13:40
4/7/2019

Jeśli ransomware zaatakuje Twoje komputery to możesz stać się podwójną ofiarą. Niektóre firmy oferujące “odzyskanie plików” w istocie negocjują niższy okup z przestępcami, płacą ten okup, ale same żądają opłaty w wysokości okup + marża. Co wicej, marża może być znacząco wyższa niż wartość okupu.

Mam ransomware i co dalej?

Jeśli komputery w Twoim domu lub firmie zostały zaatakowane przez ransomware to znaczy, że nie masz dostępu do swoich plików i możesz go odzyskać płacąc okup. Czasami warto ten okup zapłacić, choć wcześniej trzeba się upewnić, czy nie istnieje metoda odszyfrowania plików (wskazówki można znaleźć na stronie No More Ransom).

Możesz też odczuć pokusę, aby skorzystać z usług firmy oferującej odzyskiwanie plików. Niestety nie wszystkie firmy na tym rynku działają uczciwie.

“Ja posrijednik. Wazmożna li zniżenije ceny?”

Już w grudniu 2018 roku firma Checkpoint ostrzegała przed rosyjską firmą Dr. Shifro oferującą odzyskanie plików zaszyfrowanych przez ransomware Dharma/Crisis. Było to o tyle zaskakujące, że żadna metoda odszyfrowywania plików po tych atakach nie była w branży znana, a mimo to spece z Dr. Shifro byli pewni siebie. Dawali gwarancję odblokowania zasobów.

Chceckpoint przeprowadził w tej sprawie własne śledztwo i ustalił, że ludzie z Dr. Shifro po prostu kontaktowali się z twórcami ransomware’u i nawet całkiem otwarcie przyznawali, że są “pośrednikami” w kwestii okupu. Oto jeden z e-maili jakie były wymieniane między atakującym i Dr. Shifro.

Mail od “pośrednika” do operatorów ransomware’u

Nadawca tego maila przyznaje wprost, że jest pośrednikiem i często wykupuje klucze. Prosi też od razu o zniżkę w wysokości 0.15 BTC. Checkpoint sprawdziła jaka jest polityka cenowa tej firmy. Okazało się, że koszt odszyfrowania plików to zapłacony okup (ok. 1300 dolarów) oraz marża Dr. Shiffro, która wyniosła 1000 dolarów.

Taka marża nie jest najwyższą na rynku, o czym niebawem się przekonacie :).

Po prostu płacą okupy

W maju 2019 roku ProPublica ujawniła kolejne działalności tego rodzaju. Człowiek nazwiskiem Jonathan Storfer, były pracownik firmy Proven Data Recovery ujawnił, że to przedsiębiorstwo regularnie przekazywało pieniądze operatorom ransomware’u SamSam. Storfer był tym oburzony bo podkreślał, że pieniądze z przestępczego procederu mogą trafiać do grup przestępczych lub terrorystycznych.

Na blogu Proven Data znajdziecie wpis blogowy na temat pomagania ofiarom ransomware’u. W tym wpisie znajdziecie wzmianki o tym, że niektórzy klienci firmy istotnie płacą okup, a płacenie okupu czasem i tak wymaga asysty kogoś, kto wie jak to bezpiecznie załatwić.

Według ProPublica kolejną firmą sprzedającą pośrednictwo w płaceniu okupu jest MonsterCloud z Florydy.

Obydwie wspomniane firmy miały dbać o to, aby ich pracownicy kontaktowali się z przestępcami pod pseudonimami, natomiast ofiary nie zawsze były informowane o metodzie użytej do odzyskania cennych plików. Należy tutaj podkreślić, że kontrowersyjne nie jest samo pomaganie w płaceniu okupu, ale właśnie nieinformowanie ofiary o tym. Usługi pomocy przy płaceniu okupu są przez niektóre firmy oferowane całkiem otwarcie np. Coveware robi coś takiego i nikogo to nie gorszy.

Podszył się pod hackera i ofiarę

Niedawno, 24 czerwca, ProPublica napisała kolejny artykuł o firmach negocjujących z hakerami pt. Sting Catches Another Ransomware Firm — Red Mosquito — Negotiating With “Hackers”

Ten nowszy tekst bazuje na informacjach od Fabiana Wosara, badacza bezpieczeństwa związanego z firmą Emsisoft. Przeprowadził on prowokację polegającą na tym, że podszył się zarówno pod ofiarę jak i operatora ransomware’u. To stworzyło świetne warunki do przestudiowania zachowania szkockiej firmy Red Mosquito Data Recovery (rzekomo jest to firma związana z Red Mosquito, ale jednak osobna).

