Gå til innhold
  • Bli medlem
bjwanvik

Ble tatt STYGT med ransomware, hvordan lage best mulig backup?

Anbefalte innlegg

I morges stusset jeg litt når jeg gikk inn for å vekke datteren min - det er nemlig bevegelsessensor som skal slå på lyset der inne, og det ble ikke noe lys.

Det var litt flere ting som ikke stemte, så jeg dro opp pc'en for å sjekke hvordan det så ut på serveren, og det som viste seg der var ikke noe særlig pent i det hele tatt...

 

Noen har klart å komme seg inn og kjørt inn noe ransomware slik at mer eller mindre alt var borte (kryptert), og det lå en liten beskjed om at noen gjerne kunne tenke seg litt penger for å dekryptere filene mine.

 

Jaja, de pengene får de naturligvis ikke, og jeg tenkte med meg selv at det er ingen krise - jeg har jo backup, det er bare irriterende at ting ikke virker og at jeg må bruke noe tid på å kjøre restore av backup.

Dessverre viste det seg at det var verre enn som så :(
Backup går til NAS - en må jo naturlig nok ha tilgang til dette for at backupene skal kunne lagres, og den tilgangen har de også benyttet slik at backup også var ødelagt! 🤬

Løsningen blir da å starte helt fra scratch, og kjøre inn siste backup fra HS3 som jeg tror og håper skal være ok - om ikke er det uansett bare noen svært få uker siden jeg bytta server, så jeg har backup jeg vet er ok.

 

 

Har tenkt litt på hvordan jeg skal fikse dette på best mulig måte til senere, og lurer på om andre her har løsninger eller tanker rundt emnet.

Denne serveren var en virtuell maskin i Hyper V og kjørte faktisk ikke noe som helst annet enn HS3 enda - sånn sett har en kanskje ikke så veldig stort behov for å spesifisere hva det skal tas backup av etc.

Vil det kanskje være en vel så god løsning å utføre alt fra den fysiske serveren? Den kan ikke nås utenfra overhode (om en ikke piggy-backer fra noe annet), og jeg regner den som tålelig sikker. Det ligger vel Veeam backup på den, men jeg har ikke brukt tid på å sette meg inn i det hittil da Windows Server Backup har fungert fint for meg..

 

Litt på sida, men relevant for å sikre seg...

Hittil har jeg hatt noen åpne porter i firewall for RDP (ikke de vanlige portene), men det er tydeligvis ikke nok.. Hva er den greieste løsnigen for "hjemmebruk"?  Sette opp en RA-løsning på en av serverne, eller VPN? Fordeler og ulemper med begge deler vil jeg anta :)

Del dette innlegget


Lenke til innlegg
Del på andre sider

Ble litt skremt nå. 

Men hadde ikke vi nettopp en slik samtale...?

 

Har du en idé om hvordan de kom seg inn?

 

1 time siden, bjwanvik skrev:

Hittil har jeg hatt noen åpne porter i firewall for RDP (ikke de vanlige portene), men det er tydeligvis ikke nok..

Nei, det er vel ikke nok å bare flytte porter for dem som leter etter RDP-tilkoblinger. Men du har vel gode passord?

Det er jo ikke bare-bare å komme seg forbi RDP heller.

 

https://security.berkeley.edu/education-awareness/best-practices-how-tos/system-application-security/securing-remote-desktop-rdp

 

 

Del dette innlegget


Lenke til innlegg
Del på andre sider

Hvilket OS kjører du på serveren?

Har du noen andre enheter i nettverket ditt som de kan ha gått via?

Jeg bruker VPN inn, med sertifikat (ikke brukernavn/passord). VPN-server kjører på ruteren. 

Del dette innlegget


Lenke til innlegg
Del på andre sider

Åpenlyst at noe(n) har fått skrivetilgang på noe vis. Sjekk hvem som har tilgang og stramm inn til det gjør vondt.

Mest typisk er at slikt kommer inn via epost på forskjellig vis, men det holder med en web-link og ett øyeblikk med uoppmerksomhet.

 

RDP er ikke bare RDP. Microsoft har oppigjennom tidene sendt med skrivere og mye annet rart over protokollen.

For å få skrivere til å virke i MS-verdenen så må kjørbare filer (drivere) lastes inn feks.

