如何用4天使用驱动器下载攻击锁定整个城市的数据

  • A+
所属分类:安全资讯

除非我们直接接触,否则我们并不知道停机事件的痛苦和成本。

无论是洪水,电气故障,ransomware攻击还是其他广泛的地理事件; 我们不知道如何恢复IT基础设施真的很喜欢,除非我们不得不自己做。

我们来看待别人的备份和恢复问题,希望我们能够更聪明,更聪明,不要让我们发生。

从停机事件中恢复包括不便,额外的工作,尴尬和是的,真正的痛苦。

ransomware攻击是一个很好的例子。

Unitrends是一家专门从事备份和业务连续性解决方案的美国公司,最近与我们分享了一位客户的真实事件,描述了在对美国城市进行CryptoLocker攻击后恢复功能所需的步骤。

此外,如何花费他们的生产日子和数百个工时来恢复。

挑战

伊萨夸是美国华盛顿30343人的小城市。据“福布斯”报道,他们是华盛顿州第二快速发展的郊区。

IT经理John T领导着一个由五名员工组成的团队,他们执行与该市IT治理团队共同开发的所有IT计划。约翰的团队管理所有技术,从手机,网络,服务器,桌面,应用程序和云服务。

该市只有两名信息技术人员致力于基础设施。约翰说:“我们的传播如此之薄,日志不被一直监控。“我们正在慢慢地从IT投资不足十年中恢复过来,并且大量积压了软件,硬件和网络升级。”

部分投资不足的是,他们继续依靠使用Backup Exec的十岁的磁带机。

他们继续绊倒,直到他们被CryptoLocker ransomware攻击。

感染

“归根结底,我们相信,这个ransomware攻击源自一个单一城市员工访问的”驱动“,并打开了一个在非营利组织运行的资助协调网站上被妥协的.pdf文件,这不是一个不常见的风险 - 一个没有IT资金的小型公司或组织网站,以跟上当今光速世界的安全隐患。“

“用户日志文件中的大多数条目都是无害的,虽然这种病毒的工作原理,它可能已经被下载,但仍然需要由用户执行,它可能已经坐在硬盘上几个星期(看起来像一个.pdf)在执行之前,虽然我们需要采访用户,看看她是否记得这样的东西,这个ransomware似乎禁用了我们的反病毒系统,并且已知可以删除所有的痕迹一旦完成。

“这个病毒只在PC内存中运行,并没有在我们系统中的任何其他设备上启动,它只会攻击用户PC上的文件夹中的Microsoft Office,图像,.pdf和文本文件,以及用户必须一旦PC以安全模式重新启动,它就停止对文件进行加密。传播不足可能是由于病毒被设计为仅存储在内存中以防止触发警报,或者因为我们的防病毒软件被拦截其他设备,因为它试图传播。“

“托管该文件的物理服务器还托管了五个关键的虚拟应用程序服务器,经过仔细的分析,确定这些服务器没有受到影响,我们立即将这些虚拟机移动到不同的主机上,这是在启动服务器恢复之前完成的减少文件服务器主机上的处理器和NIC负载。

“当我们开始文件服务器恢复过程时,它很快就变得很明显,需要很长时间,四天之后,事实证明,快速分析显示我们没有其他选项可以还原文件服务器,backup.exe设备工作,在恢复过程中从未失败或停止,似乎恢复的规模对于设备容量来说太大了,而且不得不打破锻炼,使得过程非常长。

“幸运的是,这次袭击发生在星期四,所以只有星期四和星期五的办公室生产力都在下降,即使如此,我们的使用者也受到非常的负面影响,并且非常的不安(我们同样如此),导致资金被转移到一个现代的备份设备 “。

真正的成本从Ransomware攻击恢复

“高管人员同意资助升级备份系统,经过供应商选择过程,我们选择了我们认为是最佳组合功能和容量与合理成本。”

如果今天发生同样的Ransomware攻击,并在Unitrends Recovery Series 933S设备上备份数据,结果将会有很大的不同。

首先,攻击将很快被发现,因为所有的Unitrends设备都包括预测分析软件和机器学习,这将自动识别ransomware对备​​份文件的影响。

然后,电子邮件将自动发送给管理员警告该攻击并识别受影响的文件。那么他们实施的灾难恢复计划将被执行。其次,删除,重新安装受影响的文件和重新启动受影响的服务器将需要几分钟,而不是几个小时,也可能不是四天。

关键应用程序可能已经在备份设备上使用在感染前进行的最后一次良好的备份进行了转移。这将大大限制对员工和办公室生产力的负面影响。

结果

约翰说,自从安装了Unitrends Appliance以来,已经有了几次备份和恢复事件。

“我们使用我们的备份设备来恢复最终用户意外删除的文件,当主机系统发生故障时,我们还使用它来恢复虚拟机。后一种情况的停机时间仅限于员工响应时间 - 临时备份虚拟机在不到五分钟的时间内就可以了!

“我们还计划从Unitrends设备随身携带云计算软件到云端,我们期望从云端看到的最大的好处是低成本的非现场存储,如果需要,可以在云中恢复应用程序作为DraaS功能,并在任何地方进行自然灾害紧急情况下的访问。“

“我们现在安心,知道我们可以在需要的时候迅速恢复,我们还通过易于使用的用户界面增加了备份和灾难恢复的共享团队知识。”

翻译自https://thehackernews.com/2017/10/drive-by-download-ransomware.html

发表评论

您必须才能发表评论!