Wosar stworzył na potrzeby eksperymentu ransomware o nazwie GOTCHA. Stworzył też wiadomość od atakujących, dbając o to by miała literówki i błędy językowe jak na ransomware przystało. We wiadomości był unikalny identyfikator, w którym zakodowano nazwę Red Mosquito. Mając to wszystko Wosar zgłosił się do Red Mosquito z prośbą o pomoc, przedstawiając się jako poszkodowany Joe Mess. Było to 17 kwietnia tego roku.

Specjaliści z Red Mosquito odpisali, że prawdopodobnie będą w stanie pomóc, ale muszą przeprowadzić niezbędne testy. Niedługo później na “hackerski” e-mail Wosara wpłynęła wiadomość z pytaniem o to, ile będzie kosztował okup. Jeszcze zanim hackerskie alter ego Wosara coś odpisało, Joe Mess zaczął wypytywać firmę Red Mosquito, czy sprawę uda się załatwić bez płacenia okupu.

Usługa warta okup + 3 tys. dolarów

Godzinę później Wosar jako hacker zaczął negocjować cenę. Uparł się na 900 dolarów. Następnego dnia przedstawiciel Red Mosquito napisał do Wosara-ofiary (czyli do Joe’go Messa), że uda się odszyfrować pliki za jedyne… 3950 dolarów. Wosar-ofiara (czyli Joe Mess) zaczął pytać w jaki sposób pliki zostaną odzyskane. Przedstawiciel Red Mosquito przemilczał tę kwestię. Podał szczegóły na temat płatności i poprosił o wyłączenie antywirusa przed odzyskaniem plików.

Tu dodajmy, że w imieniu Red Mosquito z Wosarem-ofiarą kontaktował się niejaki Conor Lairg. Wosarowi nie udało się namierzyć tego człowieka na LinkedIn. Nie ma o nim również informacji na stronie firmy.

ProPublica wspomina, że Wosar próbował podobnej sztuczki na firmach MonsterCloud i Proven Data. Firma MonsterCloud nie odpowiedziała i przyznała otwarcie, że nie pomaga osobom indywidualnym. Proven Data była – jak poinformował Wosar – bardzo otwarta w kwestii płacenia okupu.

Czy płacić okup?

Czy to oznacza, że po ataku ransomware’u najlepiej samemu płacić okup? Nie zawsze jest to konieczne. Czasami pliki naprawdę da się odzyskać, a informacje o metodach odzyskiwania można znaleźć na stronie No More Ransom prowadzonej z inicjatywy Europolu. Niektóre firmy oferują uczciwe usługi odzyskiwania plików, ale takie firmy nigdy nie dadzą Ci gwarancji powodzenia.

Niebezpiecznik niejednokrotnie doradzał płacenie okupu w razie ataku ransomware’u i czasami radziliśmy by robić to szybko. Ta porada nie ma charakteru uniwersalnego. Zawsze musicie sami ocenić czy zaszyfrowane pliki mają dla was wartość odpowiadającą okupowi. Musicie rozważyć, czy w ogóle chcecie finansować przestępców, ale spójrzcie też prawdzie w oczy. W wielu przypadkach zapłacenie okupu będzie tańsze niż odzyskiwanie zasobów w inny sposób.

Na początku tego roku obserwowaliśmy dotkliwy atak na Norsk Hydro. Firma uparła się, że nie zapłaci okupu. Miała dobrze zrobione backupy, a jednak jej straty finansowe wynikające z tygodniowego częściowego paraliżu wyniosły ok. 40 mln dolarów.

Jeszcze bardziej wyrazisty był wcześniejszy przypadek Atlanty, która padła ofiarą SamSama. Okup wynosił 51 tys. doalarów, ale miasto nie zapłaciło. Na konsultantów pomagających w przywróceniu systemów do pracy wydano początkowo 2,7 mln dolarów, ale później oszacowano, że potrzebne będzie 9,5 mln dolarów.

Sami znamy interesujący przypadek z Polski, w którym zaatakowana firma dosłownie prosiła o pomoc w zapłaceniu okupu. Firma ta blisko współpracowała z pewnym zakładem podległym jednostce samorządu. W wyniku ataku ransomware’u straciła dostęp do wszelkich danych o swoich pracownikach i kontrahentach. Ostatecznie wynegocjowany okup mieścił się w granicach 20-30 tys. zł, zatem wydawał się stosunkowo niską ceną za “posprzątanie”.

