Информационная безопасность, Программы | Олег Брагинский
Поздним вечером декабрьской пятницы из Индии звонит друг, с которым бы в разведку пошёл не колеблясь. Просит помочь знакомым: у логистической компании оказались зашифрованы рабочие файлы, базы данных, прочая информация; на связь вышли кулхацкеры, запросили выкуп.
Находился в другом городе, поэтому общался с собственницей организации по телефону. Договорились, что после 23:00 перезвонит системный администратор, назовём его Пётр. Точно в оговорённое время раздался звонок, а я к тому моменту уже успел вернуться в гостиницу.
Говорили с Петром по WhatsApp, выключив микрофоны компьютеров, чтобы вымогатели не смогли подслушать. Запустили AnyDesk для удалённого доступа к рабочему столу и Skype для передачи файлов, т. к. в подобных случаях использование почты выдаст хакерам стратегию наших действий.
Отключаем четыре сервера из Сети, чтобы лишить негодяев удовольствия созерцать муки восстановления. Просим сотрудников на удалёнке заблокировать ноутбуки, не использовать корпоративные ресурсы, освободить порты от флешек, винчестеров, прочих переносных устройств.
Поочерёдно просматриваю запущенные программы – работает лицензионный Kaspersky Antivirus, который, очевидно, с атакой не справился. Такое встречается повсеместно: вирусописатели в автоматическом режиме тестируют злонамеренные программы на топ-100/500 популярных защит.
Инспектирую процессы в памяти – тоже, вроде ничего необычного. Было бы странно, если бы выкуп просили за тривиальный любительский вред. Параллельно администратор рассказывает, что руководство уже обратилось к паре специализированных команд, те озвучили большую стоимость.
Можно было бы начать сотрудничество, сдержало два фактора: а) не гарантировали результат (так же поступил и я) и б) на восстановление просили неделю, что означало невозможность обслуживать многочисленных клиентов с понедельника, что ставило бизнес на грань кризиса.
Анализирую в Far файлы, замечаю, что многим присвоено расширение «*.loki». По «Ctrl+Q» включаю быстрый просмотр в соседней панели. Некоторые файлы потеряли структуру вследствие шифрования, иные переименованы, не подвергаясь модификации. Похоже на ошибку любителей.
Укрепился в догадке, обнаружив файлы типа «*.loki.loki». Вероятно, «детишки» баловались с конструктором вредоносов, но до конца не разобрались с настройками. Команды, которые разрабатывают инструменты по всей планете, можно пересчитать по пальцам. Хорошо, что не они.
Тем временем хозяйка пересылает сообщения, приходящие на Телеграм. Интересанты нагнетают ситуацию, рассказывая, как много бед успели натворить, прикладывают копии экранов. Изучением присланных файлов определяю разрешение экрана, к моему большому счастью – нестандартное.
Таким образом, круг устройств, с которых потенциально работают вымогатели, сужается до малодюймового старомодного гаджета. Не хватает денег или снижают вероятность обнаружения? Далее следуют запугивания, ссылки на суды, попытки компрометации системного администратора.
Упоминаются «тайные знания» о том, что бизнесом владеют несколько собственников, поэтому для каждого в отдельности частичный выкуп будет не столь значительным. Игру принимаем, вступаем в долгие переговоры, называя меня «партнёром», возвращающимся в 17:00 в Москву, что правда.
Незадачливые социальные инженеры становятся многословнее, полагая, что «рыбка наживку заглотила, не сорвётся». Переключаются на общение по другому номеру, делая вид, что ситуацию контролируют тотально, играя с беспомощными предпринимателями в нагнетающие кошки-мышки.
Нажимают на «кнопку боли», утверждая, что восстановление невозможно, что часто оказывается правдой, как и то, что выплата не знаменует счастливый финал: сумму можно удвоить, атаку повторить, шантажировать по истечении длительного срока, компрометировать перед клиентами.
Эскалация достигает апогея упоминанием Роскомнадзора, ФСБ и фразой: «На этом этапе всё понятно?». Сдержанно подтверждаем: «Конечно. Всё предельно понятно». Негодяи ликуют: «Отлично» и переходят к торгу, словно обучались продажам по секретным методам спецназа.
Не намереваясь помогать, отказываемся назвать сумму отступного, в ответ получаем цену восстановления в $100К – на моей памяти одно из самых гуманных чисел. Тогда зачем эти длинные тирады о том, что всё скачали, изучили, понимают масштаб? Для приличия продолжаем торг.
