[Tanel]

Eesti juhtiv sanitaartehnika hulgi- ja jaemüügiga tegelev ettevõte AS FEB sulges väidetava küberrünnaku tõttu nädala lõpuni kõik oma kauplused.

Loe edasi: https://tehnika.postimees.ee/6139316/feb-sulges-nadala-lopuni-koik-poed-kuberrunnak-tegi-serverid-tuhjaks

Pilt: http://feb.ee/avaleht/seoses-tehnilise-rikkega-on-kauplused-kuni-2708-suletud-vabandame-ebamugavuste-parast/

[Magic]

Nojah. Alles üksnädal muutsid/kolisid poodi, siis oli kõik maas. Nüüd siis nii... Ainult Onninen jääb, aga seal ei saa eraklient osta.
TNT vol.2 siis

[Tanel]

Alles just kiideti Eesti küberhügieeni. Ilmselgelt on veel palju selliseid inimesi, kes suudavad avada viirusega nakatatud kirju.

[Magic]

[Dirty Harry]

[Killer85]

[Magic]

Ma tean vaid niipalju nende süsteemide tausta, et kogu jama on olnud selles, et sellest samast nakatunud arvutist saab igale poole. See levinud jama.
Ehk nagu öeldud piisab ühest valest liigutusest.
//
Mida ma ise tean enda töökoha põhjal. Raha nõuda pole mõtet, sest kahju on arved ja tootekataloogid. Need backupitud iganädalaselt.
Kõik uued arved pilves ja kirjad ka. Seega töö tegemist ei sega.

[Killer85]

Ryukist veidi huvitavat lugemist:
https://research.checkpoint.com/ryuk-ransomware-targeted-campaign-break/

[mahno]

Jälle üks tore eksiarvamus, et kui andmed on pilves, siis ei saa midagi juhtuda

[Killer85]

[Magic]

[tahanteada]

[Magic]

Esmakäivitust on ikka vaja ja seda teeb vaid loll.
Eeldame, et keegi pole nii loll, et las ma teen kaughaldust su arvutile.

[netmaster]

[mahno]

Kulla magic, inimesed ongi lollid tihti. Heausksed ja lollid. Nad on hajevil, ei ole teadlikud, kiirustavad jne.

Võtame sihitud ründe. Toon oma lemmiknäited - saadame personalitöötajale emaili, lisaks paneme manusena cv.docm. Kui tõenäoline on, et tädi personalitöötaja seda ei ava? Edasine on arvuti seadete ja kasutaja teadlikkuse küsimus. Või saadame mõnele lapsevanemale, kelle laps käib näiteks jalkatrennis maili, et Tere, Joonase (Mati, Malle) isa siin....vaata läinud nädalavahetuse võistluse pilte siit lingilt... Kui suure tõenäosusega jäetakse klikkimata, eriti kui sel ajal päriselt võistlus oli ka (info saad näiteks ohvri fb-st või spordiklubi veebist)? Kõikide Matide-Katide nimed on spordiklubi veebist saada meeskonnaliikmete nimekirjast.

Lisaks on olemas näiteks drive-by tüüpi asjad, kus sa külastad oma lappimata või niisama zero day turvaveaga veebibrauseriga mingit (häkitud) lehte ja pistetakse sulle pahalane läbi brauseri arvutisse ja tõmmatakse käima. On olemas reaalsed õnnestunud ründed mõne aasta tagant läbi lappimata flashi ja ie. Siin pole kasutaja tarkusega mingit pistmist, sest eelnimetatud näite puhul olid pahalase allikateks täiesti respektaablid eesti veebilehed.

[Magic]

Võimalik muidugi, aga terve serveri jaoks tähendab see ikka mitut möödalasku mitte ühte.
Ehk nagu ka eelpool kirjeldatud kõik oli koos ja kõigele olid ilmselt õigused.
Oma olemuselt on see ikka lollusele rõhuv.
//
FEB hiljuti ka uuendas oma süsteeme, ju siis midagi kuskil veel logises.

[mahno]

Jah, kaitse peab olema kihiline, aga see kipub olema ebamugav, sest üks inimene ei saa ühe kontoga ühest kohast kõike teha. Sellepärast kiputaksegi reeglitest "üle laskma".

Aga halvim, mida saab teha, on mõelda "Minuga ei juhtu, sest ma olen tark".

[LKits]

Ah eks see admin õigustega tavakasutaja teema ole jälle... ning muidugi on sel kasutajal ka võrgus vaba voli iga SMB sheerile ligi pääseda, et nohu ikka korralikult levida saaks.

[tahanteada]

[LKits]

[tahanteada]

Üks link kah - kus tegeldakse selle "pahareti" tõrjumisega.
Eks igaüks ise uurib, kas on kasu või mitte. Oletada võib, et selliseid puhastus-versioone on peagi kümneid liikumas.

RYUK ransomware removal instructions
What is RYUK?

RYUK is a high-risk ransomware-type virus that infiltrates the system and encrypts most of stored data, thereby making it unusable. Due to it's similarities with Hermes ransomware, there's a high credibility that developers of these two viruses are the same. Unlike vast majority of other viruses, this malware does not rename, nor append any extension to encrypted files. It does, however, create a text file ("RyukReadMe.txt"), dropping it's copy in every existing folder.

