Wannacry, στην κυριολεξία...

[Δημήτρης Δημητρακούδης]

Τάκη, τα πράγματα είναι απλά. Αν ο συγκεκριμένος δίσκος μπορεί να γίνει mount στο σύστημά σου χωρίς να δώσεις κωδικό (πρόσεξε, λέω να γίνει απλά mount, όχι να μπορείς να δεις τα αποκρυπτογραφημένα αρχεία σου) και να φαίνονται τα κρυπτογραφημένα αρχεία (άσχετα να δεν έχεις δώσει των κωδικό ώστε να γίνεται και αποκρυπτογράφηση), τότε αυτά μπορούν να κρυπτογραφηθούν ξανά από κάποιο malware.

Μια απλή δοκιμή είναι η εξής: Παίρνεις τον δίσκο με το time machine backup σου και τον βάζεις σε ένα PC στο οποίο έχεις βάλει κάποιον HFS+ driver. Αν βλέπεις αρχεία, παρότι δεν θα μπορείς να τα ανοίξεις, είσαι ευάλωτος σε malware.

 

[Δημήτρης Δημητρακούδης]

Dammit, με πρόλαβε εν μέρει ο Σύριος..

 

[skysound]

Ενημερωση ασφαλειας για τα ΧΡ κυκλοφορησε η microsoft σχετικη με wannacry.
(παρά του ότι το συγκεκριμένο λειτουργικό έχει σταματήσει να υποστηρίζεται από την εταιρεία)

 

[takisot]

Απάντηση: Re: Wannacry, στην κυριολεξία...

Τάκη, τα πράγματα είναι απλά. Αν ο συγκεκριμένος δίσκος μπορεί να γίνει mount στο σύστημά σου χωρίς να δώσεις κωδικό (πρόσεξε, λέω να γίνει απλά mount, όχι να μπορείς να δεις τα αποκρυπτογραφημένα αρχεία σου) και να φαίνονται τα κρυπτογραφημένα αρχεία (άσχετα να δεν έχεις δώσει των κωδικό ώστε να γίνεται και αποκρυπτογράφηση), τότε αυτά μπορούν να κρυπτογραφηθούν ξανά από κάποιο malware.

Μια απλή δοκιμή είναι η εξής: Παίρνεις τον δίσκο με το time machine backup σου και τον βάζεις σε ένα PC στο οποίο έχεις βάλει κάποιον HFS+ driver. Αν βλέπεις αρχεία, παρότι δεν θα μπορείς να τα ανοίξεις, είσαι ευάλωτος σε malware.

Δεν νομίζω μας έχει σημασια πως θα συμπεριφερθεί ο δίσκος αν τον βάλεις σε PC δεδομένου πως το OSX ενδέχεται να έχει και άλλες δικλείδες ασφάλειας.
Όπως και να έχει, το δοκίμασα και σε άλλο Mac οπου διαπίστωσα το αυτό:
το time machine partition δεν γίνεται mount αν δεν πληκτρολογήσεις τον σωστό κωδικό.

 

[Δημήτρης Δημητρακούδης]

Αν ο δίσκος είναι πραγματικά κρυπτογραφημένος σε επίπεδο file system θα το καταλάβεις αν τον βάλεις σε PC / Linux. Στο Mac είναι λογικό να σου ζητάει το password, επειδή βλέπει ότι είναι time machine και πηγαίνει by the book..

Το malware λογικά δεν θα κάνει τέτοιες "αβρότητες". Αν μπορεί να τον κάνει mount, θα τον κάνει.

 

[supersonic]

Ενημερωση ασφαλειας για τα ΧΡ κυκλοφορησε η microsoft σχετικη με wannacry.
(παρά του ότι το συγκεκριμένο λειτουργικό έχει σταματήσει να υποστηρίζεται από την εταιρεία)

το update δεν βγάζει επιλογή γλώσσας στο κατέβασμα, και αν έχεις διαφορετική δεν εγκαθίσταται.