Сумма мгновенно снижается до $90К. Слишком быстро. Тут же делают подсечку: «Если решите проигнорировать нас, этот аккаунт для связи с нами будет удалён и у Вас не будет возможности восстановить свои данные. И Вы вынуждите будете столкнуться с огромными последствиями».
Следует «щедрое» предложение о «бесплатной» расшифровке двух файлов, выглядящее издевательством на фоне реплики: «Вы потеряли всё, что наработали за все года». Предложение узнать о положении дел у администратора, которого ещё совсем недавно смешивали с грязью.
Добивающие аргументы: «У Вас больше нет сайтов. Нет почты. Нет всех документов за все года. Каждый ваш компьютер зашифрован. Всё, с чего хоть немного можно было бы восстановиться – выкачено и удалено». Ощущение всемогущества струилось с пальцев при написании таких строк.
Начинается педагогически-обучающий эпизод: «А мы, по сути своей, даём Вам хоть и болезненный, но урок. Очень важный опыт на будущее. И, главное, что после сотрудничества с нами, Вы сможете забыть по такие ситуации, как про страшный сон». Проблемы с запятыми… молодёжь или технари?
Мы с Петром всё это время пытались спасти данные. Дешифровать за разумный срок невозможно, обратили внимание на запущенные базы 1С: загружены в память, значит, файлы заблокированы и остались целы. Пробуем скопировать – не выходит у нас, получается, и хакеры тоже не смогли.
Запускать Unlocker не стали – получим доступ и мы, и негодяи. Не помогла свежая версия R-Studio – работает через процедуры стандартных файловых библиотек. Нужно было что-то более древнее, с непосредственным низкоуровневым доступом. Вспомнил про R.saver, который нас и выручил.
Копирование баз данных длилось целую вечность – были велики даже для высокоскоростного канала Интернет. Зато дали время детально изучить следы присутствия злоумышленников. Зашли в просмотр состояния рейда и… синхронно вскрикнули: прогресс-бар удаления показывал 47%.
Пётр отжал кнопку, выдохнули. Понимали, что, если бы не «стандартный» обход, уничтожение данных было бы тотальным. Сковывающая радость на фоне всепоглощающего страха. Обнаружили бэкапы недельной давности – некомпетентность админа заявлена преждевременно.
Убедившись, что основная информация переписана на резервные отсоединяемые носители, вернулся к собственникам компании. Партнёры предлагали заплатить вымогателям «хоть что-нибудь, чтобы не злить». К счастью, послушались и согласились заблокировать номер негодяев.
Поехал в дата-центр, чтобы восстановить очерёдность событий и попытаться хоть как-то идентифицировать вредителей. Получив непосредственный доступ к железу, восстановил удалённые данные и старые журналы событий. Пять «наводок» помогли установить день X.
Атака была последовательной:
- Сканированием сети обнаружились неустановленные патчи MS Windows Server.
- Под админом запускались три трояна, почти как в детской песне «три кота».
- Устанавливался слегка модифицированный шифровальщик Loki Locker.
Пётр, обнаружив чужеродную активность, скачал и запустил CureIt, что сделал бы и я, правда, не питая надежд: хоть антивирус Игоря Данилова и варьирует название лечащего файла при каждом скачивании, этого недостаточно, чтобы обмануть сколь-нибудь серьёзный платный полиморф.
Из интересного – на рабочем столе заражённых машин оказалось большое количество нумерованных текстовых файлов с пространным письмом вымогателей. Кроме деморализующего эффекта, это значительно замедляло работу систем. Бесстрашно удалили – компьютеры ожили.
Параллельно с деятельностью по восстановлению бизнеса, на ходу делал краткие заметки в черновики Google-почты…
… подобный подход, благодаря навыку резюмирования и слепой печати, помогает ничего не забывать и при необходимости восстанавливать ход событий. Может потребоваться для работы над ошибками, общения с заказчиками в случае неудач и обучения в Школе траблшутеров.
В данном случае нам скорее повезло, хотя не всё, что сделали, изложил в статье. Надеюсь, хоть немного замотивировал читателей делать регулярные резервные копии на множественные отсоединяемые носители, чтобы в схожих ситуациях сразу с улыбкой блокировать вымогателей.
И ещё! Пётр оказался молодцом, работая под давлением времени и потенциальным обвинением причастности к сбою. Низкий поклон собственникам-партнёрам, которые поверили моим словам, что подобной антихакерской квалификации у системного администратора априори быть не могло.
Когда случается беда, ссориться нельзя – нужно сообща и оперативно решать общую проблему. Без админа я бы точно возился раз в пять дольше, а, может, совершил бы ряд ошибок из-за невнимательности, поэтому искренне полагаю присутствие технического специалиста бесценным.