As usually, created text file delivers a message that informs victims about the encryption and encourages them to pay a ransom in if they want to restore them. Be aware that RYUK uses RSA-4096 and AES-256 encryption algorithms. Therefore, each victim gets several unique keys that are necessary to restore data. The problem is that cyber criminals hide all keys in a remote server. Therefore, since restoring data without them is impossible, each victim is forced to pay a ransom in exchange for release of one's keys. The price is not confirmed - all information is provided via email. However, it is sure that size of ransom depends on each victim.

Edasi:
https://www.pcrisk.com/removal-guides/13394-ryuk-ransomware

[Reaper]

Kõige kindlam, tehke backuppi.

Veel parem, kui on olemas ka offline backupid. Sinna ei pääse ka kõige kirjemad viirused ja häkkerid ligi.

[jägaja]

Kuidas sa sinna offline bäkuppi siis oma bäkuppe ise teed? Vahel peab see ju ka online olema, või viid koos oleva mälupulgal viirusega juba sinna offline asjad?

Krüptoviirused võivad ka väga pika peiteajaga ja muid võimalikke kasutajamustreid arvestavad olla, et saaks sulle krüptokoodi igale bäkupile ka peale sügada. Kuidas siis muidu su käest raha kätte saab, kui offlinest taaatad uesti

[Reaper]

Palun too välja näiteid, kus selline juhtum on olnud, et ka offline backupid ära krüptitud on?

Seda tean küll, et online offsite backup tehti tühjaks... saadi paroolidele ligi ja tehti ära... samal ajal kõigi muu firma arvutite krüpteerimisega. Ainuke lahendus oli bitcoini kohida. Allikas: reddit

[netmaster]

[LKits]

Backup võib olla ju incremental või iga perioodi tagant full nii, et eelnevale versioonile pole ligipääsugi.
Samuti saab backupi krüpteerida võtmepaari ühe võtmega - neid võimalusi on väga palju!

Ning ilmselgelt Windowsi tavakasutaja ei tohiks ligi pääseda tagavarakoopiale. Selleks peab olema eraldiseisev programm, mis teostab autentimist nii, et tavaõigustes kasutaja seda ei näe (ehk administraatorina paigaldatud, seadistatud).

Aga üks lihtsamaid meetodeid tagavarakoopiat teha, on võtta endale 1TB mahuga OneDrive, lükata kõik kasutaja kaustad (Documents, Pictures, Desktop jms) automaatselt sinna sünkroniseerima ja elu mureta.
Kui tuleb krüptoviirus, siis saad taastada kogu kompoti failidest eelneva versiooni või X kuupäeva seisuga.

[Reaper]

[LKits]

[mahno]

Krüpteerimise seisukohalt pole failide sisu nägemine oluline - võib tuimalt krüpteerida ka juba ühe korra krüpteeritud materjali. Tulemus on sinu jaoks sama...

[Tanel]

http://www.ituudised.ee/uudised/2018/08/24/kuberrunde-all-feb-ei-kusinud-abi-cert-ee-kaest

[Magic]

[Tanel]

Magic, mida iganes nende varuserverite all silmas peeti

[Magic]

[Tanel]

[olavsu1]

[Reaper]

[olavsu1]

tala saad kui sul on võõras ip ja mac. ainult siis võib õnneks minna kui zombistad sisevõrgu backupi adminni masina.

[LKits]

[Magic]

Hetkel igatahes hinnakirju üleval pole. Seega ilmselt ikka maas.
//
Käisin eile tööl ja tegin ka backupi, krt seda teab mis võib sattuda arvutisse.
Ehk eks hea ikka kui sellised asjad meediast läbi käivad.

[lehm2]

Väheke offtopic teema aga mis backup strateegiat keegi kasutab?
- Backup välisele kettale?
- Endal osa backupist tehtud AWS S3-e, tundub hetkel parim variant. Suuremate mahtude korral on https://wasabi.com/ ka väga huvitav lahendus.

[olavsu1]

oli norton ghosti server.
adminnida sai vaid adminni kabinetist, KVM switchiga lülituti otse ghosti serveri külge.
servu käis ise ajagraafiku alusel oma agentide kaudu masinatest asju tirimas
kasutajatest keegi ei näinud ghosti serverit võrgus.

endal kodus. laserplaadid ja mega sync

[riaak]

[Magic]

Poed peaksid vist nüüd avatud olema, ilmselt kassasüsteem saadi ikka üles.
//
Backupi teema töökohas: väga vanamoeline USB pulk (~25GB olulist infot), piltide ja skännidega koos ehk +15...
Trend on tegelikult saada info kogus alla ja kogu müük/turundus kiiremaks.

[mahno]

Kõvad varundajad, rääkige parem, millal taastet testisite. See on enamasti palju valusam küsimus...

[Etz]

[LKits]

[napoleon]

[tahanteada]

[napoleon]

Kui eriti paranoiline oled, kasuta FAT32 või eemalda failidelt ADS
Aga ma millegipärast ikka arvan, et bot süsteemikausta ei torgi. Suunatud rünnak on muidugi teine asi.