2025. október 3., péntek, 6:42.

Email a cégtulajdonostól: „Zoli, senki nem tud belépni. Minden fájl .locked kiterjesztéssel."

Ransomware. 42 számítógép titkosítva. Fájlszerver titkosítva. SharePoint szinkronizált fájlok: titkosítva.

Váltságdíj: 8,2M Ft (Bitcoin).

Határidő: 48 óra, vagy törlődik a visszafejtő kulcs.

⚠️ Fontos:

Ez egy valós eset egy mosonmagyaróvári építőipari cégből (42 számítógép).
Nevek megváltoztatva, de minden adat valós: költségek, időpontok, tanulságok.

Ebben a cikkben elmesélem:

  • Hogyan történt a fertőzés? (Támadás menete)
  • Mit találtunk? (Első 30 perc)
  • Döntés: Fizetünk vagy visszatöltünk? (Döntési pont)
  • Hogyan tértünk vissza? (18 órás recovery)
  • Teljes költség-elemzés (váltságdíj vs. recovery)
  • Mit tanultunk? (5 kulcsfontosságú lecke)

Hogyan történt a fertőzés? (Támadás menete)

Kronológia:

Október 2., csütörtök, 14:23

  • Könyvelő (Éva) kap egy emailt: „Számla 2025-10-02.pdf"
  • Feladó: „szallito@epuletanyagok-kft.com" (hamis domain, de kinézetre hasonló)
  • Melléklet: Számla_2025_10_02.pdf.exe (de az Outlook csak „.pdf"-et mutatott)
  • Éva kattint → „A fájl megnyitása" → Ransomware települ

Október 2., 14:25-17:00

  • Ransomware csendben dolgozik:
    • Keres hálózati meghajtókat (Z:\, V:\, \\SZERVER\)
    • Keres backup fájlokat (*.bak, *.vhd)
    • Kapcsolódik Command & Control szerverhez (küldi a fájllistát)

Október 3., péntek, 5:30

  • Titkosítás kezdődik (automatikus, éjszakai indítás)
    • 42 számítógép minden fájlja: .locked kiterjesztés
    • Fájlszerver (2,3 TB): titkosítva
    • SharePoint szinkronizált mappák: titkosítva
    • QNAP NAS backup: TITKOSÍTVA (hálózatba volt kötve, SMB/CIFS protokoll)

Október 3., péntek, 6:00

  • Munkatársak érkeznek → képernyőn: RANSOM NOTE

YOUR FILES HAVE BEEN ENCRYPTED

All your important files (documents, photos, databases) have been encrypted with military-grade encryption.

To decrypt your files, you need to pay 2.1 BTC (~8,200,000 HUF)

You have 48 hours. After that, the decryption key will be deleted.

Contact: darkweb-link.onion (TOR Browser)

Október 3., péntek, 6:42

  • Tulajdonos emailje hozzám → ESET folyamat indul

Mit találtunk? (Első 30 perc)

6:55 - Helyszínre érkezés (távoli vizsgálat)

1. Terjedés mértéke:

  • 42 számítógép (100% érintett)
  • Fájlszerver (2,3 TB): 100% titkosítva
  • SharePoint Online: 187k fájl szinkronizálva → titkosított változat feltöltve
  • QNAP NAS backup: TITKOSÍTVA

2. Mi NINCS titkosítva?

  • Azure Backup (heti backup, immutable)
    • Utolsó backup: szeptember 29. (vasárnap éjjel)
    • 4 nap adat elveszhet (szeptember 30 - október 2)
  • ✅ SharePoint Online Version History (korábbi verziók)
    • 30 nap retention → visszaállítható

3. Kritikus rendszerek:

  • Email (Microsoft 365): MŰKÖDIK (nem érintett)
  • ERP rendszer (SQL adatbázis): TITKOSÍTVA
  • CAD rajzok (építési tervek): TITKOSÍTVA
  • Számlázási adatok: TITKOSÍTVA

7:15 - Döntési pont

Tulajdonossal telefonon:

„Van két opció:"

  1. Fizetünk 8,2M Ft-ot
    • Nincs garancia, hogy működik a visszafejtő kulcs
    • Nincs garancia, hogy törlik az ellopott adatokat
    • Idő: ~1-2 nap (Bitcoin vásárlás + várakozás kulcsra)
  2. Visszatöltés backup-ból
    • Azure Backup: szeptember 29. → 4 nap adat elvész
    • SharePoint Version History: teljes visszaállítás
    • Idő: ~12-18 óra (42 gép + szerver)

Döntés: Fizetünk vagy visszatöltünk?

