Pomoc

Kontakt

Case Study
Przypadek zaszyfrowania danych na serwerze biura księgowego

Zaszyfrowanie danych firmy – co da się zrobić?

Zapraszamy do zapoznania się z przypadkiem zaszyfrowania danych na serwerze biura księgowego. Z jakimi konsekwencjami trzeba się liczyć w przypadku niewłaściwego podejścia do cyberbezpieczeństwa oraz co udało nam się zrobić w tej sytuacji?

Opis sytuacji i nasze działania:

Zgłosiła się do nas firma z bardzo poważnym problemem – ich serwer został zaatakowany i wszystkie dane zostały zaszyfrowane. To był ciężki cios dla ich działalności, grożący zakończeniem trwania biznesu. Dzięki naszym działaniom i szybkiemu reagowaniu udało nam się pomóc w tej trudnej sytuacji.

Działania które podjęliśmy:
  • ponieważ zdalna próba weryfikacji serwera się nie powiodła, został on przywieziony do naszej firmy i na miejscu potwierdziliśmy, że dane są 2-3 krotnie zaszyfrowane
  • poleciliśmy specjalistyczną, współpracującą z nami firmę, zajmującą się odzyskiwaniem danych, ale niestety nie była ona w stanie pomóc w tym przypadku
  • po zapłaceniu okupu przejęliśmy komunikację z atakującym i przystąpiliśmy do odtwarzania środowiska
  • pierwszy przekazany przez atakującego decrypter odszyfrował tylko część danych, dlatego konieczne było uzyskanie jeszcze drugiego i wtedy większość danych została odzyskania – niestety nie całość
  • odtworzyliśmy środowisko w takim zakresie, że firma mogła wrócić do działania i  zabezpieczyliśmy ją na przyszłość, wdrażając kopie zapasowe lokalne i w chmurze oraz zainstalowaliśmy dobrą ochronę antywirusową
  • zmodernizowaliśmy sieć lokalną i wdrożyliśmy urządzenie Mikrotik 
  • objęliśmy stałą opiekę nad całą infrastrukturą informatyczną firmy  
Wnioski:

Nie wolno lekceważyć zagadnień związanych z zagrożeniami w sieci. Brak weryfikacji zabezpieczeń środowiska informatycznego daje złudne poczucie bezpieczeństwa. Konsekwencją może być utrata danych lub konieczność zapłaty okupu, co i tak jak pokazuje powyższy przykład nie daje gwarancji odzyskania wszystkich danych.

Bardzo ważnym elementem jest cykliczne testowe odzyskiwanie danych z kopii bezpieczeństwa – te dodatkowe działanie ma na celu sprawdzenie, czy kopie bezpieczeństwa są właściwie, skutecznie wykonane i czy można je użyć w przypadku awarii lub utraty danych.