האם שרת עם אנטי וירוס מעודכן וחומת אש מצוינת, חסין מוירוס כופר ?

זהו שלא !!!

טיפול בוירוס כופר

חגי מתמודד עם וירוס כופר אצל לקוח

סיפור מהשבוע האחרון

חברה לא גדולה (לקוחה שלנו), עם מנהל טוב ואחראי, עם מערכת מחשוב מסודרת.

לכאורה, היה לו כל מה שצריך: אנטי וירוס מעודכן וטוב על השרת ועל התחנות, חומת אש איכותית בכניסה לרשת.

בנוסף, היה לו התקן אחסון מקומי ותוכנת גיבוי פעילה, שמגבה את השרת על בסיס יומי אל התקן האחסון מקומי.

 

לכאורה, נשמע טוב

כלומר , על פניו נראה שהכל מסודר.

אם אחת התחנות תקבל וירוס כופר צריך לשחזר את החומר מהגיבוי ובא לציון גואל.

תוכנת הגיבוי מגבה את החומר להתקן אחסון NAS, שהגישה אליו פתוחה רק מהשרת, כך שבמקרה שווירוס יפגע בתחנה החומר שלנו יהיה שמור בגיבוי.

השרת עצמו ממוגן מפני שחסמנו את הגישה אליו מכל העולם והשארנו גישה רק מכתובות ה-IP שלנו.

 

השרת קיבל וירוס כופר

בוקר אחד השבוע אנחנו מקבלים טלפון מהלקוח שכל המערכת קרסה, השרת לא מתפקד.

טכנאי שלנו התחבר אל השרת וגילה שווירוס כופר תקף את השרת וכל התיקיות שעליו הוצפנו.

כמובן שהאופציה לשלם כופר אפילו לא חלפה בראש שלנו והתחלנו לבדוק את המצב.

ידענו שיש גיבוי.

הבעיה היא, שיש גישה ישירה מהשרת אל המקום שבו נשמר הגיבוי וזה אומר שיכול להיות שגם הגיבוי נפגע ויש סכנה שהלקוח יישאר ללא כל המידע שלו.

 

איך הווירוס נכנס לשרת ?

הופתענו לגלות שווירוס הגיע ישירות לשרת. הרי אנחנו לא השארנו שום פתח מהעולם לשרת והגישה אליו הייתה אמורה להיות רק מהמחשבים שלנו.

בבדיקה על השרת גילינו שקיים משתמש בשם Clock שאנחנו לא מכירים.

בירור עם מנכ"ל החברה העלה שהם התקינו תוכנה של שעון נוכחות.

מסתבר, שהאינטליגנטים משעון הנוכחות, הגדירו על השרת משתמש בשם CLOCK ללא סיסמא ופתחו אותו לגישה מכל העולם.

זה כאילו שהצבנו שערי ברזל, גדר תיל ומוקשים להגנה ואז בא בעל מקצוע,עשה חור, גזר את הגדר והשאיר פתח ללא שמירה.

 

סוף טוב – במזל

למרבה המזל, הווירוס שתקף את השרת, לא תקף את התקן האחסון שעליו שמור הגיבוי וכך הוא ניצל.

הגיבוי האחרון היה מערב קודם, ביצענו שחזור של כל השרת והחומר חזר לקדמותו – עד הביט האחרון.

 

מסקנות:

  1. אסור להשאיר על השרת משתמש בלי סיסמא, עם גישה לכל העולם. זו פרצה שמזמינה את כל הצרות האפשריות. (כמובן שהעפנו את המשתמש הזה).
  2. שרת צריך להיות פתוח רק לכתובות מסוימות לצורך טיפולים מרחוק. כל שאר השערים – צריכים להיות נעולים.
  3. שם משתמש וסיסמא חייבים להיות מסובכים מספיק כדי שלא לאפשר לאף אחד אפשרות לנחש את שם המשתמש וסיסמא שלנו.

מומלץ גם גיבוי לענן:

סכנות רבות אורבות למידע שלנו, שריפה, גניבה של הציוד, הרס מכוון וכן וירוס כופר. שמירת המידע מחוץ לארגון, עם יכולת שחזור, תאפשר לארגון לשמור על המידע גם במצבים הכי קשים.