Hola a tod@s:
Este año esta siendo especialmente grave en cuanto a ransomware y secuestro de informacion en empresas y particulares se refiere, y como admin de sistemas he podido ver varios casos in situ. Alguno se salvo con herramientas que algunas empresas han puesto a disposicion por la singualridad del malware y version.
https://noransom.kaspersky.com/
Pero no todos son descifrables como dice la web
"Trojan-Ransom.Win32.CryptXXX version 3 are detected, but not decrypted"
Aqui les dejo mi experiencia por si sirve para alguien.
(7 min para leer)
ESCENARIO.
NAS montado con Freenas 9.3 sirviendo como servidor de archivos a 12 clientes windows10.
Usuari@ curios@ que recibe correo de Endesa a las 9:37 en un cliente windows10/outlook2010 y avg-free como antivirus (si ya se, pero no se puede tener de todo)
http://blog.elhacker.net/2016/05/nu...ntando-suplantando-factura-de-luz-Endesa.html
..el segundo correo. El primero fue de la propia Endesa para informar de estos correo maliciosos.
Al hacer click en el enlace de correo el usuari@ se da cuenta de que algo va mal. Avisa a su compañero que, activa el Windows defender detecta el proceso y lo detiene a las 9:43 (uooooppsss!, si... windows defender) . En el camino se ha llevado por delante mas de 40GB de archivos de todo tipo con la extension *.encrypted. Curiosamente el .pst del correo que esta utilizando no lo toca. Las copias de otros .pst de años anteriores en el mismo directorio, si.
Recibo aviso de que algo ha pasado a las 14:00 en una aplicacion local ubicada en el raiz del sistema, me conecto y OhMyGod!. ahi estan: archivos con extension .encrypted salpicados por todo el equipo, carpeta de dropbox, y algunos directorios del NAS. Aqui es donde empieza a recorrerme un escalofrio que no puedo expresar con palabras.
Rapidamente facilito instrucciones para que se desconecten del servidor y desde la interfaz web lo apago para evitar males mayores. Tambien indico que desconecten todos los equipos aunque me aseguran que no han sufrido daños aparentemente.
Una vez insitu y para ir dando servicio, voy comprobando equipo por equipo del alcance y compruebo con satisfaccion que la pronta reaccion ha evitado un desastre total.
En el FreeNAS como servidor de archivos hay mas de 500GB de informacion esencial para el normal funcionamiento de la empresa.
Mi sorpresa fue al ver que, de todos los datasets que hay montados en CIFS, habia arrasado con uno que inocentemente nombre como BACKUP, y en la parte de la actividad, que llamare ZDATASET, habia encriptado aproximadamente unos 200 directorios(20/25GB).
SOLUCION.
Habia leido algunos post en esta comunidad acerca de las bondades del sistema de archivos zfs y las tareas de snapshots pero nunca me habia visto en la necesidad de utilizarla. Asi que tirando de los conocimientos de toda la buena gente que por esta comunidad postea y algun articulo del manual, me puse manos a la obra.
La primera opcion que me plantee fue restaurar todos los datasets a un horario previo a la infeccion. El dataset BACKUP no me suponia ningun problema ya que las tareas de copias de seguridad se habian efectuado la noche anterior y no habia actualizaciones posteriores.
Pero me encontre con que ZDATASET habia recibido casi 10GB de actualizacion con lo que realizar un rollback a la hora previa de la infeccion no era viable ya que se perdia bastante informacion importante.
Y aqui es donde me quede maravillado con la agilidad, fiabilidad y rapidez con la que pude restaurar los archivos infectados en cuanto a FreeNAS se refiere. Otra cosa fue localizar los directorios infectados que, previa busqueda intensiva, pude localizar en aprox 30min.
En el menu web accedi a Almacenamiento/Snapshots y localice uno previo a la infeccion a las 9:00.
Clone la instantanea.
Monte la instantanea en CIFS.
Y voila. Ya tenia una version previa a la infeccion en menos de 5 minutos!!!!!
Lo siguiente fue, una vez comprobado que podia restaurar a mano los mas de 200 directorios, poner a la persona implicada (previa autorizacion de su jefe y con el mejor tono de humor posible) a copiar/eliminar los directorios implicados.
LECCION APRENDIDA
Varias cosas a tener en cuenta.
Este tipo de ransomware ataca a todo el equipo pero tiene ciertas preferencias que pude ver en este ataque (y otros previos en los que los usuarios/responsables no quisieron invertir en un servidor dedicado con FreeNAS):
- importante la rapidez en la deteccion y aislamiento/eliminacion del virus. Aunque parezca de perogrullo, cuanto antes de detecte menos cantidad de informacion sufrira.
- ataca al perfil de usuario y directorios con nombres atractivos como BACKUP, BD,..etc.
- ataca carpetas en raiz que no sean \WINDOWS o \Archivos de programa, imagino que para no inutilizar el sistema y poder hacer de las suyas mas tiempo.
- ataca a toda carpeta de red/unidades de red visibles. La infeccion no afecto a los otros equipos por que en su dia elimine todas las conexiones inutiles entre equipos.Todas estas pasan ya por el NAS.
Y hasta aqui mi experiencia newbie con FreeNAS vs Cryptolocker. Mi agradecimiento a los desarrolladores y miembros activos de esta comunidad que me han ayudado para solventar un problema que pudo ser grave y que tuvo un final feliz.
Espero que sirva para todo aquel que, o bien tenga montado o tenga dudas para montar un servidor FreeNAS. Ademas de fiabilidad y estabilidad a la hora de trabajar como servidor de archivos, en este caso fue un autentico salvavidas.
