Zsarolóvírusok: kétségbeesés helyett gyors cselekvés

Az Excel és a Word el sem indul, s ugyan ott vannak azok a fájlnak nevezett izék (érdekes, a legtöbb felhasználónál teljesen kimaradnak az számítógépkezelői alapok, nincsenek tisztában a fájlok és mappák fogalmaival, ahogy a Windows és a Word is keveredik a fejekben), de azoknak most mind locky a végződésük (kiterjesztésük, ugyebár). Meg ha már vonalban van, elmondaná, hogy az utalásokat sem tudják elindítani, mert a könyvelő program is sztrájkol, pedig a hálózat, ahonnan futna, elvileg működik, bár ő azért ebben sem olyan biztos. Szóval akkor most mire kattintsanak, mert már nagyon utalnának, meg az Excelbe is lenne mit felvinni, mielőtt az unokákért megy este az oviba, mert a lánya olyan sokat dolgozik, hogy ezt ma pont rábízta. 

Nos, ők nem kattinthattak sehova, mert annyi azért kapásból leesik ilyenkor az embernek, hogy az érintett cég szerencsésen benyelt egy zsarolóvírust (ransomware). Így aztán innentől kezdve már az tűnt a legcélszerűbbnek, hogy a könyvelők helyett a helyi informatikus kollégák kezébe kerüljön inkább az egér és a billentyűzet. Így is történt, az eredmény pedig nem volt túl meglepő: az állományokat zsarolóvírus titkosította. Még a kiderített ok sem volt krimibe illő: egyszerűen az történt, hogy a pénzügyi vezető livkidálta a céges notebookot, s puszta cég iránti lojalitásból harcra fogta a saját otthoni netbookját. Csak azt az apróságot felejtette el, hogy azon aktív védelem még véletlenül sem volt, csak egy évek óta frissítésért panaszkodó, inaktív antivírus. Jó, hát szokott hülyéskedni, meg valamiért a Google se nagyon szokott bejönni a böngészőben, néha váratlanul elindultak rajta dolgok, de csak azok, amelyek erre egyáltalán hajlandók voltak, mert volt, ami unszolásra sem startolt. De a cég nem állhat le! No, így aztán ezen az esős hétfő reggelen a cég végül mégis leállt…

Az ügyben persze ilyenkor nehéz elkerülni a cégvezetők és döntéshozók bevonását, ahonnan az első - üzletileg persze logikus - kérdések nagyjából ezek voltak: most akkor kinek kell fizetni, mit kell venni, netán emeljük a fejünk fölé a kezünket és úgy jajongjunk, hátha úgy hatékonyabb? Na de az évek, ugye, meg a tapasztalat azért győzött, és sikerült őket meggyőzni, hogy terroristákat nem pénzelünk (amúgy is kétséges, hogy egy esetleges fizetés után tényleg visszakapják-e az adataikat), utólag vásárolni már felesleges, a jajongás meg viszonylag kevés esetben segít, de hogy itt nem, az tuti!

BCP és gyors cselekvés

Szerencsére annak idején azért hallgattak ránk, így ha az időt már nem is tudtuk visszaforgatni, orvosolni viszont lehetett a dolgokat. Az, hogy a védelemben elég egyetlen apró rés, ebből rögvest kiderült. Jó dolog, ha lelkes az ember, de a céges policy nem csak azért van, hogy a munkatársakat egy alkalommal fel lehessen tartani egy fél órára az átolvasásával. Saját számítógépet - pláne előzetes egyeztetés nélkül - nem pakolunk be a céges rendszerbe. Szerencsére azért van megoldás, néha utólag is, bár jobb, ha az ember előre számol a veszélyekkel. Így ez esetben végre mindenki számára egyértelművé vált, hogy a BCP forgatókönyv (üzletmenet-folytonossági terv, illetve a katasztrófa helyzetekre kidolgozott lépések gyűjteménye) nem az IT részleg fizetésének megindoklása végett készült el annak idején. Gyakorlatilag nem volt más feladat, csak végigmenni rajta lépésről lépésre: izolálni érintett gépeket, felfüggeszteni a hálózati megosztásokat mindenütt, ahol írási jogosultságuk volt, értesíteni az összes felhasználót, visszaállítani a fertőzött fájlokat a korábbi - jelen esetben pénteki - verziózott mentésből, s természetesen a legfrissebb vírusvédelmi szoftverekkel és ransomware eltávolítókkal nekiesni egy nagytakarításnak az összes gépen. Jah, meg persze nyugtatgatni a felhasználókat, hogy ez még nem teljesen a világvége, elmagyarázni nekik, hogy ha a titkosítás feloldásáért fizetnek, azzal alvilági és terrorista csoportokat támogatnak (és amúgy is kicsit az esélye, hogy a kedves, édes kiberbűnözők majd átküldik a titkosításhoz használt kulcsokat). A könyvelőket ráadásul ilyenkor külön kell nyugtatni, hogy addig nem lesz utalás, amíg a probléma meg nem oldódik. Nem csak a fájlok, hanem a határidők is áldozatul esnek egy ransomware támadásnak.

Tanulság

Utólag megoldani ilyen problémákat mindig necces. Lehet, hogy mázlink van, és egy olyan zsarolóvírust fogtunk ki, amelyik eltávolítható és a titkosítás is feloldható, de még így is jó esélye van az adatvesztésnek. Érdemes tehát előre tervezni. Zárójeles megjegyzés, a hamarosan érkező GDPR szabályozás sem véletlenül ragaszkodik a vészforgatókönyvek készítéséhez és a folyamatos biztonsági mentések meglétéhez. Milliókat veszthetünk egy ilyen esettel, ha váratlanul ér minket. Miközben a fenti sztori végkifejlete amolyan hollywoodi happy end: minden visszaállt a rendes kerékvágásba, a pénzügyi vezető megkapta a szép új céges notebookot (és megfogadta, hogy többé nem tartja a legmagasabb pulton, konnektorra kötve, hogy legyen mivel földre rántani), a könyvelési osztály tagjai pedig aznap késő délután is kávézhattak egy jót, és persze folyhatott a pletyka a konyhában. Szóval minden visszazökkent a megfelelő kerékvágásba. És úgy tűnik, itt is folytatódik az élet, mert már megint csörög a forródrót…

Sebaj, ha izgalmas sztori lesz, megírom azt is!  

Szerző: Márky Donát-Duna Elektronika