 

[tmjuju]

Ερώτηση:
έχουμε ένα σύστημα με 5 σκληρούς, εκ των οποίων οι δύο είναι με ξεχωριστά λειτουργικά Win 7 (ο ένας με Win 7-α και ο άλλος με Win 7-β) και οι υπόλοιποι τρεις είναι με data. Έστω ότι μολύνεται το λειτουργικό με Win 7-α.
Το λειτουργικό Win 7-β δεν θα βλέπει κανονικά τα data στους τρεις σκληρούς;

Όχι η ζημιά γίνεται σε όλους τους δίσκους
Κρυπτογραφούνται τα πάντα που είναι συνδεδεμένα στο pc
(και σταδιακά σε όλο το LAN)

 

[takisot]

Απάντηση: Re: Wannacry, στην κυριολεξία...

Αν ο δίσκος είναι πραγματικά κρυπτογραφημένος σε επίπεδο file system θα το καταλάβεις αν τον βάλεις σε PC / Linux. Στο Mac είναι λογικό να σου ζητάει το password, επειδή βλέπει ότι είναι time machine και πηγαίνει by the book..

Το malware λογικά δεν θα κάνει τέτοιες "αβρότητες". Αν μπορεί να τον κάνει mount, θα τον κάνει.

Είδες παραπάνω από το screenshot ότι δεν κάνει mount.
Και όπως σου είπα, το θέμα είναι τι γίνεται σε επίπεδο mac, μας είναι αδιάφορο πως θα συμπεριφερθεί σε pc ο ίδιος δίσκος.

 

[takisot]

Και για να μας λυθεί η απορία, τον συνέδεσα σε pc με Hfs+ reader οπου ούτε εκεί έκανε mount:

 

[spcav]

Αν ο δίσκος είναι πραγματικά κρυπτογραφημένος σε επίπεδο file system θα το καταλάβεις αν τον βάλεις σε PC / Linux. Στο Mac είναι λογικό να σου ζητάει το password, επειδή βλέπει ότι είναι time machine και πηγαίνει by the book..

Το malware λογικά δεν θα κάνει τέτοιες "αβρότητες". Αν μπορεί να τον κάνει mount, θα τον κάνει.

Αυτό ακριβως λεω / προσπαθω να διευκρινίσω

Όπως ειπωθηκε και πριν, το πιο επικινδυνο είναι η λανθασμένη αισθηση ασφαλειας

edit

OK, μαλλον ξεκαθαρίζεται το θεμα

Το ερωτημα που παραμενει είναι πως ο φιλος πιο πανω ειπε ότι τον εκανε mount χωρις pass....και χωρις να μπορει να ανοιξει τα αρχεια (αρα δεν είναι ότι ειχε το pass σε κανα keychain)....

 

[kiriak]

δυστυχώς δεν έχω πλέον το TM σε usb disk για να το δοκιμάσω και να σας πω,
πάντως είμαι σίγουρος ότι το backup ήταν encrypted και δεν έδινα κωδικό όταν συνέδεα τον σκληρό με το mac,
(πλέον το έχω στο NAS)

αν βρω χρόνο να "παίξω" θα δοκιμάσω να στήσω ένα γρήγορο TM (με κανα δύο φακέλους μόνο και να το δω)


Βέβαια από πρακτικής άποψης δεν έχει και καμμία σημασία,

καθώς αν το δίσκο με το TM δεν τον έχουμε συνδεδεμένο (και τον συνδέουμε πχ μία κάθε μήνα) τότε ούτως ή άλλως είναι ασφαλές,

αν το έχουμε μονίμως επάνω, ή σχεδόν μονίμως για να έχουμε 100% backup, τότε προφανώς το ransomware έχει πρόσβαση σε αυτόν

 

[takisot]

Δοκίμασε, 5 λεπτά υπόθεση είναι. Πάντως έχει πρακτική σημασία, διότι στην υποθετική περίπτωση που έχει μολυνθεί το Mac με malware (όχι φυσικά το wannacry που χτυπά μόνο windows), το time machine backup θα τη γλυτώσει από την αυτόματη κρυπτογράφηση του περιεχομένου του αν το backup λαμβάνεται περιοδικά (πχ μια φορά την ημέρα) με τη μέθοδο που προανέφερα.

 

[dimitris__]

Μήπως κατα τύχη έχεις ενεργοποιημένα τα shadow copies (system restore points) στο drive που είχες τα video σου; Από εκεί γυρνάνε και τα κρυπτογραφημένα, εκτός αν ο ιός έχει απενεργοποιήσει τη λειτουργία.

