Egy zsarolóvírus megtámadta a szerverünket, helyre lehet hozni?

Semmiképpen ne fizessetek, kétséges a kimenetel.

1. Ha elterjedtebb zsarolóvírusról van szó, esetleg van lehetőség a fájlok visszaszerzésére - erre a nagyobb kártevőkereső gyártó cégek biztosítanak megoldásokat:

* [link]

* [link]

* [link]

* [link] - Europol kezdeményezés

* [link]

* [link]

* [link]

2. Ha a fájlrendszer lehetőséget nyújt rá, van lehetőség a fájlok korábbi példányának visszaállítására.

A Windowsnál is használt NTFS-nél erre szolgálnak az árnyékmásolatok

* [link]

* [link]

a Linux/Unix rendszerekben használt LVM, Btrfs és ZFS fájlrendszereknél meg a pillanatképek (snapshots):

* [link]

de ezeket be kell konfigurálni.

Ha felhőtárhelyet is érint a dolog, egyes felhőtárhelyek is biztosítanak visszaállítási lehetőséget:

* [link]

3. Ha a fentiek egyike sem válna be, akkor marad az újratelepítés illetve a biztonsági mentésből való visszaállítás.

Gondolom, jó hazai szokáshoz méltóan biztonsági mentés nem volt. Innentől fogva két "lehetőségetek" van.

1. Fizettek. Aztán vagy visszakapjátok az adatokat, vagy nem. Ha vissza is kapjátok, utána még az is előfordulhat, hogy azért is pénzt kérnek, hogy ne tegyék azokat nyilvánossá.

2. Kezdtek mindent újra.

Én a jelen helyzetben nem rúgnék bele a "helyi IT-s" kollégába, egy zsarolóvírus okozta kár nem az a kategória, amivel bármilyen szakember érdemben tudna bármit kezdeni. Illetve hát nem tudom, hogy mennyire az ő sara, hogy ez a helyzet előállt, de majd leírom a személyes tapasztalataimat is ezzel kapcsolatban.

Esetleg még interneten lehet kutakodni utána, ha sikerült a kártevőt beazonosítani, akkor nincs-e valamilyen módszer a dekódolásra, ugyanis némelyik zsarolóvírus azért nem végez "tökéletes" munkát.

Alapvetően zsarolóvírus ellen nincs ellenszer. Viszont vannak olyan óvintézkedések, amikkel minimalizálni lehet az általuk okozott károkat.

1. Minden gépen megfelelő korlátozásokat kell bevezetni, alapelv, hogy mindenki csak a munkájához feltétlenül szükséges jogosultságokkal rendelkezzen. Mondjuk egy könyvelőnek tök feleslegesen van joga futtatni bármilyen, a munkájához nem szükséges állományt. Már csak azzal, ha letiltjuk a tetszőleges állományok futtatását, a potenciális kártevők egy jelentős részének esélyt sem adtunk. Így ugyanis nem fog tudni senki e-mailben küldött linkről kártevőt telepíteni. Ugyanis az esetek nagyon nagy részében pont a felhasználó az, aki a kártevőt feltelepíti.

2. Aztán persze nem árt egy megfelelő antivirus-védelem, és egy jól bekonfigurált tűzfal. (Nem, a Defender nem olyan hű, de szuper, amilyennek most divat mondani, akkor sem, ha ezt itt nagyobb fajta szentségtörés volt így leírni.)

3. Azon is érdemes elgondolkozni, hogy vajon az oprendszerek, és a szoftverek a célnak megfelelőek-e? Értem én, hogy az iskolában Windowst tanítanak, meg a főnök sem látott még életében mást, meg hát otthon a kölyök is Windows alatt tolja a gétéát, de azért ideje lenne már felismerni, hogy az a rendszer pocsék munkahelyi használatra. Legalább a szerver futtathatna valamilyen biztonságosabb oprendszert. Linuxokon - amellett, hogy az átlag zsarolóvírus ott aztán nem tud randalírozni - már jó ideje elérhetőek úgynevezett verziókövető fájlrendszerek. Hiába történik felülírás, a legutolsó néhány változást eltárolja a rendszer, és az visszaállítható. Ez sem 100%-os védelem, de azért nagyon sokszor ez is bőven elég.

