TOP

KYBEZ

Pár rad, pokud jste se stali také majitelem nějakého ransomware.

O ransomware Petya/NotPetya/Petr.Wrap nebo o dalších názvech toho nepříjemného kusu software se toho psalo už hodně. Ale co v tuto chvíli dělat dál?

Vše záleží na tom, co jste za organizaci. Pokud je vaše společnost zařazena mezi kritickou infrastrukturu nebo významný informační systém, máte povinnost nahlásit kybernetický bezpečnostní incident na NCKB – https://www.govcert.cz/

Další záležitostí je případná (částečná) náhrada škod. Pokud má vaše společnost pojištění, je vhodné si zjistit, zda se pojištění vztahuje i na takovouto událost a co pojišťovna bude potřebovat doložit. V takovém případě je pravděpodobné, že bude nutné doložit trestní oznámení (neznámý pachatel) a případně znalecký posudek. Trestní oznámení je vhodné podat na krajských ředitelstvích PČR.

A zde se dostáváme k tomu, co je nutné udělat pro zajištění potřebných dat, případně co udělat pro záchranu alespoň části z nich.

Jako první krok je potřeba evidence napadených počítačů. To znamená výrobní/sériové číslo, spárované číslo disku (vysvětlím později), doba od kdy je počítač nedostupný. Zároveň je potřeba zjistit, kolik je celkem potřeba diskové kapacity pro uložení binárních kopií disků. Tyto zálohy by měly být pořízeny a uloženy ve dvou verzích, z vlastní zdrojové kopie následně uděláme ještě pracovní. Tedy Jedna pro znalce, jedna jako originál pro naši potřebu a třetí z nich použijeme pro obnovu dat. Čtvrtý objem pak použijeme na obnovu smazaných dat.

Dalším krokem je tvorba záložní binární kopie disku. Pro tvorbu stačí použít jakoukoliv Linux distribuci, osobně doporučuji CD nebo USB verzi KALI Linux, DEFT nebo jiného nástroje pro forenzní účely. Cílem je tvorba maximálně přesné kopie, která bude obsahovat i „volný“ prostor, tuto kopii dále použijeme pro obnovy dat. Tuto práci musí provádět člověk znalý Linuxu, aby nedošlo k pochybení, jedná se o práci časově náročnou (v řádu hodin), stejně tak náročná je pak tvorba hashí výstupu. Jsou nástroje, umožňující obě akce provést v ten samý okamžik, ale nemusí být v daný okamžik dostupné.

Příklad:

                /dev/sda          zdrojový disk zasažený ransomware Petya

                /dev/sdb          cílový disk pro uložení bitové kopie (doporučuji použít např. NTFS nebo EXT4)

Příkaz pro připojení disku

      mount /dev/sdb /mnt

Příkaz pro kopírování:

      dd if=/dev/sda of=/mnt/[DiskSN].dd bs=8M

V případě chyb na disku je pak možné použít například dd_rescue nebo jiný nástroj. Dále, je potřeba, aby u uvedeného byl přítomen soudní znalec a předešlo se tak možným námitkám na téma podvržení datových záznamů.

Po ukončení vytváření kopie je nutné zajistit možnost detekce změny. Nejjednodušším mechanismem je tvorba hashe disku, ukázkové příkazy jsou níže, stačí jeden z výstupů. Pokud disk nevykazoval problémy při čtení, hash je potřeba vytvářet z disku. Pokud problémy při čtení vykazoval, hash je nutné udělat nad souborem, protože každé čtení vytváří jisté množství chyb, které se promítnou do výstupu. V takovém případě není možné úspěšně data verifikovat.

Příkaz pro tvorbu hashe SHA256:

      sha256sum -b /mnt/[DiskSN].dd.sha256

Příkaz pro tvorbu hashe SHA256:

      sha384sum -b /mnt/[DiskSN].dd.sha384

Příkaz pro tvorbu hashe SHA256:

      sha512sum -b /mnt/[DiskSN].dd.sha512

V tuto chvíli máme zálohu dat, jeden disk si odnese soudní znalec. Samozřejmě tu jsou jisté administrativní náležitosti, jako je NDA, potvrzení převzetí atd. V tuto chvíli se budeme věnovat postupu, jak obnovit alespoň část dat. Dopředu upozorňuji, že dobrým zvykem, který má svůj důvod je vždy uchovat alespoň jednu kopii nedotknutých zdrojových dat. To znamená, vytvořte si kopii dat na disku a pracujte teprve s nimi.

Operační systém Linux obsahuje nástroj foremost, což je utilita schopná najít některé soubory a obnovit tak data. Stejným způsobem je možné použít nástroje např. pod Windows, namátkou vybírám pár odkazů, které se mohou hodit:

https://www.powerdatarecovery.com/data-recovery/mft.html

http://www.runtime.org/gdb.htm

http://www.ntfs.com/recovery-toolkit.htm

R-Studio 8.15 Build 180125 Network Edition + Portable

Pokud budete chtít pod Windows připojit obraz disku, je možné použít například utilitu OSFMount. Ale co v tuto chvíli pod Linuxem?

Prvním krokem je připojení dalšího disku, určeného pro obnovu dat. Předpokládám, že se používá Kali linux, takže opět není popsáno jak doinstalovat potřebné balíčky.

                /dev/sda          disk obsahující Kali linux

                /dev/sdb          disk obsahující bitové kopie disků

                /dev/sdc          cílový disk pro obnovené soubory

Příkazy pro připojení disků

      mkdir -p /home/source /home/target

      mount /dev/sdb /home/source

      mount /dev/sdc /home/target

Příkazy pro vytvoření cíle obnovy a její spuštění:

      mkdir -p /home/target/[DiskSN]

foremost -t all -i /source/[DiskSN] -o /home/target/[DiskSN] >/dev/null

Po dokončení obnovy dat, která bude trvat dost dlouho, se objeví struktura adresářů pro každý typ definované přípony (rozpoznaná struktura dat). Uvedené soubory je nutné zkontrolovat a poté ověřit jejich konzistenci. Kontrola se provádí na jakémkoliv systému, který má aktualizovaný antivirový software, jedná se o běžnou kontrolu. Pravděpodobně u velkého množství souborů upozorní na poškozenou strukturu.

Následuje kontrola, které z těchto souborů jsou čitelné a použitelné. Uvedené závisí na stavu NTFS před zašifrováním MTF tabulky, běžně se účinnost pohybuje okolo 10%. Pokud budete mít štěstí, může se vám podařit obnovit vše. Případně můžete zkusit připojit obraz disku pod Windows a spustit některý z nástrojů na obnovu souborů.

Autor: Jan Dušátko, redaktor ICT SECURITY a ICT NETWORK NEWS
Specialista v oblasti šifrování a bezpečnosti