Marko Syrjälä

TIETOTURVA - MUUTAKIN KUIN PELKKÄ KULUERÄ

On lähes käsittämätöntä että vielä tänäkin päivänä törmää toisinaan asiakkaisiin joiden yrityksen tietoturva ei ole kunnossa edes alkeellisimmalla tasolla. Kaikki aiheeseen liittyvät hankinnat ja käytännön toimet nähdään lähinnä turhana kulueränä ja siitä syystä ne jätetään tekemättä/niitä ei huomioida lainkaan. Seuraavassa yhdelle tälläiselle asiakkaalle kirjoittamani sähköposti muutaman viikon takaa. Mietteliääksi vetää?

 

Tervehdys!

Tilanne yrityksessänne nyt sellainen että osa yrityksenne työasemista ja verkkolevyillä olevista tiedostoista on päässyt saastumaan ns ransonwareviruksen toimesta. Sen seurauksena nuo saastuneet tiedostot eivät ole enää luettavissa / käyttökelpoisia.Mitä ransomware tarkemmin ottaen tarkoittaa selviää vaikkapa seuraavasta linkistä: http://www.ransomware.fi/

Sisäinen IT:nne jo eilen olikin tehnyt aivan oikein ja ottanut saastuneet koneet pois verkosta mutta kuten aiemmin totesin niin "tauti" oli eli ehtinyt tarttumaan myös isoon osaan verkkokansioissa oleviin tiedostoihin. Tänään tehtiin siellä teillä seuraavat toimenpiteet:

1. Palvelimelle asennettiin F-Securen Antivirus ohjelmisto. Sillä skannattiin palvelin kokonaisuudessaan ja onneksi näyttää siltä että tuo varsinainen virus ei ollut levinnyt palvelimelle asti. Jos se olisi sinne asti päässyt, niin pahimmassa tapauksessa koko palvelin olisi tarvinnut asentaa kokonaan uudestaan. Tätä ei nyt näillä näkymin tarvitse tehdä.

2. Palvelimella olevat kryptatut tiedostot löytyvät D -levyn Data kansiosta. Niitä on siellä tuhansia ja niitä ei pysty F-Securella tai millään muullakaan vastaavalla ohjelmalla suoraan pelastamaan. Tein tuosta koko kansiosta kopion ulkopuoliselle NAS levylle. Kun kopiointi oli tehty, niin seuraavaksi poistimme palvelimen levyltä kaikki saastuneet tiedostot.

Saastuneet koneet pitää vähintäänkin formatoida ja asentaa sen jälkeen kokonaan uudestaan alusta asti. Koneella olevat saastuneet tiedostot on 95% varmuudella menetetty kokonaan mutta halutessaan ne voidaan kopioida myös talteen esim. USB levylle ennen koneen formatointia ja kokeilla niiden palautusta jonkun kolmannen osapuolen softalla. VOI OLLA että pelkkä formatointi ei riitä vaan koneen kovalevy on vaihdettava kokonaan uuteen/toiseen levyyn jolle uudelleen asennus sitten tehdään.


Miten tälläinen tilanne sitten korjataan koskien kryptattuja tiedostoja?

Ainoa VARMA tapa palauttaa saastuneet tiedostot on palauttaa ne saastuneiden tiedostojen/kansioiden poiston jälkeen varmuuskopiosta => nauhalta, NAS-asemalta, pilvi-backupista tai vastaavasta. Teidän tapauksessanne tilanne on se että teillä ei ole olemassa minkäänlaisia varmuuskopioita 22.6 2015 jälkeiseltä ajalta. Tämä johtuu yksinkertaisesti siitä että varmistusten kohdeasema, sitä varten ostettu NAS-levyasema, ei ole ollut päällä/kytkettynä verkkoon tuon päivämäärän jälkeen.

Kukaan ei ilmeisesti seurannut varmistusten läpimenoa saatikka sitä että NAS asema on ollut edes päällä/kytkettynä tuon 22.6 2015 jälkeen. Tämän vuoksi varmistuksia ei siis tällä hetkellä yksinkertaisesti ole olemassa.

Muita varmoja tapoja tiedostojen palauttamiseksi ei ole olemassa. On kuitenkin olemassa nippu erilaisia kolmansien osapuolien tarjoamia kryptauksen purku ohjelmia. Niiden toimivuudesta ei kuitenkaan ole mitään varmuutta. Tälläisten ohjelmien kaivelu, testaus ja mahdolliset ostot voidaan toki tehdä meidän toimesta ennalta sovitun hinnoittelun ja työarvion mukaisesti. Pitää kuitenkin muistaa että mikään ei takaa että tiedostoja saadaan näillä toimenpiteidenkään jälkeen.

Yksi mahdollinen purkuohjelma voisi olla esim tämä: http://www.enigmasoftware.com/cryptolockerransomware-removal

HUOM ! Ohjelma on maksullinen mutta toimivuudesta EI OLE takuita

Tilanne ei siis kaiken kaikkiaan ole kovinkaan hyvä...

 

Miksi tähän on tultu ja mistä virus on yrityksen koneelle päässyt?

Kryptovirukset leviävät pääsääntöisesti sähköpostin liitteiden mukana mutta myös esim vanhojen selainten, vanhojen flash ja Java versioiden tietoturva-aukkojen kautta.

