勒索病毒可以攻擊企業到什麼地步?答案是四重勒索
- 加密檔案
- 檔案外流
- 分散式拒絕服務攻擊
- 致電恐嚇
最終的目的就是逼你付錢,畢竟加密檔案有備援,檔案外流有公司不管,只好用分散式拒絕服務攻擊癱瘓受害者,以及致電給受害者供應商、客戶,告訴它們資料要外流了,看看不付錢的受害者多不在乎資訊安全
在新聞上看到的對公司運作沒有影響,立即強化資安通通都是假的,實際情況比各位看到的還要嚴重。如果說有受影響,對股價、形象會有很大損失,甚至有些根本不說
就算沒有四重勒索,光是檔案加密就有得搞了,例如2020年永遠改變一生的phobos勒索病毒,這絕對是這場30天夢境裡經歷過最恐怖的夢魘
4/1台北公司因為打雷,導致前端老舊UPS損壞,連同上面的email server損壞
幸好有簽硬體保固,請台北SI更換備用機後解決
機器隔天更換完主機板又送了回來,這也讓我思考之後規劃HA架構
4/2在床上和老婆們打滾,4/3按照連假慣例,早上連回公司看一下有什麼伺服器業更新
不連不知道,一連嚇一跳,AD主機跳出「All your files have been encrypted due to a security problem with your PC.」如果當時有穿戴裝置可以偵測到壓力值,那劑量表已經爆炸了
公司只有一個工具人,外加一位已經回老家的助理,近乎滅村的情況在眼前發生
開著小P狂奔前往公司救火,想著自己的職涯在此終結,日後只能在牢裡度過,腦袋轟隆作響,打電話給老闆兒子回報狀況
高速公路還剛好有紅斑馬做雷射測速照相,幸好雷達提前示警,才免於收到罰單
到達公司後直接衝進機房查看情況,這絕對是地獄景色
- 所有開啟的電腦被加密
- 正從網路芳鄰擴散到網路磁碟機
- 台灣+昆山AD陣亡
- ERP、CRM等商用軟體陣亡
除了email server還活著外,沒有一處是完好的。除了把看到的電腦關機外,只能往牆上捶了幾拳,痛恨自己的無能。以為自己懂了很多,沒想到根本不堪一擊;以為只要有裝防毒、搭配卡巴斯基救援工具就能高枕無憂,只是對自己太過自信
一邊悔恨之餘,一邊把被加密的檔案與勒索信件檔上傳到ID Ransomware,抱著渺茫的希望看看有沒有解密的機會
只見網站出現斗大的幾個字:無法解密
「明明已經把對外RDP關了,到底是怎麼來的?」雖然是連假,但僅僅只有四天的時間可以復原。清明節大家回去掃墓,我在掃公司的墓……
「反正都被破壞了,看看還有什麼能用吧。」雖然前面極度的憤怒與無助,此時突然樂天了起來,感覺自己是斷垣殘壁中的救援隊,正要拯救世界
首先call了一般軟硬體的SI、C男、昆山外包IT,將所有電腦重灌,並立刻聯繫那間公司的工程師,隔天馬上到台北協助ERP等系統重建
隔天到了公司,一起檢查哪邊出了問題……
SI:「你這防火牆有開對外RDP。」
我:「??????」滿臉問號,怎麼可能開?我不是都請台北外包的C男全關了
我:「C男,防火牆你管的,怎麼會開RDP?」我已經氣到不想發飆了
C男:「這是開給老闆兒子的,他假日要連進來。」平靜地說出最不想聽的幾個關鍵字,老闆兒子、對外遠端
我:「這開了就完了,駭客整天在網路掃描啊!」僅露出萬分之一的不滿向他抱怨
C男:「我有把預設埠3389改到別的埠。」看來他還沒意識到自己做了什麼鳥事
我:「改埠有用的話世界上就沒有駭客了……」
終於知道入侵管道了,此時那間公司的工程師查看了所有備份發現全部被加密,唯一有的就是前一天的資料庫備份。因為駭客進來後先把虛擬機刪除,讓連接在虛擬機上的硬碟與主機脫鉤,真的是運氣爆棚避免破產。如果因此這輩子沒中樂透我也甘願
接下來就是超級無敵的漫長重建過程:
- 因為Datacore要等上班後才能請原廠重灌,虛擬機才能重新安裝,因此先將主機暫時用iSCSI的方式架在NAS上
- 將AD、所有同仁電腦重灌(隔天我跑回桃園重灌)
- 將主要NAS利用快照還原檔案,沒還原的部份從備份NAS將資料倒回
也只能這樣了,緩慢的重建之路就這樣爬呀爬地花了兩個禮拜終於初步有成,最後花了一個多月將所有主機恢復正常。至少ERP上班時就能直接用,也只有損失一天的資料,真的是不幸中的大幸
從此以後,我開始實行半獨裁制,也開始不管那些前輩說「我們只是資訊收集窗口,把問題反應給廠商」,相信自己的雙手以及知識,才能建立完美的架構。這種近乎偏執、不信任人的信仰,也是從這個時候開始萌芽,只是只有在私底下設定伺服器規則時才會顯露,平常還是給人樂呵呵的模樣
畢竟,地獄的景色我再也不想看到了