Gyors költség-haszon elemzés (helyszínen, 10 perc alatt):

Mutató Fizetés (váltságdíj) Visszatöltés (backup)
Költség 8,2M Ft (Bitcoin) ~400-600k Ft (munkaóra)
Idő 1-2 nap (kulcs várakozás) 12-18 óra
Adatvesztés Nincs (ha működik kulcs) 4 nap (szept. 30 - okt. 2)
Garancia ❌ NINCS ✅ Biztos
Adatszivárgás ❌ Ellopott adatok megmaradnak ✅ Nincs további szivárgás

Tulajdonos döntése (7:28):

„Nem fizetek bűnözőknek. Visszatöltjük. Nekiálltok?"

Válaszom: „Igen. 18 óra alatt kész lesz. 4 nap adat elvész, de azt majd kézzel pótoljuk."

Hogyan tértünk vissza? (18 órás recovery)

7:30-8:00 - Triage & elszigetelés

1. Hálózat elszigetelése:

  • Minden fertőzött gép lekapcsolása (42 db)
  • Fájlszerver lekapcsolása
  • QNAP NAS hálózatból kihúzva (bár már késő)

2. Forensic (gyors vizsgálat):

  • Ransomware típusa: LockBit 3.0
  • Fertőzés forrása: Éva gépe (könyvelő)
  • Terjedés: Hálózati megosztásokon keresztül

3. Recovery team felállítása:

  • Én (távoli)
  • + 2 helyi IT-s (helyszínen, én irányítom őket)
  • + 1 Veeam support engineer (Microsoft partner)

8:00-10:00 - Fájlszerver visszatöltése (Azure Backup)

Lépések:

  1. Azure Portal → Backup Vault → Recovery Points
    • Kiválasztás: szeptember 29., 2:15 AM (utolsó sikeres backup)
  2. Restore opciók:
    • Teljes VM visszatöltés (nem kell, szerver hardver OK)
    • File-level restore (2,3 TB fájl) → ✅ VÁLASZTVA
  3. Letöltés:
    • Azure datacenter (Frankfurt) → helyszín (100 Mbps internet)
    • 2,3 TB / 100 Mbps = ~51 óra → ❌ TÚL LASSÚ
    • Megoldás: Azure ExpressRoute? Nincs idő.
    • Alternatíva: Restore to Azure VM → Sync vissza
      • Visszatöltés Azure VM-be (Azure-on belül: gyors)
      • Aztán: rsync/robocopy → helyszínre (csak a változott fájlok)
      • Idő: ~8 óra (Azure VM restore 2h + sync 6h)

10:15: Szerver visszatöltés INDUL (Azure VM-be)

10:00-12:00 - SharePoint fájlok visszaállítása

Probléma:

  • SharePoint Desktop App szinkronizálta a titkosított fájlokat
  • 187k fájl: .locked kiterjesztés
  • De: SharePoint Version History → korábbi verziók megvannak

Megoldás:

  • SharePoint Admin Center → Restore entire library
    • Restore date: október 2., 14:00 (fertőzés előtt)
    • Idő: ~45 perc (Microsoft szerver oldali művelet)

11:30: SharePoint visszaállítva ✅

12:00-18:00 - 42 számítógép tisztítása & visszaállítása

Stratégia:

Nem töltjük vissza az összes gépet backup-ból (lassú). Helyette:

  1. Kritikus gépek (10 db - vezetőség, könyvelés):
    • Teljes újratelepítés (Windows reinstall)
    • Microsoft 365 Apps telepítése
    • Személyes fájlok: OneDrive-ból (felhő, nem érintett)
    • Idő/gép: ~45 perc
  2. Normál gépek (32 db - munkások, adminisztráció):
    • Ransomware eltávolítás (Malwarebytes + manuális tisztítás)
    • Fájlok visszatöltése szerverről (amikor kész)
    • Idő/gép: ~20 perc

Párhuzamosítás:

  • 2 helyi IT-s: 2 gép egyszerre
  • Én (távoli): Irányítás + szerver restore figyelése

18:00-02:00 (következő nap) - Fájlszerver sync & végső ellenőrzések

18:30: Azure VM restore kész → 2,3 TB fájl Azure-ban

18:45-01:20: Robocopy sync (Azure VM → helyszíni szerver)

  • 6,5 óra (tömörítéssel, csak változott fájlok)

01:30: Végső tesztelések

  • ERP rendszer: SQL adatbázis visszatöltve → MŰKÖDIK
  • CAD rajzok: megnyithatók → OK
  • Számlázási rendszer: működik → OK

02:15 (szombat hajnal):

✅ RENDSZEREK MŰKÖDNEK. Recovery kész.