Teidän käytössänne oleva palomuuri on pahasti vanhentunut koska sitä ei aiemmista kehotuksista huolimatta uusittu/päivitetty tarittavalle tasolle. Ajan tasalla oleva palomuuri ja siinä olevat torjuntaohjelmistot olisivat estäneet tämän tapauksen automaattisesti ja koko ongelmaa ei olisi ikinä päässyt syntymään. Palomuurin uusiminen on syytä tehdä välittömästi jotta vastaavalta vältytään jatkossa!

Yrityksenne palvelimella ei ollut käytössä minkäänlaista virustorjuntaa. Sanomattakin on selvää että palvelin ilman virustorjuntaa on sama asia kuin omakotitalo ilman lukkoja. Ovet ovat tällöin kuvainnollisesti sepposen selällään avoinna kaiken maailman uhille ja viruksille. On ollut silkkaa tuuria ettei huonosti ole käynyt jo aiemmin. Suosittelimme vakavasti Antivirus ohjelmiston käyttöönottoa palvelimelle viimekeväisen palvelinvaihto-operaation yhteydessä. Palvelimella on nyt väliaikaisesti asennettuna meidän omalla lisenssillä asennettu F-Secure ohjelmisto joka suojaa tällä hetkellä palvelinta. Sitä ei voi kuitenkaan sinne pysyvästi jättää koska se ohjelmisto on yrityksemme omaisuutta. Oma lisenssi joko F-Securelle tai vastaavalle tuotteelle on syytä hankkia viipymättä!

Työasemilla käytössä oleva Antivirus ohjelmisto ei mielestäni ole riittävä suojaamaan työasemia tämän nyt kyseessä olevan viruksen kaltaisilta viruksilta moderneilta uhilta. Nyt asia nähtiin käytännössä ja siksi suosittelenkin esim F-Securen tuotteen hankkimista jotta vastaavalta vältytään jatkossa.


Muuta huomioitavaa ja tarvittavia toimenpiteitä

Yrityksenne olisi syytä luoda välittömästi tietotekniikka ja tietoturvaa koskevat toimintamallit ja jakaa siihen liittyvät vastuut. Tietoturvaohjelmistojen pitää olla ajan tasalla. On syytä huolehtia myös siitä että koneilla käytössä olevat ohjelmistot päivitetään säännöllisesti. Windows tietoturvapäivitysten lisäksi on syytä huolehtia esim. Javan, Adoben ja Flashin päivitysten ajan tasalla pitämisestä jotta varmistetaan se että koneet ovat turvassa.

Palvelimia myös syytä tarkkailla säännöllisesti. Windows päivityspaketit pitää päivittää säännöllisesti ja samalla pitää syytä seurata sitä että yrityksen toiminnan kannalta kriittiset asiat kuten juuri tiedostojen varmistukset menevät läpi ja toimivat moitteetta. Tämä on syytä tehdä jopa päivittäin ja lisäksi vielä tehdä testipalautuksia säännöllisesti. JOS tätä asiaa olisi seurattu edes jollain tasolla, niin tämä nyt tapahtunut olisi ollut huomattavasti yksinkertaisempaa korjata/palauttaa/saada ylipäätään tehtyä.

Jos teillä itsellänne ei ole tämän kaltaiseen ylläpitoon/seurantaan omia resursseja niin esimerkiksi Pinukselta löytyy tälläistä palvelua. Tarjoamme esimerkiksi palvelinten monitorointi/hallinta palvelun jonka edellä mainitut asiat saadaan helposti haltuun ja hoidettua etäisesti edullisella kuukausihinnalla. Tarjoamme myös työasemien keskitettyä hallinta ja ylläpitopalvelua jolla se puoli pidetään kunnossa samaan tapaan. Vastaavat palvelut löytyvät myös esim. Palomuurille ja Antiviruspuolelle.

TOKI NÄMÄ KAIKKI EDELYTTÄVÄT SEN ETTÄ LAITTEISTO/OHJELMISTO ON TARVITTAVALLA TASOLLA!


Analyysi ja mitä seuraavaksi?

Tilanne on valitettavasti nyt se mikä se on. Syy tämänhetkiseen tilanteeseen on pääasiallisesti se että IT -infran tarvittava ylläpito ja siihen liittyvät hankinnat on jätetty osin tai kokonaan tekemättä. Jos kaikki olisi alun perin tehty suositustemme mukaisesti, niin tältä kaikelta olisi vältytty tässä kohtaa.

Pinus voi teitä auttaa aiemmin mainituilla tavoilla. Meiltä saa halutessanne resurssin avuksi yrittämään kryptattujen tiedostojen palauttamista ennalta sovitulla hinnalla ja työarviolla. Meiltä saa samoilla ehdoilla tarvittaessa apuja myös noiden saastuneiden koneiden uudelleen asennukseen ja tarvittavien uusien komponenttien kuten uusien ohjelmistojen asennukseen ja käyttöönottoon. Meiltä saa myös hankittua edellä mainittuja palveluita joiden hinnoista ja tarkemmasta sisällöstä/kuvauksista saa lisätietoja myynnistämme.

 

Yhteistyössä