Przypadek firmy Red Mosquito jest oburzający, ale nie dlatego, że okup zapłacono. Jest oburzający bo firma wprowadzała klienta w błąd co do całokształtu sytuacji, swoich możliwości oraz metod i kosztów rozwiązania problemu.

Czasami płacenie okupu to najtańsze wyjście. Może nie “najlepsze moralnie”, ale jednak najtańsze. Często bywa tak, że ofiary chcą płacić okup, ale nie wiedzą jak to zrobić, jak negocjować albo jak zdobyć kryptowalutę. Nie zawsze też potrafią ocenić ryzyko utraty pieniędzy bez zdobycia klucza. Jeśli ktoś oferuje pomoc w takich przypadkach, nie jest to złe.

Zabezpiecz się wcześniej

Przypominamy, że lepiej jest zapobiegać niż leczyć. Dlatego zadbajcie o kopie zapasowe swoich danych. Miejcie też świadomość, że nie zawsze backupy rozwiążą wasz problem, bo one również mogą być zaszyfrowane (jeśli nie będą odpowiednio oddzielone od zasobów). Wiedzcie też, że “przywracanie wszystkiego” to nie jest coś, co zdarza się często. Warto rozważyć skorzystanie z dodatkowych usług, które przyśpieszają proces tworzenia, zabezpieczania i przywracania kopii bezpieczeństwa.

Aktualizujcie sprzęt, dbajcie o antywirusy i uświadamiajcie pracowników w kwestii socjotechniki, która również jest wykorzystywana w celu infekowania komputerów.


Dowiedz się, jak zabezpieczyć swoje dane i pieniądze przed cyberprzestępcami. Wpadnij na nasz kultowy ~3 godzinny wykład pt. "Jak nie dać się zhackować?" i poznaj kilkadziesiąt praktycznych i przede wszystkim prostych do zastosowania porad, które skutecznie podniosą Twoje bezpieczeństwo i pomogą ochronić przed atakami Twoich najbliższych. Uczestnicy tego wykładu oceniają go na: 9,34/10!

Na ten wykład powinien przyjść każdy, kto korzysta z internetu na smartfonie lub komputerze, prywatnie albo służbowo. Wykład prowadzimy prostym językiem, wiec zrozumie go każdy, także osoby spoza branży IT. Dlatego na wykład możesz spokojnie przyjść ze swoimi rodzicami lub mniej technicznymih znajomych. W najbliższych tygodniach będziemy w poniższych miastach:

Zobacz pełen opis wykładu klikając tutaj lub kup bilet na wykład klikając tu.

48 komentarzy

Dodaj komentarz
  1. No dobrze. Ale czy to zapłacenie okupu działa ? Czy rzeczywiście dostaje się kod do odszyfrowania plików ? Brak takiej informacji.

    • Działa. Wszystkie przypadki, w których firma zdecydowała się zapłacić, zakończyły się sukcesem (poza znanymi i opisywanym przez nas infekcjami wiperami, które udawały ransomeware).

    • Cytyjąc użytkownika Fizyda ze znanego portalu:
      “Hmm, myślę że jest większa szansa na odzyskanie plików po zapłacie cyberprzestępcom niż na to, że płacąc ZUSowi dostanę emeryturę.”
      :)

  2. Jaki sposób backupowania polecacie?

    • Ja używam Veeam i wrzuca wszystko na NASa raz dziennie;)

    • Kluczowym zagadnieniem przy obronie przed niechcianym szyfrowaniem jest wersjonowanie plików.

  3. Zamiast doradzać płacenie okupu lepiej zachęcać do regularnych kopii zapasowych.

    • Tylko że jeśli masz na PC jakiś cichy malware, to choćbyś miał 10 kopii zapasowych to jednak wszystkie je podpinasz co jakiś czas do tego głównego PC i wszystko zainfekowane.

    • Kopii zapasowych offline.

    • Marcin, dlatego backup warto zrobić na zasadzie osobnego boxa który loguje się kluczami ssh w celu zrobienia kopii. A samego boxa ktory robi kopie wyfiltrować w sieci tak aby nie wystawiał żadnego portu bądź tylko ssh z ustawionym mfa

    • @Marcin

      No to rób po staremu, w prymitywny, ale pewny sposób: uruchom na komputerze niezainfekowany system i zgraj dane.

      Ja tak robię. Wyłączam router, uruchamiam płytę z linuksem i dopiero wtedy podpinam do kompów dysk na dane. Raz jeden, raz drugi. Na zmianę. Płytę nagrałem z 3, może 4 lata temu i wciąż mi służy. Czasami zgrywam pliki, czasami robię obraz całego systemu.