Στη δουλειά χάσαμε δυο παλιούς servers πελατών (Windows 2003) παρότι ήταν τέρμα πατσαρισμένοι και με Antivirus. Ευτυχώς τους αποκαταστήσαμε μέσα στη μέρα από backup. To patch που έχει βγάλει η Microsoft για παλιά windows κλείνει το bug που υπάρχει στο file sharing πρωτόκολλο (SMB v.1), αλλά δεν καλύπτει το λάθος του χρήστη. Ένας συνάδελφος γύρισε το PC του (Windows 7) από το System Restore των windows.

 

[nicksoti]

Τελικά κατόπιν της πληρωμής τα αρχεία ξεκλείδωσαν. Ωστόσο το μαρτύριο συνεχίζεται.... ελεγχοι backup εγκαταστάσεις.... ουφ

 

[songless_bird]

Ποσο κόστισε αν επιτρέπεται και πως έγινε το ξεκλείδωμα; Σου έδωσε κάποιο κλειδί;

 

[Werewolf]

Κανενα μαρτυριο.
Δεν ξερω ποσα πληρωσες, αλλα σιγουρα ηταν περισσοτερα απο το κοστος μιας σουιτας αντιβιοτικου οπου να εχει προστασια ransomware.
Δημιουργησε (ή προσθεσε ηδη υπαρχοντες) φακελους, πετα μεσα τα αρχεια που θες να προστατευσεις και υστερα κανε add αυτους τους φακελους στην ransomware protect λιστα του αντιβιοτικου.
Κανενα ransomware ή οτιδηποτε αλλο δεν θα μπορει να κανει οποιαδηποτε αλλαγη πλεον στους προστατευμενους φακελους.

 

[tmjuju]

Τελικά κατόπιν της πληρωμής τα αρχεία ξεκλείδωσαν. Ωστόσο το μαρτύριο συνεχίζεται.... ελεγχοι backup εγκαταστάσεις.... ουφ

Καλή συνέχεια!!!

 

[spcav]

Re: Απάντηση: Wannacry, στην κυριολεξία...

Δημιουργησε (ή προσθεσε ηδη υπαρχοντες) φακελους, πετα μεσα τα αρχεια που θες να προστατευσεις και υστερα κανε add αυτους τους φακελους στην ransomware protect λιστα του αντιβιοτικου.
Κανενα ransomware ή οτιδηποτε αλλο δεν θα μπορει να κανει οποιαδηποτε αλλαγη πλεον στους προστατευμενους φακελους.

Ειναι άραγε τόσο απλό;

 

[Werewolf]

Ολες οι επωνυμες σουιτες νομιζω οτι πλεον υιοθετουν ransomware protection.

Απλα οριζεις τις διαδρομες των φακελων που θες να προστατευσεις και αν χρειαστει κατι να εχει προσβαση edit, θα πρεπει να του δωσεις το ελευθερο προσθετοντας το στην white list.

Eγω π.χ. χρειαστηκε να προσθεσω το foobar στην white list γιατι καποιο setup addon προσπαθησε να κανει αλλαγες σε αρχειο που βρισκοταν στην επιφανεια εργασιας οπου προστατευοταν.

Οποτε αν εννοεις ευκολο στο να πραγματοποιει αυτο που υποσχεται, ναι.
Ευκολο στο setup, θελει λιγο δουλεια στην αρχη ωστε να δηλωσεις τι θα προστατευεις. Και αν καποια απο τις εφαρμογες σου χρειαστει προσβαση για edit σε αυτα που προστατευεις, την πρωτη φορα θα πρεπει να την προσθεσεις στην white list ΑΛΛΑ υστερα να ξανακανεις αυτο που προσπαθησες με την εφαρμογη γιατι οι αλλαγες δεν επιτραπηκαν.

 

[Werewolf]

Παραδειγμα το απο κατω screenshot εγινε μολις τωρα.
Πηγα να εγκαταστησω σουιτα για κινητο και εκεινη με τη σειρα της προσπαθησε να πραγματοποιησει αλλαγες στον προστατευμενο φακελο documents.
Η εγκατασταση ολοκληρωθηκε αλλα οτι πηγε να κανει στο documents ( τι αραγε) δεν εγινε.
Αν η αλλαγη που ΔΕΝ εγινε στα documents επηρρεαζει την ορθη λειτουργια της εφαρμογης, θα πρεπει να την προσθεσω πρωτα στην white list και υστερα να την ξανα κανω setup.