Jokdach Ransomware зашифровал наши репозитории: как команда разработчиков восстановила кодовую базу

Служба дешифрования Jokdach Ransomware в России

Когда в понедельник команда разработчиков пришла на работу, конвейер CI был весь в красном. Сборки завершались сбоем, Git-хуки жаловались на отсутствующие объекты, а локальные клоны отказывались выполнять pull. На самохостируемом Git-сервере в пустых репозиториях и рабочих каталогах на важных файлах появилось странное новое расширение, например .jokdach, а в корневом каталоге проектов лежала записка с требованием выкупа. Это было Jokdach Ransomware, и вся кодовая база казалась утерянной.

Репозиторий подвергся атаке Jokdach Ransomware

В тот момент у команды было два варианта: запаниковать и поспешно заплатить, или замедлить процесс и разработать структурированный план восстановления репозитория Jokdach Ransomware. Они выбрали второй путь.

Сдерживание инцидента с репозиторием Jokdach Ransomware

Первым шагом было сдерживание, а не умные скрипты или «бесплатные дешифраторы».

Команда немедленно:

  • Отключил сервер Git и подключенное к нему хранилище.
  • Отключил удаленный доступ и старые учетные записи администраторов, которые выглядели рискованными.
  • Запретил разработчикам выполнять извлечение или отправку данных со своих локальных компьютеров.
  • Собрал записки с требованиями выкупа и небольшую выборку зашифрованных файлов в качестве доказательств.

Заморозив среду, они остановили дальнейшее распространение Jokdach Ransomware на агенты сборки, общие файловые ресурсы и рабочие станции разработчиков. Они также сохранили зашифрованные репозитории в стабильном состоянии для последующего анализа.

Объяснение влияния руководству

Затем инженеры подготовили краткий и понятный брифинг для руководства.

Они объяснили:

  • Что было затронуто: самохостируемый сервер Git и несколько каталогов сборки.
  • Что продолжало работать: система тикетов, чат, облачные инструменты и производственные сервисы.
  • Основной риск: замедление разработки, задержки выпусков и потенциальные пробелы в истории аудита.

Это помогло руководству сохранить спокойствие. Они понимали, что работающие системы по-прежнему были онлайн, но будущее развитие находилось под угрозой. Исходя из этого, они одобрили целенаправленные меры по восстановлению Jokdach Ransomware вместо того, чтобы поддаваться давлению и «просто заплатить и надеяться».

Техническая оценка и внешняя поддержка

После локализации и брифинга команда разработчиков приступила к структурированной технической оценке.

Они задокументировали:

  • Как хранились репозитории (голые репозитории, зеркала, рабочие копии).
  • График резервного копирования данных Git и артефактов сборки.
  • Когда появились первые ошибки в CI и на машинах разработчиков.

Были собраны зашифрованные образцы и журналы за этот период. Затем компания связалась со специалистами по реагированию на инциденты через FixRansomware.com и отправила образцы файлов через безопасный портал app.FixRansomware.com.

Цель состояла в том, чтобы подтвердить наличие штамма Jokdach Ransomware, понять его поведение в отношении текстовых и двоичных файлов и определить реалистичные пути восстановления репозитория. Для дополнительной проверки они также ознакомились с официальным руководством CISA по программам-вымогателям, в котором подчеркивается важность последовательности действий «изолировать, оценить, восстановить».

Восстановление репозитория Jokdach Ransomware: практические шаги

Имея больше информации, команда и внешние эксперты разработали план восстановления репозитория Jokdach Ransomware, который обеспечивал баланс между скоростью и безопасностью.

  1. Клонирование хранилища перед доступом к производственным данным
    Все тома, содержащие данные Git, были клонированы сектор за сектором. Все тесты и возможные попытки дешифрования проводились на этих клонах, а не на исходных дисках.
  2. Найдите чистые копии кодовой базы
    Они определили несколько источников чистого или частично чистого кода:
    • Офлайн- или внешнее резервное копирование пустых репозиториев.
    • Локальные клоны на ноутбуках разработчиков, которые еще не были синхронизированы во время атаки.
    • Артефакты сборки и заархивированные релизы, которые могут помочь восстановить недостающие части.
  3. Перестроение репозиториев из нескольких источников
    Очистка пустых репозиториев из резервной копии обеспечила базовую линию. Пропущенные коммиты были извлечены из обновленных локальных клонов. В нескольких крайних случаях код был восстановлен путем извлечения файлов из артефактов сборки и повторной фиксации с четкими сообщениями, документирующими восстановление.
  4. Проверка целостности и истории
    После перестроения основных репозиториев команда проверила:
    • git fsck для проверки целостности репозитория.
    • CI создает сборки для основных веток.
    • Теги и ветки релизов по сравнению с предыдущими записями развертывания.
Хранилище после расшифровки

Только после прохождения этих проверок они перевели разработчиков на новый, чистый Git origin.

Уроки, извлеченные после появления Jokdach Ransomware

Следуя дисциплинированному процессу, компания восстановила свою кодовую базу, не заплатив выкуп. Этот инцидент позволил извлечь несколько важных уроков:

  • Самостоятельно размещенные репозитории являются критически важными активами и должны иметь надежные резервные копии, доступные в автономном режиме.
  • Ноутбуки разработчиков могут стать частью процесса восстановления, если они защищены и тщательно проверяются.
  • Четкая документация работ по восстановлению необходима для аудита и будущей отладки.

Организация также усилила доступ к своим репозиториям, ввела многофакторную аутентификацию, сократила количество учетных записей администраторов и добавила неизменяемый уровень резервного копирования. В результате инцидент с Jokdach Ransomware стал не только историей восстановления, но и основой для более сильной и устойчивой среды разработки.

    Popular Post

    Decrypt 100% Dengan
    Decryptor Ransomware Kami!

    Konsultasi Sekarang