Urząd Gminy Kościerzyna został na początku grudnia zaatakowany przez hakera, który zaszyfrował wszystkie dane znajdujące się na komputerach podłączonych do sieci. Również serwer z backupami. Na szczęście dzięki zaangażowaniu badacza z firmy Kaspersky i zespołu CSIRT NASK udało się je odzyskać.
Pracownicy Gminy Kościerzyna już byli przekonani, że nie uda im się odzyskać zaszyfrowanych danych. Wójt ani przez chwilę nie zamierzał zapłacić okupu. Wiedział również, że na rynku nie ma jeszcze narzędzia, które pozwoliłoby na odzyskanie danych. Dlatego też urzędnicy przygotowali się do ręcznego wprowadzenia wszystkich informacji, które znajdowały się w przeróżnych bazach danych. Natomiast obsługa petentów była przez ponad tydzień spowolniona. Na szczęście specjaliści zajmujący się tego typu przypadkami opracowali narzędzie, które pozwoliło na odszyfrowanie wszystkich dysków twardych i przywrócenie systemu informatycznego Urzędu do normalnego trybu pracy.
Firma Kaspersky Lab bezinteresownie pomogła Urzędowi Gminy Kościerzyna
O szczegółach całego zajścia możemy przeczytać w oficjalnym komunikacie opublikowanym na stronie Kaspersky Lab:
Próbka szkodliwego kodu została przesłana równolegle do zespołu CSIRT NASK oraz niezależnego zespołu ekspertów, w tym do eksperta z Globalnego Zespołu ds. Badań i Analiz (GReAT) firmy Kaspersky. Zarówno zespół CSIRT NASK jak i badacz z firmy Kaspersky dokonali analizy szkodliwego oprogramowania i ustalili, w jaki sposób wygenerowany został klucz szyfrujący dane oraz stworzyli narzędzia informatyczne, które odszyfrowały pliki. Ostatecznie najważniejsze dla pracy urzędu pliki baz danych odszyfrowano narzędziem przygotowanym przez eksperta z firmy Kaspersky. Po tygodniu od rozpoczęcia prac przywrócono systemy niezbędne do bieżącego funkcjonowania urzędu.
Gdyby nie pomoc specjalistów oraz odpowiednie zabezpieczenie wszystkich śladów ataku, urząd funkcjonowałby mniej wydajnie przez kilka najbliższych miesięcy. Natomiast ponowne wprowadzenie wszystkich utraconych danych mogłoby zająć nawet 2 lata.
“Chciałbym wyrazić ogromne podziękowania dla firmy Kaspersky za bezinteresowną pomoc przy usunięciu skutków ataku hakerskiego na sieć komputerową Urzędu Gminy Kościerzyna. Gratuluję wysokiego poziomu profesjonalizmu, ale również modelowej współpracy przy realizacji tak skomplikowanego projektu. Pomoc firmy była dla nas bezcenna” – skomentował Grzegorz Piechowski, wójt gminy Kościerzyna.
Wirus ransomware, z którego skorzystał haker, wykrywany jest przez program antywirusowy firmy Kaspersky jako Trojan.Win32.Schoolboy.gen. Z kolei moduły identyfikujące nieznane zagrożenia określiły go mianem HEUR:Trojan.Win32.Generic.
Na koniec tej historii warto podkreślić, że w podobnych sytuacjach nigdy, ale to przenigdy, nie należy płacić okupu żądanego przez cyberprzestępców.
Postawa wójta gminy jest godna naśladowania. Płacenie okupu cyberprzestępcom nie gwarantuje odzyskania danych, a ponadto finansuje nielegalną działalność i motywuje do kolejnych ataków. Jesteśmy szczęśliwi, że w tym przypadku udział eksperta z firmy Kaspersky umożliwił odzyskanie istotnych danych. Poza dostarczaniem rozwiązań bezpieczeństwa kładziemy duży nacisk na udzielanie pomocy w niestandardowych przypadkach, co nie zawsze są w stanie zapewnić inne firmy zajmujące się bezpieczeństwem IT – powiedział Piotr Kupczyk, dyrektor biura komunikacji z mediami, Kaspersky Lab Polska.
Źródło: Kaspersky