      Nie muszę dodawać, że tych dysków z backupem nigdy nie podpinam do żadnych kompów jako przenośne dyski. Żaden potencjalnie zarażony system nie ma prawa widzieć tych dysków.

      Minus tego rozwiązania jest taki, że dane nie są zgrywane w locie, a tylko wtedy, gdy się zmuszę. Coś za coś. :) Ale oczywiście można stosować obie metody.

    • Słusznie. I od zawsze to robimy. Tylko na nic się ta rada przyda firmie, która stała się ofiarą ransomware, a backupów wcześniej nie robiła.

    • @Piotr Konieczny

      W takim przypadku firma jest sama sobie winna. Jak to mówią: Na głupotę nie ma lekarstwa.
      Ale płacenie okupu to IMHO wspieranie przestępców. Zobaczą zyski, to zwiększy się u nich chęć napisania lepszej wersji ransomware

    • Tak. Jest sobie sama winna. I teraz pomyśl, że jest to szpital albo elektrownia w Twoim mieście, bank lub cokolwiek innego co ma wpływ na życie tysięcy osób. Rozumiem, że mając wybór:
      [1] niech zapłacą i odzyskają dane w dzień
      [2] niech nie płacą bo to naganne moralnie

      Wybierasz opcję numer dwa i bierzesz na klatę to, że przez błąd innych (który możesz “cofnąć” płacąc okup), Tobie nie zgadza się saldo na rachunku, Ty nie masz prądu lub musisz powtórzyć wyniki wszystkich badań albo co gorsza wędrujesz na koniec kolejki oczekiwania na operację, a byłeś na 2 miejscu ale nie możesz tego udowodnić. Można i tak…

    • Teraz pomyśl, że przestępcy mogą stracić dostęp do kluczy, bo sami padli ofiarą hakera. Nie ma danych, nie ma kasy.
      Ale z drugiej strony, każdy kraj oficjalnie mówi “nie negocjuje się z terrorystami”, a nieoficjalnie płaci okup. W tym przypadku dziwne jest, że płacenie okupu jest tak ostentacyjne.
      Jeśli chodzi o kopie zapasowe i ransomware, to bezpieczne są chyba tylko wydruki i może płyty.

  4. Idealny backup dla prywatnego użytkownika to własny QUNAP z dwoma dyskami w RAID. Żadnych stałych kosztów. Można backupować również dane z telefonu. Muszę to wreszcie skonfigurować bo licho nie śpi, a QUNAP się kurzy na półce :)

    • Na qnap itp to snapshoty, bo trzymane są w przestrzeni niedostępnej „na zewnątrz”

  5. Robal_pl
    Działa, znam firmę, która zapłaciła 0,1 BTC i dostała klucz, który zadziałał.

    Tomasz Miroszkin
    Jak ty masz dostęp do Qnapa, to wirus też ma.

    • @BQB

      Tej, ale to, że w jednym przypadku zadziałało, nie da się ekstrapolować na wszystkie przypadki i uogólnić, że działa.

      …zwłaszcza że istnieją kontrprzykłady.

    • @BQB: Nie do końca tak to działa — opisywaliśmy ostatnio backup migawkowy: https://niebezpiecznik.pl/post/spoko-mam-backup-o-iluzji-bezpieczenstwa-w-obliczu-ransomware/

    • witam, mala niescislosc w tlumaczeniu tresci maila. posrednik pyta o mozliwosc obnizeniaa ceny uslugi do kwoty 0.15 bts a nie o znizke o 0.15.
      pozdrawiam

  6. Miałem kiedyś taką głupią sytuację, że tłumaczyłem zarządowi jednej zaniedbanej informatycznie firmy (za to całkowicie zależnej od produktów opracowywanych na zsieciowanych i połączonych z Internetem kompach przez nie-informatyków), co należałoby zrobić, żeby podnieść ich odporność na ransomware. Mieli akurat podobno przykład w otoczeniu, że komuś tam zaszyfrowano dysk ze wszystkim-wszystkim, więc liczyłem na zrozumienie. No i po omówieniu mojej propozycji z oszacowaniem kosztów, zainteresowali się, ile przeciętnie wynosi okup. Jakieś tam rzeczywiste dane z tamtego okresu im podałem (tak, prostolinijność kiedyś mnie zgubi). Popatrzyli po sobie i mówią “to w sumie nie tak dużo”. Zatkało mnie. Zapadła niezręczna cisza. Coś tam jeszcze próbowałem tłumaczyć, że mogą mieć atak po ataku kilka razy i koszt się zmultiplikuje, że przestoje firmy, itd., ale ogólnie mi podziękowali i nie robiłem dla nich.

    Tak więc niektórym zarządzającym dużo łatwiej jest zrozumieć ideę zapłacenia okupu “po szkodzie”, niż ideę zapłacenia za doprowadzenie swojego IT do porządku “przed szkodą”. Jak gdyby umieli działać tylko reaktywnie, a nie strategicznie. Ale też podejrzewam, że propozycja szantażystów jest nieporównywalnie łatwiejsza do zrozumienia (“zapłać to ci oddamy”), niż rozkminy techniczne.

    Tylko że póki duży procent firm pozostaje w takiej rozsypce i z takim zarządzaniem ryzykiem, to “porywacze danych dla okupu” mają swoje prosperity. Czyli brak oporu nakręca problem.

  7. Prosi o zniżkę nie w wysokości 0,15 a obniżkę ceny haraczu do 0,15 tbc.

    • Tak jest – jednoznacznie to wynika ze zrzutu oryginalnego maila.

  8. Można takie działanie piętnować, ale – co tu dużo mówić – tak właśnie działa handel. Taniej kupić – drożej sprzedać. Jak pośrednik gwarantuje wykonanie usługi, wystawi fakturę, to byłbym skłonny zapłacić więcej.

  9. Dla wielu firm to wygodne. O ile nie można haraczu dla przestępców wprowadzić do bilansu jako kosztu firmy, to fakturę dla firmy “odszyfrowującej” pliki jak najbardziej… ;)

  10. Nie wiem jak niebezpiecznik może proponować płacenie terrorystom, nawet jeśli to tańsze rozwiązanie. Nawet gdyby miało to kosztować 1000x więcej to nie warto płacić bo to tylko zwiększa skalę problemu – każda zapłata zachęca tylko kolejnych złodziei do stworzenia nowego narzędzia. Kiedyś w końcu dojdzie do wykorzystania jakiegoś zero daya i połowa komputerów zostanie zaszyfrowana. W dodatku nie ma żadnej gwarancji że uda się odszyfrować pliki więc ryzykujemy stratę i plików i pieniędzy. Szczególnie jeśli w końcu uda się złodziejom (bo hackerami ich nigdy nie nazwę) zaszyfrować dużą ilość komputerów, bo prawdopodobnie nie są przygotowani na obsługę zbyt dużej liczby “klientów” i nie będą wyrabiać.

    Idiotyzm redakcji mnie przytłacza – prawdopodobnie sami wypuścili jakiegoś ransom i chcą się dorobić bo nie widzę innego uzasadnienia.

    Rozumiem że redakcja gdyby codziennie była napadana z nożem i rabowana z 10 zł to wolałaby płacić te 10 zł niż płacić dziesięć razy tyle w podatkach na poprawę bezpieczeństwa bo tak by było taniej

    • Redakcja najwyraźniej więcej w swoim życiu więcej przypadków infekcji ransomwarem w firmach na żywo niż Ty, drogi Czytelniku. I wie, że kiedy firma ma nóż na gardle, biznes stoi, klienci się denerwują i grożą pozwami, to celem każdego Zarządu powinno być zrobienie wszystkiego, by firmę uratować (i nie “działać na szkodę spółki”, za co może pójść siedzieć). A w sytuacji, gdy backupów nie ma, jedyną sensowną reakcją jest zapłacić okup. Czy Ci się to drogi Czytelniku podoba i zgadza z Twoim światopoglądem i przekonaniami, czy nie. Sad, but true. Jeśli nie ma innej opcji i dane potrzebne są na już to, radziliśmy, radzimy i zawsze będziemy radzić — płać. I to jak najszybciej (bo zaraz może być za późno: FBI zawinie przestępców, CERT-y wyłączą im serwer). Aha — i są sposoby na to, aby płacąc okup nie stracić pieniędzy (lub raczej mocno zminimalizować ich stratę), nawet gdyby się zdarzyło, że przestępca nie ma zamiaru plików odszyfrować. Jeśli się odrobinę zastanowisz, to na pewno wpadniesz na pomysł jak.

      Zechciej też zauważyć, że choć nie pochwalamy działań przestępców, to w bezpieczeństwie trzeba się kierować analizą ryzyka, a nie emocjami, co zdajesz się sugerować. A analiza ryzyka to taki twór, że niekiedy podpowiada rozwiązania, które nie należą do najbardziej etycznych (np. inny przykład to brak łatania dziury, przez którą realnie cierpi kilku klientów, co miesiąc, ale cierpią tak, że szkody dla firmy są zdecydowanie niższe niż koszt usunięcia luki — wiele firm świadomie nie kiwnie palcem, dopóki ten problem klienta nie jest ich realnym, zauważalnym problemem. Niezależnie od tego co Ty, drogi Czytelniku możesz sobie na ten temat pomyśleć, tam na górze z reguły liczy się chłodne spojrzenie i tabelka w Excelu).

