Ransomware... otra vez!!

Hace unos días llegó a Nexa un contacto del interior del país pidiendo apoyo con un ataque de Ransomware que ya había comprometido gran parte de las computadoras, algún servidor y, por supuesto, los "respaldos".

Nuestra respuesta a esto siempre es la misma, "no paguen el rescate".

A lo que continúa, "decime por favor que tenés respaldos en lo posible fuera de línea",  a lo que en la gran mayoría de los casos la respuesta es la misma, "NO".

La parte "nerd" de este post está al final :)

En otro momento escribiré un poco más sobre los riesgos que impone un Ransomware y por qué es TAN importante trabajar los temas de seguridad defensiva en las empresas sin importar el tamaño de la misma.

Para tomar conciencia

Otra empresa, de Montevideo, sufrió un ataque de Ransomware que encriptó absolutamente toda la empresa, incluyendo los respaldos que estaban en un servidor NAS y la segunda copia de respaldos que estaba en otro servidor NAS. Es decir, esa empresa no tenía absolutamente ningún dato digital. Solo imaginemos un segundo: llegar a la empresa y que no haya nada, ni mail, ni base de datos, ni sistemas, nada.

En esos casos, ¿Qué hacemos? ¿Cerramos la empresa para siempre? ¿Cuál es el riesgo que ustedes ven si esto les pasara?

Volviendo al caso

Bueno, volviendo al contacto que recibimos de esta empresa del interior del país, teníamos la urgencia de ayudarlos a identificar el Ransomware, ver cómo era el comportamiento del mismo y saber si existía alguna posibilidad de revertir o recuperar la información.

Al estar remoto lo primero que hicimos fue pedirles la evidencia que ya tenían y conocer cuáles habían sido los pasos que habían seguido hasta ahora. Y, gracias a la buena acción de un técnico local, habían removido los discos infectados para poder analizarlos.

El Ransomware, que deja los archivos con extension .bigbosshorse, no parece tener una identificación específica o única pero puede ser conocido como AD.RansomHeur o Heur.Ransom por diferentes productos de Antivirus.

Una particularidad de este Ransomware es que elimina las Shadow Copy de Windows.

En fin, cómo seguimos diagnosticando de forma remota este problema le pedimos al técnico local que deje disponibles una computadora con Linux (Ubuntu en este caso) y conectara uno de los discos infectados.

Una vez que logramos acceder a la computadora con Ubuntu y uno de los discos infectados procedimos a hacer análisis -disclaimer: el trabajo se hizo sobre un disco clonado del original infectado-. Evaluamos el disco, la partición original, los archivos y las posibilidades de desencriptación, resultado: Nulo. No teníamos chance de recuperar.

Decidimos buscar los Shadow Copy, y para beneficio de esta empresa, aún había cuatro -4- copias. Recuperamos la info!!


Y de ahora en más lo nerd.

¿Pero cómo hacemos para trabajar con las Shadow Copy en Linux?

Existe un proyecto de código abierto llamado libvshadow (https://github.com/libyal/libvshadow) que permite operar con las Shadow Copy de Windows.

El primer paso, verificar y listar las shadow copy disponibles:

# vshadowinfo /dev/sdb2

Este comando nos va a listar información:

     vshadowinfo 20130130

     Volume Shadow Snapshot information:
             Number of stores:       2

     Store: 1
             Identifier              : 93db9c47-bb19-4004-836d-c3c835550b9a
             Shadow copy set ID      : 8bc68d0b-9df4-49e0-be4b-725dceaaefc8
             Creation time           : May 19, 2012 14:20:35.765721000 UTC
             Shadow copy ID          : 04057e11-d2d5-4d9c-8914-aeba832e467b
             Volume size             : 30002905088 bytes
             Attribute flags         : 0x00420009

     Store: 2
             Identifier              : 93db9c47-bb19-4004-836d-c3c835550b9a
             Shadow copy set ID      : 90e19848-7436-4309-8899-4bbecf05a566
             Creation time           : May 19, 2012 16:13:58.750469800 UTC
             Shadow copy ID          : 6db2bc5e-9b95-4ed1-a493-091ee7d2e5e6
             Volume size             : 30002905088 bytes
             Attribute flags         : 0x00420009

Con esto podemos verificar que este disco en particular tiene 2 Shadow Copies.

Una vez validado que contamos con copias, procedemos a montar el volumen que nos va a dar acceso a cada copia. Para ello ejecutamos:

mkdir -p /mnt/vss
vshadowmount /dev/sdb2 /mnt/vss

Si estamos trabajando con una imagen raw del disco es posible que precisemos realizar un offset, para ello debemos ejecutar el vshadowmount de la siguiente forma:

vshadowmount -o 524288 image.raw /mnt/vss

Una vez ejecutado correctamente el mount, vamos a poder acceder a ambas copias de vss, para ello es necesario también montar cada copia en un directorio diferente:

# mkdir /mnt/vss1
# mkdir /mnt/vss2
# mount -o ro /mnt/vss/vss1 /mnt/vss1
# mount -o ro /mnt/vss/vss2 /mnt/vss2

De esta forma vamos a acceder a cada copia en las carpetas /mnt/vss1 y /mnt/vss2 respectivamente.

Es necesario montar las copias como solo lectura (-o ro) ya que sino van a recibir un error de permisos.

Espero les sea de utilidad. En el proyecto libvshadow existe la documentación del mismo donde pueden obtener más información: https://github.com/libyal/libvshadow/wiki/Mounting

Y ustedes, ¿Han sufrido Ransomware? ¿Han podido realizar recuperaciones?

Nos gustaría escuchar vuestra experiencia: