Κόλλησα ransomware...

[kgian]

Συνέβη και αυτό. 

Το Σάββατο το βράδυ ήμουν σπίτι και κάτι ήθελα να κάνω στον server μου. Δεν δούλευε σωστά και είπα να κάνω επανεκκίνηση. Μετά το σηματάκι των windows έβγαλε μαύρη οθόνη με το κυκλάκι με τις τελείες που γυρίζει. Τρέχω windows 10. Μιλάμε για home server. Σκέφτηκα πως κάτι θα έχει κολλήσει, ίσως απο κάποιο Update Και έκανα επανεκκίνηση με το κουμπί. Τα ίδια. 

Άρχισα να διαβάζω σχετικά στο google και είδα ίσως να φταίει ο δέκτης της logitech, ίσως οι drivers της κάρτας γραφικών κλπ. Δοκίμασα διάφορα. Το περίεργο ήταν πως ενώ με remote desktop δεν μπορούσα να συνδεθώ, έβλεπα κανονικά τα samba shares μου, δηλαδή φαινόταν σαν να έτρεχε κανονικά απο πίσω ο υπολογιστής. 

Κάποια στιγμή μπήκα στο recovery των win 10 και διάλεξα επαναφορά restore point. Μετά από αυτό τα windows ξεκίνησαν κανονικά πλέον. Εφού φόρτωσαν διαπίστωσα πως το Mysql server service που έχω για το kodi δεν είχε ξεκινήσει. Δοκίμασα να το κάνω χειροκίνητα αλλά έβγαζε μήνυμα λάθους. Επίσης είδα ένα αρχείο txt στο desktop που έλεγε RDP port changed to ... for security reasons. Το αρχείο αυτό φυσικά δεν το είχα βάλει εκεί εγώ. 

Πάω να δω τo αρχείo της mysql database και βλέπω να είναι το αρχείο μετονομασμένο σε "database.db(if you want to unlock your files send code 5784395 to [email protected]).exe" κάπως έτσι. Μόλις εκείνη την στιγμή ψυλιάστηκα πως έγινε το κακό. Το πρώτο που σκέφτηκα ήταν να επαναφέρω το acronis backup που είχα πάρει 5 μέρες πριν. Πουθενά. Όλα τα backups Μου από 4 υπολογιστές είναι εξαφανιστεί. Ούτε με το recuva Undelete τα έβρισκε.

Έψαξα όλα τα αρχεία που περιέχουν την λέξη "eucodes" και βρήκα 3800 αρχεία επηρρεασμένα κλειδωμένα. Κάποια comics, κάποια flac, τις roms του mame. Όλα αυτά τα έχω backup σε εξωτερικό δίσκο ευτυχώς οπότε δεν έχασα τίποτα. 

Κατέβασα antimalwarebytes και roguekillerx64 και έψαξα να δω αν υπάρχει ακόμα η προσβολή στο σύστημά μου. Δεν βρήκα τίποτα. Και ο αριθμός των προσβεβλημένων αρχείων έμεινε σταθερός. Μπήκα και διάβασα για το συγκεκριμένο ransomware. Προσβάλει μέσω του remote desktop. Εγώ το έχω ενεργοποιημένο, με κωδικό φυσικά αλλά απλό. Τον βρήκαν με Brute force. Στην συνέχεια μπαίνει ο @@δης, αλλάζει το πορτ του remote desktop, σβήνει όλα τα backup με secure erase και στην συνέχεια βγάζει την μαύρη οθόνη με τον κύκλο και ξεκινάει η κωδικοποίηση. Τέλος σου αφήνουν ένα txt με οδηγίες. Αυτό το κάνουν ΣΚ γιατί χτυπάνε επιχειρήσεις συνήθως που είναι κλειστές.

Ευτυχώς είχα και clone της εγκατάστασης μου των windows γιατί είναι σχετικά πολύπλοκη μια και εκτελεί χρέη server και htpc. Αλλά μέχρι να εντοπίσω τι συμβαίνει, να δω πως αντιμετωπίζεται, να κάνω clone, updates κλπ έχασα όλο το ΣΚ και μου έμεινε και μια ανασφάλεια για το μέλλον.Για να αυξήσω την ασφάλειά μου όσον αφορά το remote desktop σε πρώτη φάση έβαλα έναν πιο πολύπλοκο κωδικό με κεφαλαία, μικρά, σύμβολα και αριθμούς και έβαλα από το policies των windows σε 3 λάθος κωδικούς να περιμένει κλπ. 

Αυτά, εύχομαι να μην σας τύχει. 

[moutsa]

Πρόσφατα είχα ακούσει παρόμοιο περιστατικό που Ρώσοι hackers είχαν κλειδώσει αρχεία από τοπική επιχείρηση και ζητούσαν πληρωμή μέσω Bitcoin για να τα επαναφέρουν.

 

[kgian]

Ναι, το συγκεκριμένο ransomware ξεκινάει από την Ρωσία. Εγώ δεν μπήκα σε διαδικασία επικοινωνίας με τους απατεώνες γιατί είχα backup. Ξέρω όμως ότι ζητάνε περίπου 1,5 bitcoin δηλαδή γύρω στα 15000€. 

[agamoi-thytai]

Θεωρώ πως critical αρχεία πρέπει να είναι και σε ενα Dropbox που έχει και versioning.

[webparts]

Στις 29/1/2018 στις 1:55 ΜΜ, kgian είπε

Ναι, το συγκεκριμένο ransomware ξεκινάει από την Ρωσία. Εγώ δεν μπήκα σε διαδικασία επικοινωνίας με τους απατεώνες γιατί είχα backup. Ξέρω όμως ότι ζητάνε περίπου 1,5 bitcoin δηλαδή γύρω στα 15000€. 

Αντε να το παθαινες 1 μηνα πριν,που το btc εκανε 15.000