      Do pozostałych dwóch akapitów Twojego komentarza się nie odniosę, bo są tak nietrafione, jak lotnisko w Radomiu.

    • Zajrzyjcie na https://www.nomoreransom.org/pl/ransomware-qa.html na sekcję “Jeśli zostałem zaszyfrowany, czy powinienem zapłacić okup?”. To jest profesjonalnie napisana wskazówka.
      Powinniście robić tutoriale i szkolenia radzące jak się ustrzec przez ransomware a nie jak płacić okup.

      Decyzja czy ktoś się zdecyduje zapłacić okup czy nie, należy do poszkodowanego – każdy ma swój mózg i potrafi ocenić ryzyko. Tak samo gdy ktoś mu porwie dziecko spod szkoły dla bogatszych w krakowie zna swoje opcje i wie z czym się wiąże zapłacenie okupu a z czym pójście na policję. Nie proponujecie nic innego niż to co i tak ofierze pojawi się na monitorze.

      Możecie nakierowywać na płacenie okupu mówiąc że bez backupu odzyskanie danych nie jest zazwyczaj możliwe lub coś w tym rodzaju. Możecie polecać płacenie okupu w prywatnych wiadomościach gdy ktoś woła do Was bezpośrednio o pomoc.
      Ale na boga nigdy publicznie nie nawołujcie do wspomagania przestępców i terrorystów.

      Założę się że nawet po tym artykule kilka osób wpadło na pomysł na łatwy zarobek i jest szansa że jeden z nich coś nawet wypuści. Może użyje gotowego rozwiązania, zmieni adres bitcoina, coś pogmera żeby zmienić sygnaturę binarki i umieści to umiejętnie nawet w swojej firmie, bo czemu nie skoro przestępców nie da się wykryć a pierwsza wskazówka na jaką natrafi zarząd firmy to żeby zapłacić. Nawet się nie musi męczyć odszyfrowywaniem bo wystarczy że część ransomsiarzy ma krztę uczciwości żeby tego typu wskazówki były rozpowszechnianie w Internecie. Obejdzie się nawet bez słupa – wypłaci sobie pieniążki za 5 lat jak sprawa już będzie dawno umorzona, adres niemonitorowany, a firma już dawno zapomni.

    • Od 10 lat uczymy i dalej będziemy uczyć profilaktyki (Czyżbyś czytał nas od niedawna?) Ale w niektórych przypadkach, które opisałem powyżej (firma która nas zatrudnia wcześniej z naszych profilaktycznych zaleceń nie korzystała, obecnie nie ma dostępu do istotnych danych, może przez to stracić wiele pieniędzy, a czasem narazić na utratę zdrowia lub życia innych ludzi, okup jest w zasięgu finansowym firmy), zawsze będziemy doradzać jak najszybszą zapłatę okupu jeśli celem klienta jest natychmiastowe odzyskanie danych. Bo innej opcji nie ma. Zawsze też firmie zwracamy uwagę na aspekty moralne (tak samo jak i Marcin podkreślił je w tym artykule). I to nie my podejmujemy decyzje za firmę — to ona podejmuje decyzję po poinformowaniu ją przez nas jakie ma opcje. Z Twojego komentarza wnioskuję, że masz mylne wyobrażenie tego jak wygląda praca z ofiarami ransomewaru. Nasza rola to zanalizować przypadek a potem przedstawić im wszystkie możliwe opcje działania jakie mają, łącznie z nie robieniem niczego, bo BYĆ MOŻE KIEDYŚ, za nie wiadomo ile lat, na stronie nomoreransom lub innej pojawi się deszyfrator. Rozumiem dlaczego na nomoreransom pod tym linkiem nie wypada im odpowiedzieć inaczej. My się jednak z tym nie zgadzamy, zwłaszcza kiedy nasi klienci są w sytuacjach jak ta opisana przez mnie wyzej.

      Ciekaw jestem przy ilu przypadkach ransomewaru pracowałeś i ilu ludziom/firmom próbowałeś doradzać? Wysuwasz takie argumenty, że wydaje mi się że o problemie wiedzę masz jedynie teoretyczną, bez doświadczenia z placu boju… Wierz mi – optyka Ci się zmieni, jeśli zaczniesz pracować z ofiarami.

