Det er fredag ettermiddag og helgen nærmer seg. Kl. 17:00 ringer vår supporttelefon. I andre enden er en av våre kunder som nettopp har blitt offer for et ransomware-angrep. Et stort antall viktige filer er nå utilgjengelige, og de lurer på hva de skal gjøre.
Dette er en sann historie, og dessverre finnes mange, mange tilsvarende, dog ikke med like heldig utfall. Av hensyn til vår kunde (som har samtykket til denne artikkelen for å advare andre bedrifter) er de anonymisert, da de ikke ønsker å fremstå med navn.
Noe er galt
I kartleggingssamtalen får vi vite at kunden heldigvis har et godt oppsett på serveren sin, som gjør at skadeomfanget er begrenset. Databaser og systemer er intakte, men en del av serveren som inneholder viktige filer er rammet. Filene har blitt kryptert (så de er uleselige) og har fått nye filnavn.
Her er et eksempel på hva en av filene ble omdøpt til: «pdf! ,–, Revert Access ,–, starbax@tutanota.com ,–,.BlockBax_v3.2»
Kunden informerer oss:
“Etter en del Googling fant vi de første omtalene av denne varianten av viruset ble publisert mandag 5/3. Vi ble infisert på kvelden den 7/3.
Det ble blogget at hvis du tok kontakt på e-postadressen, så var kravet 7 bitcoin (ca. en halv million norske kroner den gangen).”
Ondsinnede aktører jobber stadig med å forbedre og effektivisere ransomware, nettopp fordi dette er lønnsomt. Mange bedrifter betaler løsepengene, og dette gjør at kryptovirusene blir stadig mer utspekulerte.
“Uten backup hadde vi mistet filene.”
Hva nå?
Vi kunne bekrefte at det var denne dagen kunden hadde blitt infisert siden kundens backup hadde kjørt helt fint med oppdaterte, friske filer frem til og med dagen før.
Ransomware-varianten kunden var utsatt for var en ny, modifisert versjon av en tidligere, kjent versjon. Dette gjorde at det kom seg igjennom antivirus-programmet. Et annet sikkerhetssystem på serveren begynte plutselig å rapportere inn meldinger om uregelmessigheter, og slik ble utbruddet oppdaget. Hvordan serveren ble infisert er fremdeles ukjent, men skaden hadde skjedd.
Fjerning av viruset: Lettere sagt enn gjort!
Siden filene ikke var kritiske i dag- til dag- jobbing, kunne de ansatte fremdeles jobbe. I bakgrunnen jobbet IT-personellet på spreng med å få fjernet viruset og gjenopprettet gamle filer. Flere forsøk ble gjort, der de trodde de hadde fått fjernet viruset, slettet alle filer og hentet ned friske filer fra backup. Dessverre var de ikke kvitt viruset og filene ble gang på gang kryptert på ny.
Til slutt, etter nesten en ukes innsats valgte bedriften å kjøpe et program fra Enigma Software (Et sikkerhetsbyrå, ikke relatert til kilden viruset kom fra). Dette programmet var designet for å fjerne nettopp denne typen ransomware og fjernet det ved første kjøring.
Etter dette hentet kunden ned de nyeste, friske backupfilene fra oss (fra før viruset slo til), og normal drift ble gjenopprettet hos kunden.
Denne historien er fra det virkelige liv, og kunden er anonymisert siden de ikke ønsker å fremstå med navn.
Les også: Hva er ransomware, hvordan angriper det, hvordan beskytte seg og hva du kan gjøre når du er angrepet.
Hva hvis kunden ikke hadde hatt backup?
“Svaret på det er jo veldig enkelt. Uten backup hadde vi mistet filene. Eneste alternativet for å få dem tilbake ville være å betale løsepengene og håpe på det beste.”
Kunden
På mange måter gikk dette så bra det kunne for kunden, av flere årsaker. De to viktigste var et godt grunnoppsett på servere og systemer, som begrenset omfanget, og en god backupløsning med god historikk, og som sendte dataene ut av huset.
Lurer du på om din bedrift har et godt nok oppsett av backup? Ta gjerne kontakt med oss for en uforpliktende samtale, eller å kostnadsfritt prøve vår backupløsning.