Петя — почти неделю спустя, кибер оружие, backup Шредингера или что не так с Украинским(?) бизнесом

Вот уже прошла неполная неделя со Дня П, когда вирус Petya.A/NotPetya поразил огромное количество компьютеров в Украине и по всему миру. Сумма убытков внушительная, много новостийных поводов — даже в телевизоре на ток-шоу выступают персонажи из “киберполиции” Украины и рассказывают “какие они молодцы” (от них возникает двойственное ощущение — хорошо, что они есть и “иногда лучше жевать чем говорить”).

Преамбула

Меня этот вирус затронул лично (не подумайте, что я пострадал или потерял часть данных, или это произошло с кем-то из моих коллег — насколько мне известно, это не так). Это второй случай такой массовой эпидемии которую я наблюдаю очно (первым был OneHalf — Андрей, помнишь как ты его нашел на моем компе? Да, это было в прошлом веке).

У нас на работе вирус “поймал” один комп — бухгалтера. Предположительно “пришел” через Medoc. Следуя чутким инструкциям киберполиции Украины (и не только) компьютер был успешно “привален” (то ли это наша специфика, то ли инструкция по восстановлению MBR была написана для конкретную ОС и разбивку дисков и это никто не указал — не знаю).

Как мы лечились

Далее, мы отключили компьютер от сети, загрузились с flash’ки (Hiren’s CD и иже с ними), сняли копию важных данных (на всякий случай), купили новый SSD диск (кажется, это был последний компьютер у нас с HDD диском) и подключили его вместо старого, “налили” на компьютер Windows 10, установили trial антивируса Eset Nod32, подключили зараженный HDD и “полечили” его, а также все flash’ки на которые копировали данные с зараженного компьютера, подключили компьютер к сети. Установили Microsoft Office, 1C и прочие клиент банки, восстановили из back’ов актуальные данные и решаем что будем делать с отчетностью (ибо сайт Medoc по прежнему не доступен).

У нас — эпидемия!

Да, мы небольшая ИТ компания, да у нас есть backup’ы (корректнее, конечно, писать “архивные копии”, но backup’ы мне как-то ближе) важных данных (даже для 1С). Но почему, почему, черт возьми этого нет у большинства малых и крупных организаций (или я не понимаю как объяснить тот бардак, который за эти 5 дней я наблюдаю вокруг)!? Почему, объясните мне пожалуйста, “крутая” поликлиника “потеряла” все данные за 2 месяца (не 100% информация, но так говорят у них на reception — наберут вручную с бумажных копий), почему “крутая” компания по доставке воды 5 дней не принимает заказы, а слухи о переводе Чернобыльской АЭС на ручное управление?, а крутой коммерческий банк который спустя 3 (ТРИ!) дня гордо заявляет что они теперь снова могут проводить платежи клиентов, а производитель (логистик?) “молочки” который прислыает спустя 4 дня не то, что заказывали и с накладными написанными от руки, а эти слухи про аэропорты? Это первые факты о последствиях “Пети”, которые пришли мне в голову. Конечно же, пострадавших бизнесов (и частных лиц) намного больше.

Как же так!?

У меня только один вопрос к собственникам и руководителям бизнесов. Как же так!? У вас что нет копий важных данных, или нет ИТ’шников, которые могут продумать и организовать систему восстановления на случай форс-мажора (тот самый “disaster recovery plan”) или у вас backup’ы делаются на тот же компьютер, или на сервер в той же сети? В любом случае, добро пожаловать в (киберпанк) постиндустриальное сообщество, в котором мы живем.

Думаю, что все у всех было (особенно у крупных компаний): и ИТ’шники, которые знали как и что нужно правильно делать, и backup’ы чего-то делали и даже восстанавливали с них (возможно) что-то. Тогда почему так много пострадавших?

Ответов несколько:

1. Backup Шредингера — (состояние backup’а не известно, пока не будет попытки из него что-либо восстановить). Т.е. архивные копии вроде как есть, но из них давно (никогда?) ничего не восстанавливалось.
2. Backup — это дорого. Нужно куда-то что-то копировать, за всем этим смотреть, иногда пробовать из него восстанавливать и т.д. Здесь каждый сам решает как поступать (или что дешевле — потерять часть данных или тратиться на backup’ы). Например, в Российской интернет компании на букву Y проводят т.н. учения — это когда они отключают (сами!) целые датацентры (т.е. десятки серверов) и проверяют как они выживут в таких условиях. Также себя ведет Netflix и многие другие игроки.
3. Backup — это не всегда возможно. Тот же пример с ЧАЭС. Если у вас есть специализированное решение частью которого является компьютер (а особенно к которому нет доступа), то и делать архивные копии такого решения, скорее всего, затруднительно (см. медицинские приборы, станки с ЧПУ, но банкоматы, насколько мне известно, — сделаны совсем по другому принципу, в них то есть доступ к операционной системе).
4. Microsoft Windows и ее система обновлений. Многие ИТ’шники знают, что после установки обновлений через Windows Update на компьютере могут проходить настоящие “чудеса” — появляются ошибки в старых программах и Windows, замедляется работа операционной системы и т.д. (Не верите? Приходите — лично расскажу истории из нашего мира Java на Windows серверах). Я знаю достаточно много ИТ админов которые выключают систему автоматического обновления для серверов на базе Microsoft Windows.
5. Старые версии Windows — я про XP, Vista и даже Windows 7. Для многих из них нет обновлений безопасности или они были отключены. А кроме того, в старых ОС достаточно слабые встроенные системы защиты (я про Windows firewall, Defender или даже Security Essential).

