Личный опыт
27 апреля 2021«Мы из Беларуси, у нас нет таких денег» — как защитить данные, чтобы не пришлось платить хакерам
Писали в поддержку антивирусной компании, просили помощи у сторонних фирм, вели переписку с хакерами и даже торговались с ними - такой путь проделала команда «Пневмотехцентр», чтобы спасти свои клиентские базы. Директор компании Александр Матвейчев рассказал «Про бизнес» о том, как все же удалось вернуть данные и что поменялось в компании после этого непростого случая.
«Был чудесный воскресный день...»: как мы потеряли данные
- Наша компания занимается реализацией пневматического и строительного оборудования, работает на рынках Беларуси, России и Казахстана - в компании свыше 80 сотрудников. Мы храним нашу 1С-базу на сервере. В ней вся бухгалтерия, с базой плотно работаем каждый день.
Однажды в выходной день в конце января база стала работать некорректно - отключилась синхронизация и автоматизация. Специалист зашел на сервер и обнаружил файлы с измененным расширением - т.е. зашифрованные. Помимо базы мы потеряли доступ к системным файлам, CRM, документам, архивам за прошлые годы работы компании и даже к корпоративным фотографиям.
Прямо в именах зашифрованных файлов был указан некий e-mail, по которому можно было связаться с шифровальщиком.
Подчеркну - мы тоже не дураки и регулярно делали бэкапы. Но из-за настроек сервера получилось так, что сами бэкапы тоже оказались зашифрованы и ничем не могли нам помочь.
«От $ 250 за небольшую базу»: как мы пытались расшифровать данные
Утром в понедельник мы смогли частично восстановить информацию. Всю систему переустановили с нуля: 1С, SQL-сервер, софт. Две ключевые базы 1С у нас также хранились на Google.Диске. Около 60% утраченных данных мы смогли восполнить.
Мы стали искать варианты для расшифровки остальных данных. Сначала написали в поддержку компании, у которой приобрели антивирусное ПО. Но, к сожалению, после длительного ожидания получили ответ, что нам ничем не могут помочь - мол, шифрование высокого уровня, и пока у компании нет дешифровщиков для него.
Потом мы обратились в несколько фирм, которые оказывают услуги по восстановлению данных.
У нас было утрачено 12 баз разного объема. За восстановление каждой крупной установили прайс в 60 тыс. рос. руб. ($ 770), а те, что меньшего объема, готовы были восстанавливать за 20−30 тыс. рос. руб. ($ 260−390). В целом выходила немалая сумма. К тому же мы прочли, что такие фирмы связываются с хакерами и платят им за расшифровку - т.е. просто становятся посредником.
«Беларусь - небогатая страна»: как мы торговались с хакерами
Мы решили попробовать вариант для отчаянных в надежде, что получится дешевле, - скопировали адрес почты из названий зашифрованных файлов и написали на нее письмо. Вскоре нам ответили:
«Мы можем все расшифровать, но это будет стоить $ 2000».И в качестве доказательства расшифровали для нас один из файлов.
Переписку с хакерами мы вели на английском в течение недели. Общались по почте и в Telegram. Всего в цепочке 89 писем.
Мы выяснили, что у шифровальщиков - своя внутренняя организация. Есть менеджеры, которые ведут переписку, а также хакеры, которые занимаются непосредственно расшифровкой. Судя по скриншотам, которые мы от них получали, действовали люди из арабских стран.
Причем тот, кто общался с нами постоянно, делал вид, что он - не виновник наших злоключений, а помощник. К нам относились как к клиенту.Мы долго не могли поверить, что решимся платить хакерам. Это то, чего никто делать не советует. Но все другие доступные методы мы испробовали - безрезультатно.
Поэтому решили торговаться - мол, ребята, мы компания из Беларуси, это небогатая страна, мы не можем заплатить такую сумму. В итоге нам удалось договориться на $ 400.
Платить нужно было в биткоинах - мошенники не давали шанса себя отследить. Мы так и сделали - перевели $ 400.
Но после этого нам сказали, что ключ для расшифровки не дадут, пока мы не перечислим еще $ 400, т.к. у нас много файлов. Мы понимали, что так может продолжаться бесконечно: мы им один транш, а они потребуют следующий.
18 дней мы работали без важных данных. Это порождало огромные убытки для компании. Речь шла о десятках тысяч долларов. 35 менеджеров не могли работать.
«Спасибо, что доверяете»: как хакеры все-таки вернули нам базы
Мы решились на отчаянный шаг и заплатили хакеру снова. Предварительно проговорили, что больше с нашей стороны никаких платежей не будет ни при каких условиях.
После перевода еще $ 400 нам прислали ключ для расшифровки файлов. При этом поблагодарили за доверие - весельчаки.
Ключ включал множество символов - не только цифры, но и буквы различного регистра, а также значки. Дешифратор мы запускали на отдельном компьютере без интернет-соединения, т.к. опасались, что это может быть какой-то вирус, который заразит всю нашу систему.
Но файлы благополучно удалось расшифровать. Повезло, что мы ничего сами не меняли в их расширении и названиях, иначе спасти данные не получилось бы.
Мы скопировали файлы с компьютера и полностью переустановили систему. На этом эпопея с восстановлением данных завершилась.
«Вирус не спрашивает, к кому идти»: как мы теперь защищаем данные
Мы стали искать причину уязвимости нашего сервера. Оказалось, что разработчики, которые работали с нашей 1С, занесли вирус-шифровальщик прямо на сервер. И так как у них был доступ ко всем системам, заражение коснулось всего объема данных.
Мы связались с программистами и выяснили, что они столкнулись с той же проблемой - данные на их серверах тоже были зашифрованы.
Конечно, мы хотели добиться справедливости и пытались получить компенсацию с разработчиков. Но те ответили: «Вирус же не спрашивает, к кому идти». К сожалению, ответственность подрядчика на такого рода случаи не была прописана в договоре.
Что мы поменяли после истории с шифровальщиком:
- Перенастроили сервер так, чтобы при заражении одного сегмента не страдали другие. Таким образом мы защитили бэкапы. Для перенастройки привлекли эксперта, решили обойтись без самодеятельности. Лучше заплатить профессионалу, чем потом платить хакерам
- Все наши базы и прочие данные выгружаем в облачные хранилища - раз в сутки делаем резервное копирование на Google.Диск
- С подрядчиками, которым предоставляется доступ к системам и серверу, подписываем договоры с четко зафиксированной ответственностью в случае заражений и утечек
- Регулярно меняем пароли во всех системах и личных кабинетах, проверяем, отключены ли доступы уволившихся сотрудников
- Прописали четкий алгоритм действий на случай, если с сервером и данными на нем что-то случится - теперь в течение 1−2 часов мы можем полностью восстановить работу.