Města na Floridě zaplatila v poslední době útočníkům přes 1 milion dolarů. Stalo se tak po útocích ransomwaru. Zaplacení výkupného bylo evidentně poslední nadějí, jak se vrátit k informacím ve stavu před jejich zašifrováním. Jestli ono není jednodušší zálohovat…
Kolaps na Floridě
V městě Lake City si útočníci řekli o 42 bitcoinů (~500 tisíc dolarů). Po konzultacích s pojišťovnou a FBI bylo útočníkům vyhověno a peníze jim byly v úterý zaslány. Situace tak musela být hodně katastrofická, když poslali útočníkům tolik peněz a to bez jakékoliv záruky na obnovu dat! Zda poskytnou útočníci pomoc je pouze na nich.
Pár týdnů dozadu pak podobnou situaci řešilo město Riviera Beach, které útočníkům zaplatilo hned 65 BTC. V té době to bylo kolem 600 tisíc dolarů! Paradoxně předtím město investovalo skoro 1 milion dolarů do nových IT technologií. Na zálohování se nejspíš nedostalo…
Zálohujte, je to snadné!
Zálohování sloužilo v minulosti především jako prevence před ztrátou důležitých dat vlivem selhání hardware. Dříve nebo později například odejde do „věčných lovišť“ pevný disk, na kterém jsou uloženy. Počítač, resp. data mohou být též zlikvidována přepětím v elektrické síti či zásahem blesku.
Pak do zálohování promluvil ransomware…
S nástupem ransomwaru, tedy havěti, která zašifruje vše, na co narazí a pak požaduje výkupné za obnovu dat, se změnila jedna zásadní věc: Zálohování na externí USB disk (případně USB flash disk) již není bezpečné! Na připojený USB disk se ransomware dostane stejně snadno, jako na pevný disk přímo uvnitř počítače. Havěť prostě decimuje soubory na připojených discích od C: po Z: a dříve nebo později tak narazí na připojený USB disk a zlikviduje i soubory záloh. Pokud zálohujete ručně (tedy nepravidelně a časem vůbec, neboť to omrzí), kdy USB disk před zálohou ručně připojíte a na konci odpojíte, budiž. Pokud to ale se zálohováním myslíte vážně a zálohujete automatizovaně, platí výše uvedené!
Řešením je NAS
Jedním s řešení jsou zařízení NAS (Network Attached Storage), které se k počítači připojují jako síťový disk a nemusí se tak nutně připojovat pod písmeno, zatímco externí USB disk ano. A co nevidí připojeného uživatel, nevidí připojené ani havěť. Zálohování se pak realizuje skrze tzv. UNC cestu. Nezálohuje se prostě do Z:\zalohy, ale do \\mojeNAS\zalohy. Přístup do cílové síťové složky lze navíc jednoduše omezit na jediný účet, vytvořený přesně pro účel zálohování. Pod tímto účtem by měla k NAS přistupovat pouze zálohovací aplikace a to skrze UNC.
Čistě teoreticky by si mohl ransomware „přečíst“ nastavení úloh přímo v zálohovacím programu a též zálohy zlikvidovat, nicméně je potřeba si uvědomit, že minorita zálohujících uživatelů není pro ransomware perspektivní skupinou pro byznys. Proto si zatím nejsem vědom existence ransomwaru, který by „čmuchal“ po zálohách na síťových discích (pokud nejsou připojeny „pod písmenem“).
Disaster Recovery
Když už se zálohuje, není od věci mít připraven postup, jak tato data v případě pohromy obnovit. Postup je vhodné ověřit v praxi. Zálohy jsou k ničemu, pokud nejdou obnovit. V případě útoku ransomwaru je ale potřeba nejprve zdroj infekce izolovat a havěť zlikvidovat (aby nebyla aktivní). Až potom řešit obnovu dat.
Čím zálohovat?
Využít lze zálohovací program, který je přímo součástí Microsoft Windows (Zálohování a obnovení v Ovládacích panelech) nebo spoustu dalších. Osobně preferuji Veeam Agent pro Windows FREE, který je v základu zdarma i pro firmy. Vhodné je si vytvořit i záchranné USB médium, ze které lze počítač nastartovat v momentě, kdy odmítá korektně naběhnout.
Alternativy
Zálohování můžou částečně suplovat aplikace typu Google Drive, Microsoft OneDrive či Dropbox. Tyto cloudové služby ponechávají i předchozí verze souborů, tudíž se lze k nezašifrované podobě vrátit. Nicméně komfort takové obnovy je velice nízký. Ale o tom někdy příště, případně v příručně o havěti.
Naťahať len nejaké súbory na nejaké médium ktoré je stále pripojené k PC nie je zálohovanie. Ja zálohujem v podstate pravideľne pomocou programu ACRONIS, teda robím obraz disku. Samozrejme to médium na ktoré zálohy ukladám nie je mimo zálohovania k PC pripojený. Cloudom nedôverujem, pracoval som 47 rokov v rôznych bezpečnostných zložkách a tak viem o tom svoje. V tejto súvislosti je ale potrebné mať v PC kvalitný a zdôrazňujem platený AV program. Nemusí to byť práve ESET, sú aj iné programy. V tejto dobe politikárčenia sa napr. nehovorí o ruských AV programoch ktoré ja pokladám tiež za výborné.
Pokud mám spuštěnou synchronizaci s cloudem, tak se tam zašifrované soubory nahrají a přepíší ty správné.
Na OneDrive najdu původní soubory alespoň v koši.
Ty služby by měly zachovávat starší verze daných souborů, tj. lze se vrátit v čase k nezašifrované podobě. Nicméně mám za to, že to nebylo možné hromadně, takže komfort obnov nic moc. Dopsal jsem to do článku. Díky za upozornění.
autor asi synology nemá. jinak by vedel, ze pod winem se pripojuje bezne jako sdileny disk, cili zapisem F://mojeSlozka treba.
A nebo taky bezne nemusi.
Takze zapises bez prihlasovacich udajů? To pak fakt nemate na zalohy…
No ono hlavně jde napadnout přímo NAS. To už jsem viděla a bylo to zábavné. Takže já bych toto za dobré řešení nepovažovala. Ono těch dat, které člověk opravdu chce, zase až tak moc není, takže toto obvykle zálohuji na write-once media, typicky BD. Ono pochopitelně zničit jde i ten, mechanika zapne laser na plný vykon a je hotovo, nicméně já už vidím, jak se někdo probije do PC a pak ještě přehraje firmware ve vypalce. Navíc ikdyby na toto došlo, tak takto pojde jediné medium, protože další do toho prostě nevrazím. No a pokud člověk něco opravdu chce, měl by to mít dvojmo a odložené na různých místech, protože požáry, povodně a podobné radosti.
A já bych dodal, ze ten externí disk taky nemusí mít písmeno…