.
A jeżeli chcesz zorganizować taki backup samodzielnie od podstaw - możesz użyć do tego choćby Raspberry Pi z podpiętym dyskiem zewnętrznym, oraz programu Rclone. Nawiasem mówiąc, dokładnie tego programu używa większość ekip ransomware do wykradania danych przed ich zaszyfrowaniem, właśnie ze względu na jego stabilność i uniwersalność - możesz potraktować to jako rekomendację.
Co robić po ataku?
A więc jednak doszło do udanego ataku... No cóż, przede wszystkim nie panikuj. A następnie zastosuj się do poniższych rad.
Jak najszybciej wyłącz komputer
Jeśli pokazał Ci się komunikat o okupie, a chwilę wcześniej komputer jeszcze normalnie działał, jak najszybciej go wyłącz. Nie zamykaj Windows, po prostu wyrwij jak najszybciej kabel zasilający. Bardzo możliwe bowiem, iż ransomware dopiero szyfruje pliki i jakaś część pozostało nietknięta - a wówczas liczby się dosłownie każda sekunda.
Jeśli zastałeś taki komunikat np. rano, po przyjściu do pracy - wtedy na spokojnie zrób telefonem zdjęcie tego komunikatu, po czym wyłącz komputer.
Niezależnie od przypadku, nie próbuj niczego instalować na tym komputerze:
- żadnych programów do odzyskiwania danych
- żadnych programów antywirusowych lub podobnych
Dlaczego to takie ważne? Bo każdy kolejny kilobajt nowo zapisanych danych (ściągniętych ad-hoc instalek, zainstalowanych programów, czy choćby samych logów systemu Windows) to kilobajt nadpisanych potencjalnie wartościowych fragmentów dysku. Czyli im więcej ściągniesz i zainstalujesz, tym mniej zdołasz odzyskać.
Odzyskiwać samodzielnie czy z pomocą specjalistów?
Czy "wyłącz jak najszybciej komputer" oznacza, iż nie masz próbować odzyskiwać danych samodzielnie? Absolutnie nie. jeżeli masz czas i wiesz co robisz - próbuj. Natomiast pamiętaj o podstawowej zasadzie odzyskiwania danych: nigdy nie próbuj odzyskiwać na ten sam dysk.
Jak to robią firmy odzyskujące dane? W tym my...
Istnieją 3 podstawowe różnice:
1. Przede wszystkim, nie działają na oryginalnym dysku - ten służy tylko do wykonania obrazu (czyli wielkiego pliku z zawartością dysku). Przynajmniej o ile dysk jest w pełni sprawny fizycznie, bo inaczej sytuacja się trochę komplikuje (ale zostawmy to jako specjalny i bardzo rzadki przypadek).
2. Nie istnieje żadne pojedyncze narzędzie, które byłoby w stanie ogarnąć wszystkie możliwe przypadki - choćby komercyjne. Dlatego plik z obrazem dysku jest kopiowany na kilka serwerów, a każdy serwer uruchamia na nim inne narzędzie. O szczegółach napiszemy w kolejnym artykule. Polecimy też trochę narzędzi wartych naszym zdaniem uwagi.
3. Nie robią tego po raz pierwszy. A więc cały schemat działania jest dokładnie przemyślany i przećwiczony, oraz lepiej lub gorzej zautomatyzowany. Nie ma więc mowy o działaniu chaotycznym, pod presją czasu itp.
Padłeś ofiarą ataku? Podziel się doświadczeniami...
Na koniec mamy prośbę: jeżeli padłeś ofiarą ataku ransomware, albo obsługiwałeś takiego klienta, podziel się swoimi doświadczeniami:
- co się udało?
- co się nie udało?
- co się zmieniło w infrastrukturze IT po ataku?
- co chciałbyś przekazać innym ofiarom?
Jeśli nie możesz pisać o tym publicznie w komentarzach, napisz do nas na adres kontakt@payload.pl - dołączymy Twoje wnioski do drugiej części tego artykułu, która jest w trakcie pisania.