4. Pontosan szabályozni kellene a hozzáférési jogosultságokat.

5. Legyen egy vállalható biztonságimentő rendszer! Igen, ez némi pénzbe, és munkába kerül, de nem hinném, hogy nagyobb macera, mint tízezer dokumentumot újra begépelni. ;-) Lehetőleg napi szintű mentés legyen, ne csak mindig a legutóbbi állapot legyen elmentve (hanem mondjuk legyen megőrizve a legutóbbi 7 nap, meg .. mittudomén... előtte még 2-3 pénteki állapot). A mentéseknek legalább egy része történjen több példányban, amiből az egyik legyen offline. Hiszen hiába van 20 mentésünk, ha mindegyiket eléri, és hazavágja a zsaroló.

Mint pedig írtam, egyszer mi is megszívtuk. Mondjuk azóta már másik munkahelyem van, és egyébként nem emiatt küldtek el, önként távoztam, amikor már végképp vállalhatatlanok lettek a körülmények. Közintézmény. Én már amikor oda kerültem, akkor jeleztem, hogy kellene valamilyen biztonsági mentési rendszert kialakítanunk. A válasz az volt, hogy adtak 10 darab írható (még csak nem is újraírható) DVD-t, oldjam meg. Az akkor 30 GB környéki adatállománnyal. Aztán amikor jeleztem, hogy ebből így nem lesz vállalható biztonsági mentés, csak annyit mondtak, hogy ők többet nem tudnak tenni. Jó.

A következő az volt, amikor jeleztem, hogy az a "fájlszerver", ami annyiból állt, hogy volt egy Windows megosztott mappa, talán nem a leghatékonyabb megoldás. Szerettem volna egy normális fájlszervert, normálisan szabályozott jogosultságokkal, nem csak úgy, hogy van egy megosztott mappa, aztán mindenki ahhoz csatlakozik maximális jogosultsággal. A válasz az volt, hogy ezt még az elődön elődjének az elődje csinálta meg, és azóta tökéletesen működik, ne akarjak belepiszkálni. Hááát oké. Igaz, hogy a Windows 2008 szerer engem annyira nem győzött meg, főleg, hogy egy kettéosztott 120 GB-os vinyón volt az egész... de ha nem, akkor nem.

Aztán a vírusvédelem kapcsán is kifejtettem, hogy akármennyire is szentségtörés, de a Defender lehet, hogy mégsem a világ legmegbízhatóbb védelme. Persze, megkaptam, hogy nem értek hozzá, az egy kitűnő termék. Hát jóó...

Aztán történt egyszer, hogy a titkárságró hívtak, hogy "eltűntek az ikonok, és a pdf-ekben hülyeség van". Igen, bizony, jött egy zsarolóvírus, és ami a fájlszerveren volt, azt mindent lekódolt. Mint kiderült, pont annak a gépe fertőződött meg, aki a leginkább kardskodott a Defender mellett, ami aztán szerinte mindentől megvédi a gépét. Hát.. nem így történt. Szerencsére továbbterjedni nem tudott, így csak az ő gépét barmolta szét, na meg a fájlszervert. Ezen a ponton jeleztem, hogy a vezetés által a legjobbnak, és kötelezően használandónak talált vírusvédelmi megoldás mégsem bizonyult annyira jónak, és az évek óta tökéletesen működő fájlszerver tartalma így megsemmisült, a DVD-ken pedig a másfél évvel ezelőtti mentések vannak, így bizony nincs mit tenni, azok a dokumentumok végleg elvesztek. Komolyan, a végén még sajnáltam is őket, pedig nettó a saját ökörségüknek köszönhették az egészet.

A következő években azán csak-csak sikerült némi aprócska fejlődést elérni, kiépítettem egy alapszintű biztonságimentő rendszert, egy erre a célra beállított szerver éjszakánként készített egy másolatot a fájlszerver tartalmáról, illetve gz-vel betömörítve egy másik meghajtóra is lementette, és egy hétre visszamenőleg megőrizte. Bár nem offline, de a mentés után egyből le is csatolta a rendszer azt a meghajtót. Vicces, hogy amikor eljöttem onnan, utódomnak egyik első dolga volt, hogy kiiktatta az a szervert, mert hát ő nem akar Linuxszal foglalkozni. És azóta sincs helyette semmi biztonságimentő rendszerük.

Ha jól gondolom te nem it-s vagy

Ez az ő dolga megoldani, ha nem megy keressetek külső céget aki meg tudja csinálni