Saludos.
Este año esta siendo especialmente grave en cuanto a ransomware y secuestro de informacion en empresas y particulares se refiere, y como admin de sistemas he podido ver varios casos in situ. Alguno se salvo con herramientas que algunas empresas han puesto a disposicion por la singualridad del malware y version.
https://noransom.kaspersky.com/
Pero no todos son descifrables como dice la web
"Trojan-Ransom.Win32.CryptXXX version 3 are detected, but not decrypted"
Aqui les dejo mi experiencia por si sirve para alguien.
(7 min para leer)
ESCENARIO.
NAS montado con Freenas 9.3 sirviendo como servidor de archivos a 12 clientes windows10.
Usuari@ curios@ que recibe correo de Endesa a las 9:37 en un cliente windows10/outlook2010 y avg-free como antivirus (si ya se, pero no se puede tener de todo)
http://blog.elhacker.net/2016/05/nu...ntando-suplantando-factura-de-luz-Endesa.html
..el segundo correo. El primero fue de la propia Endesa para informar de estos correo maliciosos.
Al hacer click en el enlace de correo el usuari@ se da cuenta de que algo va mal. Avisa a su compañero que, activa el Windows defender detecta el proceso y lo detiene a las 9:43 (uooooppsss!, si... windows defender) . En el camino se ha llevado por delante mas de 40GB de archivos de todo tipo con la extension *.encrypted. Curiosamente el .pst del correo que esta utilizando no lo toca. Las copias de otros .pst de años anteriores en el mismo directorio, si.
Recibo aviso de que algo ha pasado a las 14:00 en una aplicacion local ubicada en el raiz del sistema, me conecto y OhMyGod!. ahi estan: archivos con extension .encrypted salpicados por todo el equipo, carpeta de dropbox, y algunos directorios del NAS. Aqui es donde empieza a recorrerme un escalofrio que no puedo expresar con palabras.
Rapidamente facilito instrucciones para que se desconecten del servidor y desde la interfaz web lo apago para evitar males mayores. Tambien indico que desconecten todos los equipos aunque me aseguran que no han sufrido daños aparentemente.
Una vez insitu y para ir dando servicio, voy comprobando equipo por equipo del alcance y compruebo con satisfaccion que la pronta reaccion ha evitado un desastre total.
En el FreeNAS como servidor de archivos hay mas de 500GB de informacion esencial para el normal funcionamiento de la empresa.
Mi sorpresa fue al ver que, de todos los datasets que hay montados en CIFS, habia arrasado con uno que inocentemente nombre como BACKUP, y en la parte de la actividad, que llamare ZDATASET, habia encriptado aproximadamente unos 200 directorios(20/25GB).
SOLUCION.
Habia leido algunos post en esta comunidad acerca de las bondades del sistema de archivos zfs y las tareas de snapshots pero nunca me habia visto en la necesidad de utilizarla. Asi que tirando de los conocimientos de toda la buena gente que por esta comunidad postea y algun articulo del manual, me puse manos a la obra.
La primera opcion que me plantee fue restaurar todos los datasets a un horario previo a la infeccion. El dataset BACKUP no me suponia ningun problema ya que las tareas de copias de seguridad se habian efectuado la noche anterior y no habia actualizaciones posteriores.
Pero me encontre con que ZDATASET habia recibido casi 10GB de actualizacion con lo que realizar un rollback a la hora previa de la infeccion no era viable ya que se perdia bastante informacion importante.
Y aqui es donde me quede maravillado con la agilidad, fiabilidad y rapidez con la que pude restaurar los archivos infectados en cuanto a FreeNAS se refiere. Otra cosa fue localizar los directorios infectados que, previa busqueda intensiva, pude localizar en aprox 30min.
En el menu web accedi a Almacenamiento/Snapshots y localice uno previo a la infeccion a las 9:00.
Clone la instantanea.
Monte la instantanea en CIFS.
Y voila. Ya tenia una version previa a la infeccion en menos de 5 minutos!!!!!
Lo siguiente fue, una vez comprobado que podia restaurar a mano los mas de 200 directorios, poner a la persona implicada (previa autorizacion de su jefe y con el mejor tono de humor posible) a copiar/eliminar los directorios implicados.
LECCION APRENDIDA
Varias cosas a tener en cuenta.
Este tipo de ransomware ataca a todo el equipo pero tiene ciertas preferencias que pude ver en este ataque (y otros previos en los que los usuarios/responsables no quisieron invertir en un servidor dedicado con FreeNAS):
- importante la rapidez en la deteccion y aislamiento/eliminacion del virus. Aunque parezca de perogrullo, cuanto antes de detecte menos cantidad de informacion sufrira.
- ataca al perfil de usuario y directorios con nombres atractivos como BACKUP, BD,..etc.
- ataca carpetas en raiz que no sean \WINDOWS o \Archivos de programa, imagino que para no inutilizar el sistema y poder hacer de las suyas mas tiempo.
- ataca a toda carpeta de red/unidades de red visibles. La infeccion no afecto a los otros equipos por que en su dia elimine todas las conexiones inutiles entre equipos.Todas estas pasan ya por el NAS.
Y hasta aqui mi experiencia newbie con FreeNAS vs Cryptolocker. Mi agradecimiento a los desarrolladores y miembros activos de esta comunidad que me han ayudado para solventar un problema que pudo ser grave y que tuvo un final feliz.
Espero que sirva para todo aquel que, o bien tenga montado o tenga dudas para montar un servidor FreeNAS. Ademas de fiabilidad y estabilidad a la hora de trabajar como servidor de archivos, en este caso fue un autentico salvavidas.
Saludos.