Det holder definitivt ikke å endre portnummer, RDP er lett å identifisere.

Nå skal ikke jeg påstå at det er denne veien som er brukt, men slettes ikke usannsynlig heller.

 

Jeg ville gått for VPN og i tillegg kun tillate RDP igjennom. (Regner med at det er windows os på begge sider)

Se om du ikke kan låse av eller begrense hva RDP-sesjonen får lov til å gjøre også.

Ta for deg noe som denne linken og speilvend meningen: https://www.technipages.com/solve-printer-doesnt-show-in-remote-desktop-session

Jeg er ikke oppdatert på RDP i MS-miljø, men det er vel bakoverkompatibelt så tror ikke jeg er helt på viddene.

 

 

Det hjelper lite med solid dør og karm når døra står på vid vegg, derfor lås av hva som kjøres inni VPN.

 

 

 

Endret av NilsOF
Pressisering typofiks

Del dette innlegget


Lenke til innlegg
Del på andre sider

Jeg har ingen ide om hvordan de kom seg inn enda, ut over at jeg antar det må ha vært RDP.

I firewallen er det to maskiner det går videre til, den gamle og den nye serveren - den gamle har vært fysisk avslått i to uker, så den har de ihvertfall ikke gått igjennom.

@Moskus; mulig jeg er glemsk, men sist jeg skrev noe om backup var det vel mer at det ikke virket som det var helt up-to-date fra BLBackup. Backup av OS har aldri vært noe problem her før i natt..  Heldigvis ser det ut som at resten av NAS'et har berga da - det var ett share der som ble brukt kun til backup av denne serveren, og brukeren gjaldt kun det sharet, helt uten tilgang til noe annet.

 

Kjører Windows Server 2019 på den nye, alt oppdatert, men samtidig en så fersk installasjon av jeg ikke har gjort mer enn å installere HS3 og en browser der, så har ikke gjort mange krumspring med firwall (bortsett fra å åpne opp for HSTouch..)
 

Nettverket er ellers stort, og det kan sikkert være en mulighet for at noe annet i nettverket har være en gateway om noen har vært borti "feil link" eller lignende.

 

 

Skal se om jeg evt klarer å hente ut noe fra loggene i routeren, det er vel det eneste jeg har å gå på nå. (Serveren er oppe å gå igjen, men den VM'en er slettet, så det jeg evt hadde hatt av filer der ville uansett ikke være tilgjengelige, men ingen ting var lesbart...)

 

 

Det eneste jeg kan komme på av "tvilsom" aktivitet, er at en "IT-fyr" på jobb tok kontroll over pc'en min tidligere i uka. Det er sjelden de virkelige ekspertene som gjør slikt hos oss, men jeg vil samtidig anta at det er så oppegående folk som har laget og har kontroll over løsningene at det ikke er noe veldig tvilsomt der. (Jobber i Infor, vi driver jo med IT (ERP) og har ettehvert et voldsomt fokus på sikkerhet.)

 

 

Tusen takk for linker og tips fra dere alle tre! :) Jeg skal se om jeg rekker å gjøre noe ordentlig i høstferien - inntil videre er ikke RDP åpent.

Backup er forøvrig ordnet på en annen måte nå - kjører Veeam fra den fysiske boksen, ett til en annen partisjon på den, og ett til NAS, begge daglig men på forskjellige tidspunkt. Den som evt klarer å komme seg inn på den nye serveren vil ikke finne noe som helst annet enn HS3 nå, og det vil ikke se ut som det kjøres backup der.

Endret av bjwanvik

Del dette innlegget


Lenke til innlegg
Del på andre sider

Velkommen i denne utrivelige klubben! 😳

 

Man får seg absolutt en vekker vedr. sikkerhet og backup.

Har enda ikke skjønt hvordan det kunne skje meg, men håper jeg har minimert muligheten for at det skal skje igjen.

Del dette innlegget


Lenke til innlegg
Del på andre sider

Hehe, jeg leste om han der i formiddag :) Det er samme greia ja, men om det er samme folket vet jeg ikke...
epostadressen som var oppgitt indikerte jo at noe sql kunne være involvert, men som nevnt var det kun HS3 som kjørte på den serveren, og den databasen kan jeg ikke se for meg benyttes i en slik sammenheng?
 

