Zaledwie kilka dni temu pisaliśmy o poważnym incydencie bezpieczeństwa w gminie Kościerzyna. Tamtejszy wójt, pan Grzegorz Piechowski, wykazał się nie lada znajomością kultury bezpieczeństwa poincydentowej. Zachowując zimną krew zwrócił się do CSIRT NASK i zewnętrznych firm o pomoc. Wówczas dzięki Kaspersky udało się odszyfrować pliki, a teraz opracować dekryptor, który przyda się w klinice Budzik.
Klinika BUDZIK została uruchomiona w lipcu 2013 roku jako pierwszy w Polsce wzorcowy szpital dla dzieci po ciężkich urazach mózgu. Klinika działa przy warszawskim Centrum Zdrowia Dziecka. Dyrektorem kliniki jest dr Maciej Piróg, który powiadomił TVP Info, że na początku grudnia 2019 roku doszło u nich do cyberataku.
Przyszedł do nas mail z Hiszpanii, w którym oferowano nam odblokowanie sytemu za równowartość prawie 30 tys. zł. Jakiś tydzień przed atakiem przychodziły do nas maile od znanych i szacownych instytucji, pisane w stylu „Faktura, której państwo nie zapłacili. Otwórz link”.
— powiedział dr Maciej Piróg.
Z doniesień prasowych dowiadujemy się, że systemy komputerowe w klinice zostały zaszyfrowane, przez co pracownicy nie mieli możliwości złożenia sprawozdania za miesiąc listopad w NFZ. Niedopełnienie formalności mogłoby poskutkować brakiem przelewu za listopad, a więc odcięciem kliniki od finansowania i pomoc Bugu ducha winnego dzieciakom — informuje na portal tustolica.pl.
Dzięki CERT Polska udało się opracować publicznie dostępny dekryptor dla gminy Kościerzyna. Nie jest wykluczone, że ten sam dekryptor może się przydać w klinice Budzik.
Nasze narzędzie działa dla plików zaszyfrowanych z rozszerzeniem .mapo oraz z dołączoną notką okupu w pliku MAPO-Readme.txt.
W toku analizy incydentu zaszyfrowanych plików w systemach informatycznych gminy Kościerzyna, otrzymaliśmy od poszkodowanych próbkę z plikiem wykonywalnym złośliwego oprogramowania szyfrującego o nazwie Mapo. Po przystąpieniu do szczegółowej analizy technicznej udało nam się zidentyfikować błąd w procesie generowania kluczy szyfrujących. Pozwoliło nam to na ich odzyskanie bez konieczności płacenia okupu. Miło nam poinformować, że dzielimy się dzisiaj narzędziem, które umożliwia darmowe odszyfrowanie plików wszystkim osobom, których komputery zostały zaszyfrowane przez ten wariant złośliwego oprogramowania szyfrującego.
— piszą eksperci z CERT Polska.
W czasach, gdy użytkownicy indywidualni oraz organizacje polegają tak bardzo na komputerach w codziennej pracy, trudno wyobrazić sobie gorszą rzecz niż zaszyfrowanie danych. Nic więc dziwnego, że tego typu wymuszenia spotykają się ze zdecydowanym sprzeciwem. W końcu nawet po zapłaceniu nie ma gwarancji, że przestępcy przekażą potrzebne narzędzie do deszyfracji, a jeśli przekażą — takie narzędzie nie zawsze działa poprawnie (zob. „Zapłaciłeś okup? Tym razem nie odzyskasz wszystkich danych!”)
Za pomocą dostępnych na rynku bezpłatnych narzędzi można odszyfrować pliki po ataku ransomware, ale musi zostać spełniony co najmniej jeden warunek:
- Organy policyjne jak np. Europol, FBI lub polski CERT, które współpracują z firmami od bezpieczeństwa, muszą wspólnymi siłami przejąć kontrolę nad serwerem, na którym znajdują się połówki kluczy RSA lub doprowadzić do zlokalizowania i aresztowania przestępcy. Prokuratura za współpracę często oferuje niższe wyroki.
- Algorytm szyfrowania zastosowany w ransomware nie powinien być poprawnie wdrożony. Dopiero wówczas istnieje szansa, że uda się opracować narzędzie deszyfrujące, które korzysta ze słabości w implementacji algorytmu.
- Algorytm szyfrowania zastosowany w ransomware nie powinien wykorzystywać do szyfrowania algorytmu RSA, co obecnie zdarza się bardzo rzadko.
Dopiero po spełnieniu co najmniej jednego z powyższych punków, możliwe jest opracowanie narzędzia do deszyfracji plików. Tym razem przestępcy popełnili błędy w procesie generowania kluczy szyfrujących, co pozwoliło na odzyskanie plików bez konieczności płacenia okupu.
