A żeby nas (nie) poszyfrowało…

1 miesiąc temu

Mroczna aura zagrożeń szyfrujących dane jest już od kilku lat stałym elementem internetowego pejzażu. Nawet jeśli nie spotykamy ich w codziennych artykułach, to raz na niezbyt długi czas po Sieci rozlewa się kolejna fala informacji o danych utraconych w wyniku działania wołającego o okup szyfratora, który wykorzystując chwilę nieuwagi użytkowników i być może słabe punkty narzędzi ochronnych, po raz kolejny zamienił cenne pliki w ciąg bezużytecznych bajtów. Spójrzmy zatem, jak w bieżącym roku kształtuje się aktywność zagrożeń szyfrujących od stycznia do końca sierpnia:

Malejąca liczba detekcji notowana od początku stycznia to naturalna kontynuacja spadku notowanego w roku poprzednim. Wraz końcem wakacji obserwujemy (występujący również w analogicznym okresie zeszłego roku) wzrost liczby zablokowanych zagrożeń szyfrujących.

Nie sięgając bardzo głęboko w powyższe zestawienie (i w zestawienia z lat ubiegłych), możemy bez cienia wątpliwości, krótko i na temat stwierdzić, że zagrożenia szyfrujące nadal trzymają się mocno i nic nie zapowiada, żeby w najbliższych latach zniknęły ze sceny.

Warto wspomnieć o istotnym z punktu widzenia odzyskiwania danych zjawisku – znacząco spada “jakość” zagrożeń szyfrujących. Wiele nowych wariantów nie szyfruje danych lecz je niszczy np. nadpisując pliki losowymi ciągami bajtów. Wszystkie algorytmy oparte na deszyfracji są w takiej sytuacji z definicji skazane na porażkę. W tym świetle jeszcze bardziej bezzasadne jest płacenie okupu za (złudną) możliwość odzyskania danych.

Producenci oprogramowania ochronnego różnie podchodzą do tematu ochrony przed szyfrowaniem lub zniszczeniem danych i do minimalizacji ryzyka bezpowrotnej ich utraty. Szczególnie interesujące jest rozwiązanie zaimplementowane w polskich pakietach Arcabit i mks_vir – SafeStorage. Mieliśmy okazję aktywnie uczestniczyć w projektowaniu tego mechanizmu, zatem z czystym sumieniem polecamy je jako “polisę ubezpieczeniową” na wypadek zarówno ataku na dane, jak i na sytuacje, w których pliki zostaną uszkodzone, skasowane lub nadpisane w wyniku innych, przypadkowych, nieuważnych lub nie do końca przemyślanych działań użytkownika.

Szeroki zakres ochrony, wykraczający poza obszar zagrożeń szyfrujących, jest szczególnie istotną cechą SafeStorage, która wyróżnia go na tle rozwiązań dostępnych na rynku.

Spójrzmy na kilka sytuacji, z którymi zetknęliśmy się w dziale wsparcia technicznego, związanych z utratą danych i rolą mechanizmu SafeStorage w procesie ich natychmiastowego odzyskania. Zdarzenia przytaczamy w formie zanonimizowanej, jednak za zgodą osób będących ich bohaterami.

14 lutego 2019, koło południa, dzwoni grafik z firmy poligraficznej z Małopolski. Mocno zdenerwowany informuje nas, że pliki zawierające jego prace graficzne z ostatnich 6 miesięcy zostały zamienione w “papkę”, której nie może otworzyć w żadnym programie. W folderach pojawiły się dodatkowe pliki z informacją (w języku polskim), że warunkiem niezbędnym do uzyskania programu, który dane odszyfruje jest przelanie równowartości 2000 PLN w Bitcoinach. Kopia zapasowa jest… ale sprzed roku. Klient kompletnie nie wie, jak doszło do zaszyfrowania. My chwilowo również – tym zajmą się specjaliści z laboratorium. Prosimy Klienta o uruchomienie głównego okna programu Arcabit, przejście do zakładki “Narzędzia” i uruchomienie konsoli SafeStorage. Po chwili na ekranie ukazuje się lista wszystkich plików sprzed momentu zaszyfrowania. Jednym kliknięciem, wspólnie z Klientem przywracamy je do pierwotnej lokalizacji. 100% dokumentów i plików graficznych zostaje odzyskanych. Przy okazji pobieramy audyt systemu, na podstawie którego specjaliści z laboratorium Arcabit/mks_vir odkrywają nowy wariant cryptolocker’a i aktualizują bazę wirusów.

19 marca 2019, rano, przychodzi mail z kancelarii adwokackiej. Aplikant nadpisał na pulpicie dokument jego starszą (i to znacznie) wersją z nośnika USB. “Miałem skopiować z pulpitu na pendrive’a, a skopiowałem z pendrive’a na pulpit” – po prostu klasyka, jak w starym, branżowym dowcipie o Norton Commanderze i dysku C: w obydwu panelach – “Po lewej dysk C:, po prawej dysk C: – na co mi dwa dyski C:?! To sobie jeden sformatowałem…“. W każdym razie mozolnie wypracowany, dopieszczony w każdym szczególe dokument, zostaje nadpisany roboczą wersją pierwszej strony skleconą naprędce w poprzedni piątek wieczorem. Jednak aplikant ma szczęście. Po pierwsze pracuje w renomowanej kancelarii ( nie nie, to nie Kordian 😉 ), po drugie w tej kancelarii komputery są chronione pakietem mks_vir. Uruchamiamy konsolę SafeStorage, na liście odnajdujemy szczególnie cenny tego dnia dokument, wskazujemy najnowszą wersję, klikamy w “Odzyskaj”, wskazujemy lokalizację i już. Podobno później tego samego dnia, ten sam aplikant ponownie nadpisał plik, jednak już wiedział, co ma robić 🙂

5 września 2019 – ten przypadek w sumie skłonił nas do publikacji niniejszego artykułu. Dzwoni informatyk ze szkoły. Pisał skrypt, którego zadaniem było liczenie sum SHA256 plików w podanych folderach. Każda suma miała być zapisana w pliku o nazwie takiej jak nazwa pliku oryginalnego z dodanym rozszerzeniem “.SHA256”. Skrypt miał być częścią większej całości – synchronizacja danych, kontrola wersji, usuwanie duplikatów itd. Wszystko działało doskonale z dokładnością do drobiazgu, polegającego na tym, że nasz Klient zapomniał o dodawaniu w skrypcie wspomnianego rozszerzenia “.SHA256”. W rezultacie każdy plik, do którego skrypt dotarł (a działał szybko), został napisany swoją własną sumą SHA256. Kilkaset dokumentów opisujących funkcjonowanie placówki zostało skróconych do 32 bajtów każdy. Kopii zapasowej – brak. Nie ma i już. Po opanowaniu paniki Klienta przechodzimy do konsoli odzyskiwania SafeStorage. Ulga w głosie informatyka, który w 30 sekund odzyskał zamazane pliki zostaje z nami na kilka dni 🙂

To tylko kilka przykładów z puli sytuacji, w którym SafeStorage momentalnie rozwiązywał pozornie katastrofalne problemy wynikające z utraty plików. Warto również wspomnieć, że mechanizm ten jest domyślnie włączony zarówno w pakietach Arcabit jak i mks_vir. Nie ma zatem mowy o tym, aby Polak był mądry dopiero po szkodzie.

Na koniec przydatne linki:

Informacja o SafeStorage na stronie firmy Arcabit

Poradnik na stronie mks_vir o odzyskiwaniu danych za pomocą SafeStorage

A jak by były jakieś pytania – zapraszamy do kontaktu z nami (https://antywirus.pl/kontakt/)