 

 

Har forøvrig scannet med Shodan nå, og jeg fant èn port jeg ikke var klar over - Plex Server var også åpen (men den kjørte bare på gammel server, og var sånn sett ikke tilgjengelig i gårkveld..)
Ellers er det RDP og HS3 som er åpnet for i firewall på router, men firewall på server blokkerte HS3 da...

 

Del dette innlegget


Lenke til innlegg
Del på andre sider

Siden du nevner router og scanning: Du har sikkert ikke uPNP slått på - på ruteren?

Om den er det vil diverse software og hardware automatisk slå ett hull inn igjennom NATingen fra internet.

Mediaavspillere kan være notoriske.. ..og vil kun avsløres med scanning når softwaren går.

 

 

 

Del dette innlegget


Lenke til innlegg
Del på andre sider

Kan det tenkes de fikk tilgang via en IOT-enhet? Har selv separert alle IOT-dingsene mine på eget lukket nettverk i frykt for ting som dette... men i likhet med mange andre har jeg ikke peiling om det faktisk hjelper. Jeg har blitt såpass paranoid at jeg har begynt med rutiner for 100 % offline backup i tillegg til de helautomatiske. 

 

Det hadde vært artig om noen med god kompetanse på feltet hadde skrevet en liten guide. 

Del dette innlegget


Lenke til innlegg
Del på andre sider

Kan være nesten umulig i etterkant å finne ut hva som skjedde.

Det eneste man stort sett vet er at programmvare ble kjørt og filer ble kryptert.

Hva som ble kryptert kan gi hint om hvor programmvaren ble kjørt og med hvilke rettigheter.

 

Å skille av og låse ned backup nettverksmessig er lurt i dag, da vi ikke lengre har offlinelagring som tape.

Jeg har satt opp og administrert min del av slike nettverksbegrensede systemer opp igjennom årene.

Det største hodebryet har alltid vært administratoren og dens muligheter for å jobbe. 

Å begrense tilgangen inn til backupserver til RDP er en fin ting i så måte, men altså ikke helt vanntett som jeg nevnte oppi hær.

Fildeling mellom arbeidsstasjoner og backupsystem er en kjempestor NeiNei.

Altså: la backupserveren få tilgang til filene, men ikke la noe som helst få tilgang til backupserveren.

 

 

Endret av NilsOF

Del dette innlegget


Lenke til innlegg
Del på andre sider

@bjwanvik : Takk for at du skapte oppmerksomhet rundt dette. Jeg ser at jeg har en oppgave å gjøre hjemme med å isolere de enkelte bruksområdene av nettverksdisken til forskjellige brukere, og fjerne unødvendig mapping av nettverksdisker.

  • Like 1

Del dette innlegget


Lenke til innlegg
Del på andre sider

Må vel og ta ei runde 9_9 skummelt når backup blir kryptert

Del dette innlegget


Lenke til innlegg
Del på andre sider

Som hobbyfotograf har jeg en diger fotosamling, og fant ut at det hjelper lite med backup-løsninger som befinner seg inne i huset om dette skulle brenne ned... Så jeg bruker den norske skylagringstjenesten JottaCloud, med ubegrenset (inntil en viss grense...) konto til en rimelig pris, og backup surrer og går kontinuerlig på PC'en i bakgrunnen. Ulempen med både denne og andre skyløsninger er selvsagt at infiserte filer også kan bli skrevet til backup ved ransomware-angrep. Nå har både Jotta og vel de fleste andre skylagringstjenestene riktignok mulighet for å hente ut eldre versjoner av filene, men det blir jo litt av en jobb og hente ut disse enkeltvis 😱

 

På grunn av ransomware-faren har jeg imidlertid nå tydd til en litt mer gammeldags løsning i tillegg - en ekstern harddisk med god kapasitet som jeg plugger inn og kjører backup på jevnlig (i hvert fall når jeg husker det...), men som ellers er fysisk frakoblet PC'en. Tror dessverre dette er det eneste bombesikre vernet mot ransomware!