    • To się wtrącę. Widzę to tak:

      Jeśli jakąś firmę stać na to, żeby nie zapłacić okupu, niech nie płaci, bo tak jest lepiej globalnie. Zdecydowanie.

      Jest jednak masa firm, których nie jest stać na niezapłacenie okupu. Doradzanie im, żeby w imię zasad się samozlikwidowały*, jest co najmniej równie niemoralne, jak doradzanie, by zażegnały zagrażającą im katastrofę dostępnym sposobem (który globalnie jest niedobry i co do tego się wszyscy włącznie z Redakcją myślę zgadzamy).

      *) Pamiętajmy, że firma nie działa w próżni prawnej i musi pewne obowiązki terminowo wypełnić, inaczej lecą kary, niektóre niewspółmiernie dotkliwe. Można powiedzieć w przenośni, że firma jest do pewnego stopnia w stałym stanie szantażu przez urzędy, klientów, a jeśli zatrudnia pracowników, także przez sąd pracy, czasem związki zawodowe, itp. W momencie jak dochodzi nowy szantaż (odebranie danych niezbędnych do wywiązania się z obowiązków), sytuacja robi się krytyczna i nie ma dobrego wyjścia. Można jedynie wybrać najmniejsze zło, ale co nim jest w danej sytuacji, to już musi zdecydować zarząd – uzyskawszy jak najpełniejszą i nieobciążoną zasadami wiedzę o dostępnych możliwościach.

      Oczywiście najlepiej by było, gdyby każda firma uzyskała zawczasu odporność na tego typu ataki. Obejmuje to wiadomo backupy, ale też separowanie kluczowych procesów na osobne ścieżki przetwarzania danych, przemyślaną infrastrukturę, szkolenia, zdyscyplinowane stosowanie procedur, itp., itd. Tyle że trzeba to wdrożyć ZAWCZASU. I oczywiście to nie jest bezkosztowe. Ale zainwestowawszy w uodpornienie można doprowadzić do tego, że firmę będzie po ataku ransomware stać na niepłacenie przestępcom. Bo odzyskanie kluczowych procesów i danych we własnym zakresie będzie w ogóle możliwe, nawet jeśli dłuższe czy droższe. Bez przygotowania się zawczasu – możliwe nie jest (chyba że ransomowiec popełnił błąd – ale to już coraz rzadziej).
      Czy warto zainwestować w odporność – no według mnie warto. Każdy admin, szkoleniowiec, bezpiecznik, sprzedawca infrastruktury itp. powie, że woli żeby firma zapłaciła jemu niż przestępcom :) Ale czasem nie każdy zarząd woli zapłacić legalnym podmiotom dziś, żeby nie płacić przestępcom jutro. A tak naprawdę, tylko co do tego, komu i kiedy zapłaci firma, jest wybór. Bo jak już zmaterializował się atak, to z zarządzania ryzykiem przechodzimy na zarządzanie incydentem, i trzeba ratować, co się da, jak się da, bez luksusu zgodności z zasadami.

  11. NIGDY NIE PŁAĆ OKUPU!!!

    Przykro mi redaktorze, ale nie masz racji.

  12. Jaki trolling? Namawia Pan ludzi do płacenia okupu. Nie trzeba być geniuszem aby się zorientować, że nie ma sensu i jest to ślepa uliczka. Rozumiem, że honor jednak nie pozwoli Panu na zmianę stanowiska.

    • Tomku, z całego serca życzę Ci poszerzenia horyzontów myślowych to takiego stopnia, i nabycia takich zdolności, żeby kiedyś ktoś Cię awansował na jakieś stanowisko managerskie lub dyrektorskie z odrobiną odpowiedzialności za innych. Ba! Chciałbym nawet żebyś został prezesem!
      I życzę Ci także takiego dnia, kiedy ktoś zaszyfruje Twojej firmie wszystkie dane, a sięgając do backupow zorientujesz się że nie były poprawnie wykonywane. Z chęcią wtedy z Tobą — ale dopiero po tym doświadczeniu — porozmawiam, bo na razie to mam wrażenie że prowadzę konwersacje z osobą, która nie rozróżnia wewnętrznych dywagacji o aspektach moralnych od biznesowej ciągłości działania i odpowiedzialności za innych.