Email a tulajdonosnak: „Kész. Hétfő reggel 100% működőképes lesz minden."

Teljes költség-elemzés

Tényleges költségek (recovery):

Tétel Költség
IT munkaóra (18 óra × 3 fő × 15k Ft/h) 810k Ft
Azure VM költség (8 óra, D8s_v3 instance) ~12k Ft
Veeam support engineer (konzultáció) 80k Ft
Forensic analízis (ransomware eltávolítás) 120k Ft
Teljes IT költség ~1,02M Ft
Üzleti veszteség (1 nap leállás, 42 fő) ~800k Ft
Adatvesztés utólagos pótlása (4 nap munka) ~300k Ft
TELJES KÖLTSÉG ~2,12M Ft

Ha fizettünk volna (váltságdíj):

Tétel Költség
Váltságdíj (2.1 BTC) 8,2M Ft
Bitcoin váltási díj (~3%) ~250k Ft
Üzleti veszteség (2 nap leállás, várakozás kulcsra) ~1,6M Ft
Visszafejtés (ha működik kulcs) - IT munkaóra ~200k Ft
Adatszivárgás kockázata (GDPR bírság?) ❓ 0-20M Ft
TELJES KÖLTSÉG (minimum) ~10,25M Ft

ROI (megtérülés):

  • Váltságdíj: 10,25M Ft (minimum, garancia nélkül)
  • Recovery: 2,12M Ft (biztos megoldás)
  • Megtakarítás: 8,13M Ft

Mit tanultunk? (5 kulcsfontosságú lecke)

1. Backup NEM ELÉG - offsite backup KÖTELEZŐ

Mi történt:

  • QNAP NAS backup volt → de hálózatba volt kötve → ransomware titkosította

Tanulság:

  • 3-2-1 szabály: 3 példány, 2 médium, 1 OFFSITE
  • Azure Backup mentette meg őket (offsite, immutable)

2. MFA KÖTELEZŐ (phishing védelem)

Mi történt:

  • Email phishing → ransomware települt

Tanulság:

  • MFA bevezetése (2026. január - KÉSZ)
  • Email security (Advanced Threat Protection)

3. RTO/RPO tervezése ELŐRE

Mi történt:

  • Azure Backup: heti → 4 nap adat elveszett

Tanulság:

  • RPO (Recovery Point Objective): Maximum 1 nap adat elvesztése elfogadható
  • Megoldás: Napi Azure Backup (nem heti)
  • Költség: ~+50k Ft/hó → MEGÉRI

4. Recovery terv TESZTELÉSE

Mi történt:

  • Szerencsére gyorsan visszatöltöttük
  • De: soha nem teszteltük előtte (nem tudtuk, mennyi idő lesz)

Tanulság:

  • Évente 1x disaster recovery drill
  • Teszt: teljes szerver visszatöltés (sandbox környezetben)
  • Időmérés: RTO (Recovery Time Objective)

5. Cyber insurance (kibervédelem biztosítás)

Mi történt:

  • NEM VOLT biztosítás → teljes költség a cégnél maradt

Tanulság:

  • Cyber insurance (ransomware fedezet)
  • Költség: ~200-300k Ft/év (50M Ft fedezet)
  • Megtérülés: 1 ransomware → 2-10M Ft kár

Összefoglalás

🛡️ Ransomware recovery: 18 óra, 2,12M Ft

Mi történt?

  • 42 gép + szerver titkosítva
  • Váltságdíj: 8,2M Ft
  • Döntés: Nem fizetünk → visszatöltés backup-ból

Hogyan tértünk vissza?

  • Azure Backup (offsite, immutable) → MENTETT
  • SharePoint Version History → MENTETT
  • 18 óra recovery → 100% működés

Tanulságok:

  • 3-2-1 backup szabály (offsite kötelező)
  • MFA bevezetése (phishing védelem)
  • Napi backup (nem heti)
  • Recovery teszt (évente 1x)
  • Cyber insurance (költség fedezet)

Disaster Recovery tervezés & teszt

Segítünk kialakítani a ransomware-proof backup stratégiát.
Disaster recovery terv készítése, éves teszt.
Cyber insurance tanácsadás.

Ingyenes konzultáció kérése

Kapcsolódó cikkek: