Výpadek 12.2.2023
Asi každý, kdo na fóru je, zjistil že se „něco“ 12.2.2023 v brzkých ranních hodinách odehrálo a poté následoval výpadek.
Příčinou problému byl ransomware.
„Ransomware je malware, který vám zašifruje soubory nebo vám znemožní používat počítač, dokud nezaplatíte výkupné. Pokud je počítač připojený k síti, ransomware se taky může rozšířit do dalších počítačů a úložišť v síti.“
A přesně jak ransomware popisuje Google, tak se i stalo.
Mám v provozu několik fyzických serverů, některé běží v rámci jedné serverovny, další zase v jiné geograficky oddělené lokalitě s jinou konektivitou aby se dal zajistit bezproblémový provoz. Na každém serveru běží prostředí VMware a jednotlivé projekty nebo jejich části jsou zprovozněné jako virtuální servery v rámci onoho fyzického stroje.
Kdo virtualizuje, ví, co to přináší za benefity.
Funguje replikace mezi servery na vmware vrstvě a zároveň je na každém serveru virtuální linux stroj který se stará o rdiff a rsync zálohování ostatních strojů. V případě problému by tak díky replikaci nebyl problém bleskově obnovit provoz.
Jenže.
Každý fyzický server byl napojen do centrálního vmware vcenter rozhraní. Takový monitoring, kde se dají ovládat jednotlivé servery z jednoho místa. Některé servery, obzvláště ty zálohovací nebyly ani dostupné v internetu. Existovalo tam pouze interní LAN rozhraní s přístupem na jednotlivé servery.
Ransomware přišel právě z toho centrálního rozhraní. Nezašifroval data uvnitř virtuálních strojů, k datům se ani nijak nedostal.
Byl zašifrován rovnou celý virtuální stroj.
A ať jsem paranoidně posedlý zálohováním jak chci, že ženu data do několika míst současně, v tomhle případě to bylo houby platné.
V jednom okamžiku spadl každý virtuální server a díky centrální správě to samé na všech serverech najednou!!.
ANO, BYL ZAŠIFROVÁN I HLAVNÍ ZÁLOHOVACÍ včetně těch kde by se cokoli k obnově dalo najít. Prostě VŠE.
Mypower dopadlo ještě dobře.
Na tom jsem aktivně dělal a měl jsem úplnou náhodou vytvořenou zálohu na jednom fyzickém stroji k 5.2.2023 a ten byl v době útoku zcela vypnutý.
Nebýt jí, nemáme nic, nebo dosti staré.
Někoho by napadlo, když už byl výpadek, že by se dala v klidu nasadit nová verze fóra.
Psal jsem, že se už dokončují jen detaily a jinak vypadá funkčně.
ALE.
Já jsem fungoval stylem RDP (Vzdálená plocha).
Tzn na serveru mi běžela instance windows a linux a pak jsem se notebookem či jiným RDP klientem připojoval tam kam jsem zrovna potřeboval. Veškeré potřebné data jsem měl tak k dispozici ať jsem byl kdekoliv.
Pozornější si všimnou… „tzn na serveru mi běžela…“ Já si to asi půjdu hodit.
ANO, přišel jsem komplet o vše. Nemám nic. Veškerá práce nejen zde pro mypower je v pr…
Ale mypower běží, sice se vrátilo o pár dnů „zpátky do minulosti“.
Kdo napsal na fórum nějakou blbost, tímto dostal možnost si svůj příspěvek napsat znovu a tak jak by chtěl..
Dal jsem si 2 dny v kuse bez spánku, vypadal jsem pak jak zombie.
Začínám se smiřovat se ztrátou, na nadávky svých zákazníků, kteří u mě měli doteď spokojeně svá data už jsem si zvykl.
Bohužel s tím už nic neudělám. Je to jak když rusko pošle raketu na ukrajinu. Zasáhnou cíl a je konec.
Originál zašifrované data stále jsou.
Nebyl jsem sám, ten den se začalo i na stránkách přímo vmware ukazovat info o útoku.
Na internetu se začínají ukazovat různé návody které data dešifrují. Je ale více mutací a na tu moji zatím žádný nejde.
Bude to snad jen nějaká blbost. Aktivita serveru v době útoku nijak nevyrostla a šifrování/přepis např 100GB souboru který odpovídá velikosti disku virtuálního stroje by musel trvat nějakou dobu.
Budu se snažit dále data získat.
Zde na fóru mimo několika příspěvků za těch pár dnů nechybí nic.
Některé servery mělo obohacené vmware html UI o tento text.
Veškeré šifrované soubory jsou obohacené na konci o koncovku .iFire a v každé složce je umístěn soubor iFire-readme.txt který obsahuje
Kód: Vybrat vše
cat iFire-readme.txt
********************Your network has been infected!!!********************
IMPORTANT : DO NOT DELETE THIS FILE UNTIL ALL YOUR DATA HAVE BEEN RECOVERED!!!
All your important files have been encrypted. Any attempts to restore your files with thrid-party software will be fatal for your files! Restore your data posible only buying private key from us. We have also downloaded a lot of private data from your network. If you do not contact us in a 5 days, we will post information about your breach on our public news webs.
You should get more information on our page, which is located in a Tor hidden network.
1.Download Tor browser - https://www.torproject.org/
2.Install Tor browser
3.Open link in Tor browser : nxx3cy6klj9ae2s5ejbj47cv6xuak3bgncllqd.onion
4.Follow the instructions on this page
Your account on our website
*************************************************************************
username: Sm$6ngcGP|
password: ns-ZLhj8hD4b{j@
ATTENTION:
1.Do not try to recover files yourself, this process can damage your data and recovery will become impossible.
2.Do not waste time trying to find the solution on the internet. The longer you wait, the higher will become the decryption key price.
3.Tor Browser may be blocked in your country or corporate network. Use Tor Browser over VPN.
Lidi, i když si myslíte že je vaše řešení nenapadnutelné.
Vymyslete ještě další, zcela nezávislé a zálohujte.
Zálohujte ideálně i na stroje které budete vypínat a spouštět jen na dobu zálohování.
Nespoléhejte na velká řešení, které vypadají, že by tam žádný problém být nemohl.
Nikdy by mě nenapadlo že mi to složí najednou několik serverů které jsou i úplně jinde.