  • Like 1

Del dette innlegget


Lenke til innlegg
Del på andre sider
8 timer siden, GeirAG skrev:

Som hobbyfotograf har jeg en diger fotosamling, og fant ut at det hjelper lite med backup-løsninger som befinner seg inne i huset om dette skulle brenne ned... Så jeg bruker den norske skylagringstjenesten JottaCloud, med ubegrenset (inntil en viss grense...) konto til en rimelig pris, og backup surrer og går kontinuerlig på PC'en i bakgrunnen. Ulempen med både denne og andre skyløsninger er selvsagt at infiserte filer også kan bli skrevet til backup ved ransomware-angrep. Nå har både Jotta og vel de fleste andre skylagringstjenestene riktignok mulighet for å hente ut eldre versjoner av filene, men det blir jo litt av en jobb og hente ut disse enkeltvis 😱

 

På grunn av ransomware-faren har jeg imidlertid nå tydd til en litt mer gammeldags løsning i tillegg - en ekstern harddisk med god kapasitet som jeg plugger inn og kjører backup på jevnlig (i hvert fall når jeg husker det...), men som ellers er fysisk frakoblet PC'en. Tror dessverre dette er det eneste bombesikre vernet mot ransomware!

 

 

Jeg er i samme båt og gjør det samme som deg. I følge Jottacloud er det i hovedsak to former for ransomware de har erfaring med (Februar 2017): 

 

Sitat

1. Kryptovirus som endrer filnavnet og krypterer filen. Her vil man kunne laste ned eldre versjoner av filene som er kryptert(så lenge det ikke er lastet opp mer enn 6 krypterte versjoner av den samme filen). Filene må lastes ned en og en manuelt.


2. Kryptovirus som kopierer filen og krypterer den, og deretter sletter originalfilen. Her vil man kunne gjenopprette de slettede filene i papirkurven i Jottacloud i inntil 30 dager etter at de blir slettet. Her kan man gjenopprette/laste ned fler filer om gangen, men det må også gjøres manuelt.
 

 

 

Dette ble postet på Facebook siden deres. Jeg finner ingen referanser til 'kryptovirus' på Jottas offisielle nettside, så vi får håpe de holder seg oppdatert uten at dette blir informert til oss. Det som er skummelt er at det med stor sannsynlighet kommer (om det ikke allerede eksisterer) kryptovirus som sørger for at det lastes opp mer enn 6 versjoner. Om det skjer meg vil jeg antageligvis bruke en hel arbeidsuke på å laste ned filene mine på nytt. 

 

Jeg har et par ideer som muligens kan fungere:

 

1. Samle uke/måned/år i bulk containere (f.eks 100-500 Gb). Dette kan jo også være en kryptert container (f.eks via VeraCrypt) eller simpelthen via f.eks 7-Zip. Mulig det også kan fungere å samle filer i en såkalt 'image' (.img). Hadde vært interresant om noen av dere mer datakyndige kunne kommentert på dette. Ved å gjøre dette vil det i teorien bli enklere å gjenopprette "fil for fil" i søppelkassen om uhellet skulle være ute. Ulempen blir at "galleriet" til jotta ikke fungerer og det tar lenger tid å få tilgang til filer i arkivet. 

 

2.  Samme metode som ovenfor, men du laster opp filene manuelt til jotta. Da er du 100 % trygg fra kryptovirus (enn så lenge du ikke laster opp filer som har blitt berørt av kryptovirus) :-). 

  • Like 1

Del dette innlegget


Lenke til innlegg
Del på andre sider

Kan være ganske snikete disse kryptovirusene, det kan gå litt tid før man oppdager at noe er kryptert.

På den annen side har virusmakerene bare ett visst tidsvindu før de må flytte "infrastrukturen" sin.

 

Kanskje kan man lage seg en "spider" som sjekker i filarkivet mot sin egen "database" av hvordan filarkivet skal se ut.

Bare en tanke.. ..kan være kjekt å vite om noen eller noe har tuklet med filene av mange grunner..

 

Del dette innlegget


Lenke til innlegg
Del på andre sider

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Gjest
Skriv svar til emnet...

×   Du har limt inn tekst med formatering.   Fjern formatering

  Du kan kun bruke opp til 75 smilefjes.

×   Lenken din har blitt bygget inn på siden automatisk.   Vis som en ordinær lenke i stedet

×   Tidligere tekst har blitt gjenopprettet.   Tøm tekstverktøy

×   Du kan ikke lime inn bilder direkte. Last opp eller legg inn bilder fra URL.


×
×
  • Opprett ny...