В сухом остатке

Итого, по совокупности факторов, получаем: человеческий фактор (лень, непонятные состояния backup’ов, отсутствие или не выполнение ИТ политики в плане архивирования данных) и финансовую составляющую (стоимость создания и “владения” backup’ами — их же нужно проверять, хранить, в идеале выборочно хранить в других помещениях, платить ИТ’шникам и т.д.) с одной стороны и технические моменты с другой (старые ОС, отключение/частичное обновление Windows Update, аппаратные решения на базе Windows, которые невозможно обновлять). Это и привело к таким катастрофическим последствиям.

Обратите внимание, я нигде не пишу об отсутствии антивируса. Он, скорее всего, Вас бы не спас как не спас нашего бухгалтера (да, у него был антивирус). Возможно, решения от защиты перезаписывания MBR спасли бы (кажется в каких-то BIOS’ах на laptop’ах такое есть), но кто же знает, что будет атаковать следующий вирус? Антивирусы — это немного идеологический вопрос. Т.е. все как бы понимают и соглашаются, что они нужны, но как по мне, так “родной” firewall + Windows Defender для 10'ки — вполне будет достаточно.

Мама, я в будущем!

Если Вы думаете, что “Петя” пройдет и все будет как раньше, то у меня для вас плохая новость. Скорее всего, это была только “первая ласточка”, “проба пера”, “кибер оружие” и т.д. Далее пойдут мои досужие домыслы:

1. Я полностью согласен с мнением, что “Петя” был предназначен не для сбора выкупа, а для нанесения ущерба:
   1.1. Один способ связи с автором (email, который быстро заблокировали).
   1.2. Способ распространения (если информация, о том что он был распространен через Medoc — это правда) и выбор тех файлов, которые он повреждает: документы Microsoft (Word, Excel), pdf, архивы (zip, 7z, rar), dbf файлы (привет 1С?). Это то, что я наблюдал. Если верить Лаборатории Касперского, то вот список расширений файлов, которые могут быть зашифрованы: .3ds.7z.accdb.ai.asp.aspx.avhd.back.bak.c.cfg.conf.cpp.cs.ctl.dbf.disk.djvu.doc.docx.dwg.eml.fdb.gz.h.hdd.kdbx.mail.mdb.msg.nrg.ora.ost.ova.ovf.pdf.php.pmf.ppt.pptx.pst.pvi.py.pyc.rar.rtf.sln.sql.tar.vbox.vbs.vcb.vdi.vfd.vmc.vmdk.vmsd.vmx.vsdx.vsv.work.xls. При этом в данном списке нет файлов для SQL Server’a (.mdf) на котором также работает 1С. Забыли? Или вирус таки не был нацелен на бухгалтеров и Medoc просто “попал под раздачу”?
2. Если верить этой статье, то злоумышленники сделали следующее: взяли (купили?) код вируса Petya, слегка модифицировали его для нанесения максимального ущерба (даже без возможности расшифровки и восстановления данных) и выпустили в “свободное плавание”.
3. “Успех” вируса связан с эффективным способом доставки (я снова “тыкаю” пальцем в Medoc), хотя изначально, кажется, говорили о трех векторах атаки — адресная email рассылка по банкам (от никого никому — т.е. через BCC), инфицирование по локальной сети (та же самая “дыра” что и в Wanna Cry) и через Medoc.

А теперь представьте себе, насколько сложно будет повторить подвиг “Пети” в недалеком будущем? Да запросто! Нужно будет только снова найти эффективный канал заражения. Возможно, это будут Ваши iPhone’ы или Android телефоны, или MackBook’и, или даже сервера Linux, но мне кажется это маловероятно. Если цель нанести максимальный урон (бизнесу), то нужно бить в самый широкий сегмент — операционную систему Windows.

В общем, думайте и считайте убытки и решайте нужны ли вам backup’ы или будете ждать Petya2.

Внезапная часть 2 — Петя не виноват …

P.S. Нет, я лично и наша организация не занимается подобного рода решениями — пишите, посоветую кого-то из знакомых (мы — разрабатываем программы для автоматизации бизнес процессов и не только :).

P.P.S. Насмешила позиция Приват банка с их Linux’ом. Они разве не поняли, что им “просто повезло”. Т.е. если бы атака была адресно на Приват банк, то, возможно, нашли бы эффективный способ инфицирования и их версии Linxu’a (ну не верю я, что у них apt-get update/upgrade у всех пользователей каждое утро и все “дырки” закрыты). В этом свете гораздо эффектнее выглядит позиция крупных банков на Windows которые выстояли несмотря ни на что.

P.P.P.S. Очень странно выбрана дата запуска атаки — перед выходным. Мне кажется, что урон в понедельник был бы выше (а так за день конституции многие успели восстановить работоспособность систем :).

P.P.P.P.S. Это только у меня одного эти “паранойские” мысли пробегали про запрет некоторых антивирусов (в том же указе что и 1С с Yandex’ом :)?

P.P.P.P.P.S. Куда делать backup если вы частное лицо? Смотрите в сторону CrashPlan, IDrive и прочих BackBlaze. Если вы хотите обойтись полумерой — смотрите в сторону аппаратных (или гибридных) решений таких как My Cloud от Western Digital.