Wyobraź sobie (piję do nagłówka), że każda taka instytucja powinna mieć offline, analogowy lub papierowy backup.
Nagłówek swoją drogą, ale mnie zdziwiło, że nie mieli jakiegoś backupu na taśmach. W sensie, że raz na jakiś czas dane zgrywane na taśmy i chowane do jakieś szafy pancernej. Taki backup, który można zniszczyć dopiero jak ktoś fizycznie do niego podejdzie.
Słyszałem o instytucjach, które robią backup, ale nikt nigdy nie sprawdzał jak go przywrócić. Są też takie w których backupu nie da się przywrócić.
“Mnie” chodziło o alternatywne systemy organizacji pracy. Bo to chyba naturalne, że komputery i ich oprogramowanie są zawodne.
Czy polskie służby opublikowały metody deszyfrowania tego ransomware’u?
Znalazłem opis na stronie Microsoftu, drugi od Koreańczyków i parę skryptów na GitHubie. Nie widzę polskich źródeł.Swoją drogą, poczytałem o algorytmie szyfrowania i jest zaskoczony, że autorzy tego ransomware’u wymyślili taką lepiochę.
Gdyby użyli dowolnego współczesnego szyfru, byłoby pewnie pozamiatane.Opisu nie znalazłem, ale CERT Polska i CBZC biorą udział w projekcie Nomoreransom, gdzie można znaleźć dekryptor dla Hive (https://www.nomoreransom.org/pl/decryption-tools.html). Moje google-jitsu znalazło jeszcze, że w jakimś starym raporcie CERT podsumowującym rok działalności znalazł się akapit o Hive.
“Swoją drogą, poczytałem o algorytmie szyfrowania i jest zaskoczony, że autorzy tego ransomware’u wymyślili taką lepiochę.”
Nawet użycie dobrego algorytmu nie gwarantuje, że został on dobrze użyty. Niektóre ransomware używają niby dobrego algorytmu, ale klucz jest generowany na bazie jakichś możliwych do odtworzenia danych charakterystycznych dla atakowanej maszyny (np adres MAC karty sieciowej, nazwa hosta itp). Wtedy też jeszcze można stworzyć dekryptor. Jeżeli ransomware ma jednak szyfrowanie zrobione w pełni zgodnie ze sztuką, to wtedy faktycznie kaplica i pozostaje nadzieja, że backup był dobrze robiony.