      PS. Oczywiście wcale Ci tego nie życzę. Bo nie lubię jak ludzie cierpią. A — i to staram się podkreślić — czasem tylko zapłata okupu cierpienie przerywa. Choć oczywiście, moglibyśmy powiedzieć: przechodził na czerwonym świetle, więc skoro potrącił go samochód, to chrzanić typa, z moich składek nie chcę aby był operowany! Sam jest sobie winny, niech zdycha! Przecież NIGDY nie można przechodzić na czerwonym świetle, bo to niezgodne z prawem.

  13. Czy “okup” można wrzucić w koszty działalnoś i firmy? Chyba łatwiej jest zapłacić z marżą i oyrzymać fakturę.

  14. Jedyne wyjście to zapobieganie. Płacenie okupu sprawi, że jutro kolejne 10 osób zastanie zaatakowanych. Jaki cel przyświeca pisanie artykułów, które podpowiadają: zapłać okup. Uważam, że to niepoważne i szkodliwe. I aby było jasne: odnoszę się teraz tylko do publikowania takich porad.

    No ale nie musimy się zgadzać. Szkoda tylko, że propagujecie takie rozwiązanie.

  15. 1/3 hdd miałem zaszyfrowaną crabem (v4 z tego co pamietam). wpakowałem wszystkie kraby do jednego katalogu i czekałem az pojawi się metoda na odszyfrowanie samemu. Po 3 miesiącach pojawił się dekrypter na v4 od bitdefendera. Odszyfrowałem wszystko i po kłopocie.

  16. Zgadzam się z tymi dyskutantami radzącymi ,by nie płacić. Gdy zapłacisz jeden raz to będziesz szantażowany już zawsze.Nigdy nie należy ulegać złodziejom .Nigdy nie płacić choćby wiązało to się ze stratami.Dziwię się ,że redakcja radzi płacić ,ale każdy ma swoje zdanie.

    • Nie bedziesz szantazowany “juz zawsze” bo niby jak? to jednorazowa oplata. I wcześniej możesz podesłać za darmo plik do rozszyfrowania żeby udowodnili ci że potrafią to zrobić i nie jest to ściema.
      Ba, im zalezy zebys zostal zawsze ucziwie obsłużony, bo jakby poszła plotka że nie odszyfrowują po zapłacie okupu, to nikt by nie ryzykował.

  17. Witam,
    trafił do mnie dysk zaszyfrowany Phobosem i mam sprawdzić czy da się coś zrobić.
    ID Ransomware twierdzi, że nie ma metody, natomiast znalazłem stronę: https://fastdatarecovery.com.au/ransomware-recovery/phobos-dharma-ransomware-recovery/

    że niby dają 100% gwarancji na odszyfrowanie, tylko że firma wygląda jak jakiś skam tzn. niby zarejestrowana w Australii, a serwer w Bułgarii, do tego ich ssl to darmowy Let’s Encrypt… orientuje się ktoś cotototo?

    • @Adam

      Sam to wiesz, ale jak ktoś daje 100% gwarancji na odszyfrowanie / odzyskanie, to szansa, że ściemnia, jest jednak duża.
      … we WHOIS też ciekawostki znajdziesz, tak a propos.

  18. Lotnisko w Radomiu działało już przed wojną, potem przez dziesiątki lat nie było modernizowane, więc niech nikt się nie dziwi, że lotów pasażerskich było mało.

  19. […] O takich cwaniaczkach, którzy twierdzą, że uratują każdą firmę po ataku ransomwarowym, a w rzeczywistości dogadują się z przestępcami, pisaliśmy równo rok temu (por. Oferowali odszyfrowywanie plików, ale tak naprawdę płacili okup i doliczali sobie marżę za usł…). […]

  20. Gdybym był twórcą ransomware to też bym zachęcał do płacenia okupu.Ale nie jestem.Odszyfruj pliki sam jak ci zaszyfrują.

  21. a kopia na zasadzie wysyłania paczki po scp na zdalny serwer linuxowy na user’ze z prawami tylko do zapisu. Chyba wystarczy? czy możemy się w tym przypadku czegoś obiawiać?

  22. […] pośrednika, który dolicza sobie marżę za usługę. Proceder ten opisywały portale branżowe: https://niebezpiecznik.pl/post/oferowali-odszyfrowanie-plikow-ale-tak-naprawde-placili-okup-i-dolicz… Za pośrednictwem gdańskiego ośrodka Fundacji Rozwoju Demokracji Lokalnej, z inicjatywy Forum […]

Odpowiadasz na komentarz Michał

Kliknij tu, aby anulować

Zamieszczając komentarz akceptujesz regulamin dodawania komentarzy. Przez moderację nie przejdą: wycieczki osobiste, komentarze nie na temat, wulgaryzmy.

RSS dla komentarzy: