Автор Тема: Вирусы - шифровальщики на пороге! Защита от вирусов  (Прочитано 7823 раз)

0 Пользователей и 1 Гость просматривают эту тему.

Оффлайн Miroslav

  • Опытный пользователь
  • ***
  • Сообщений: 191
  • Karma: +9/-0
  • Пол: Мужской
    • Share Post
Как мы заметили из сообщений на форуме, вирусы – шифровальщики встречаются все чаще. И любому администратору, несущему ответственность за работоспособность своей структуры, за сохранность данных своих пользователей (в частности) и фирмы (в целом) нужно «еще вчера» принимать необходимые меры.
К сожалению, многие из нас недооценивают серьезность нависшей угрозы, надеясь на разумность пользователей, полезность антивирусов, надежность ежедневных бэкапов и собственную  ауру. Данная тема предназначена для того, чтобы мы могли сообща и с разных точек зрения оценить масштабы проблемы, методы защиты и 100% способы восстановления данных в случае форс-мажора.
Предлагаю не рассматривать «идеального сферического коня в вакууме», а подойти к теме более реалистично.  Например, терминальный Windows – сервер в окружении Windows и Linux станций. На сервере крутятся всякие программы отчетности, сервер 1С в8, куча офисных документов, веббраузеры. Некоторые пользователи (коммерческий директор и главбух, например)  имеют админские права. Часть документов находится на самих рабочих станциях.
Да, установлены антивирусы, на сервере ежедневно делаются бэкапы всего чего можно. Казалось бы, что еще нужно? А вы как думаете?

 

Оффлайн sysadmin

  • Administrator
  • сисадми́н
  • *****
  • Сообщений: 7962
  • Karma: +108/-0
  • Пол: Мужской
    • Share Post
    • сайт для сис. админов и не только...
На вскидку - Критически важные документы хранить на общем ресурсе, на котором можно сохранять файлы только с определенными расширениями, строго разграничивать доступ по каталогам и по группам пользователей, обязательно включены теневые копии. На рабочих станциях и серверах запуск только доверенных или определенных приложений. Обязательное, периодическое создание резервных копий из-под служебных учетных записей, на сервера или носители, к которым никто не имеет доступа, кроме "доверенных" / служебных учетных записей.

Upd
Запрет запуска приложений из неопределенных администратором мест.

З.Ы. бухгалтеру незачем давать админ доступ имхо
« Последнее редактирование: Февраль 25, 2015, 10:28:48 pm от sysadmin »
дорогу осилит идущий...
......................
MCP, MCTS, RHCSA
......................
also aka xck...

Оффлайн Miroslav

  • Опытный пользователь
  • ***
  • Сообщений: 191
  • Karma: +9/-0
  • Пол: Мужской
    • Share Post

З.Ы. бухгалтеру незачем давать админ доступ имхо

Согласен, но если они имели его надцать лет, то попробуй забери  :ugaga:

На вскидку - Критически важные документы хранить на общем ресурсе, на котором можно сохранять файлы только с определенными расширениями,

Так, а вот это уже интересно! Так ведь и бэкапы можно защитить? Как можно запретить в каталоге сохранять все файлы кроме *.rar , например?
« Последнее редактирование: Февраль 25, 2015, 11:00:48 pm от sysadmin »

Оффлайн sysadmin

  • Administrator
  • сисадми́н
  • *****
  • Сообщений: 7962
  • Karma: +108/-0
  • Пол: Мужской
    • Share Post
    • сайт для сис. админов и не только...
Скрытая информация. Зарегистрируйтесь, чтобы увидеть её.

Оффлайн Miroslav

  • Опытный пользователь
  • ***
  • Сообщений: 191
  • Karma: +9/-0
  • Пол: Мужской
    • Share Post
Спасибо, очень полезная информация! Нагуглил еще  Storage Exec.
Похоже, выбор подобных программ велик
Полагаю, архив с бекапом должен быть запоролен...

Еще что беспокоит... Допустим, вирус берет файл, шифрует, стирает файл, взамен пишет свою версию.
1. Почему просто не восстанавливают удаленные файлы, а бьются над расшифровкой?  (как вариант - большинство из них оказываются
    затертыми?)
2. Не удалит ли вирус файлы, даже если не сможет записать новые шифрованные версии?

Оффлайн sysadmin

  • Administrator
  • сисадми́н
  • *****
  • Сообщений: 7962
  • Karma: +108/-0
  • Пол: Мужской
    • Share Post
    • сайт для сис. админов и не только...
Зачем всякие платные экзеки, которые к тому же бэкапят только Windows продукты, то что я предложил в первом посте, решатеся встроенными средствами Windows без всяких "левых" продуктов, того, что деньги были потрачены на лицензию Windows уже должно хватить на то, чтобы защитить файлы расположенные в рамках среды обслуживаемой этой ОС, поверьте мне встроенными средствами иной раз можно сдлеать больше чем всякими "левыми" продуктами, на счет вопросов 1, 2 это опять таки решает мой мервый ответ и повторюсь ниже... Расшифровывать бесполезно, а вот восстанавливать нет, они расшифровывают потому что у них нет актуальных резервных копий, в этом вся проблема на мой взгляд, вторая проблема - не гранулирован доступ к ресурсам, я до сих пор придерживаюсь правила - защита от вирусов без антивирусов, это не говорит о том что антивируса не должно быть, но не стоит забывать что встроенными средствами ОС и настройками разрешений можно на столько минимизировать возможность заражения, что даже если что то и пролезет будет оставаться надежда на антивирус, который в принципе второстепенен в защите информации...

Еще раз повторюсь - используйте встроенные возможности по максимому, только ленивый и не грамотный покупает дорогущие продукты в надежде на то, что они выполнят за него всю работу, но это не так поверьте... Покупка доп. ПО, это последний шаг, на пути защиты, как мне кажется

В данном случае можно абстрагироваться от шифровальщика, по факту это вред может нанести любой вирус... Изначально нужно быть готовым к самому худшему... Разграничение доступа будет являться хорошей базой для обеспечение успешных превентивных мероприятий...
« Последнее редактирование: Февраль 27, 2015, 09:43:43 pm от sysadmin »

Оффлайн NiX

  • Moderator
  • сисадми́н
  • ***
  • Сообщений: 563
  • Karma: +35/-0
  • Пол: Мужской
    • Share Post
Цитировать
Еще раз повторюсь - используйте встроенные возможности по максимому, только ленивый и не грамотный покупает дорогущие продукты в надежде на то, что они выполнят за него всю работу, но это не так поверьте...

Полностью согласен, и венду можно нормально захардить стандартными средствами, про линухи ваще молчу :sarcastic:

Оффлайн Miroslav

  • Опытный пользователь
  • ***
  • Сообщений: 191
  • Karma: +9/-0
  • Пол: Мужской
    • Share Post
Еще раз повторюсь - используйте встроенные возможности по максимому, только ленивый и не грамотный покупает дорогущие продукты в надежде на то, что они выполнят за него всю работу, но это не так поверьте... Покупка доп. ПО, это последний шаг, на пути защиты, как мне кажется

С одной стороны - это правильно. Но, с другой стороны, не будем забывать о рабочих станциях. На них может не оказаться тех встроенных средств, которые есть на серверах.
Кстати, не так давно мы сообща бились со стандартным планировщиком задач Windows, но нужного эффекта не добились, пока не применили альтернативный

Еще один нюанс.
Получил рекомендацию запретить выполнение VBS скриптов на сервере.
Кто что думает об этом?

И еще. Дропбокс вроде сохраняет предыдущие версии файлов? Можно всегда откатиться?
« Последнее редактирование: Февраль 27, 2015, 09:11:01 am от sysadmin »

Оффлайн whoami

  • Специалист ИТ
  • ****
  • Сообщений: 268
  • Karma: +6/-0
  • Пол: Мужской
  • whoami
    • Share Post
Я могу одно сказать, вирус может и без Админских прав запуститься) проверено на соседней организации, где 10 пользователей пострадало (переустановка системы с потерей данных), этот вирус может отправлять почту от твоего имени, что самое прикольное он не работает под Linux'ом, а пользователь возьмёт и запустит файл, и всё системе кранты.
Он оставляет запись в Реестре(ветку не помню), новый шифровальщик вышел примерно 4.02.2015 г. базы антивируса ещё не помогали его найти (находят шифровальщик за 2.02.2015 г.) Шифровальщик использует сеть анонимайзер (TOR , proxy).
На сегоднешнее число не могу подсказать вышел ли новый шифровальщик или нет, и находить ли его Антивирус или нет.

Оффлайн sysadmin

  • Administrator
  • сисадми́н
  • *****
  • Сообщений: 7962
  • Karma: +108/-0
  • Пол: Мужской
    • Share Post
    • сайт для сис. админов и не только...
не будем забывать о рабочих станциях. На них может не оказаться тех встроенных средств

Эти средства были всегда, начиная с ХР точно (если говорить по Win), в более поздних версиях, безопасность еще закрутили на совершенно новый уровень, запрет запуска скриптов, исполняемых файлов, установщиков по издателю, пути и другим параметрам можно запрещать средствами Windows без привлечения сторонних продуктов, что подтверждает опять мой первый пост. Данные настройки можно применять используя средства локальных групповых политик - Software Restriction Policies и Application Control Policies см. аттач

З.Ы. дропбокс не юзаю и пока не собираюсь, здесь должен скорее помочь мануал самого дб..
« Последнее редактирование: Февраль 27, 2015, 09:12:58 am от sysadmin »

Оффлайн Miroslav

  • Опытный пользователь
  • ***
  • Сообщений: 191
  • Karma: +9/-0
  • Пол: Мужской
    • Share Post
Я могу одно сказать, вирус может и без Админских прав запуститься) проверено на соседней организации, где 10 пользователей пострадало (переустановка системы с потерей данных), этот вирус может отправлять почту от твоего имени, что самое прикольное он не работает под Linux'ом, а пользователь возьмёт и запустит файл, и всё системе кранты.
Дополню: есть целый список программ отчетности, которые не работают без админ прав.

Как пример внедрения вируса:

1. Письмо с «полезной» информацией для получателя в теме письма.
2. К письму обязательно прикреплено вложение в виде файла с расширением: .rar. Т.е. это по сути архив «название.rar».
3. При скачивании и открытии такого архива происходит запуск, ассоциированного с расширением файла в архиве, приложения. В нашем случае запускался MS Word, при полном молчании антивирусной программы, с документом следующего содержания. Картинка ниже.

При этом, обращаем внимание, запуск вируса происходил одинаково успешно в присутствии и платных, и бесплатных версий антивирусных программ, установленных на компьютере. Есть данные, что ни «Касперский», ни «Аваст» никак не реагировал на вирус. Антивирус не спасал от заражения вирусом и потери важных данных!

4. В это время шифровальщик, работу которого можно было заметить по достаточно интенсивному обращению к HDD компьютера, уже действовал. Пока пользователь рассматривал иероглифы в документе и пытался узнать скрытый в них смысл, вирус сканировал локальные диски и шифровал их таким образом, что информация, находящаяся в них, становилась недоступна. В результате пользователь оставался без ценных данных.

Судя по всему, шифрованию подвергаются файлы с расширениями: 7z, arh, bak, css, db, dbc, djvu, doc, dok, gzip, jar, jpg, jpeg, js, html, pdf, rar, xml. Т.е. базы данных, бекапы, Word, файлы книг,справок, фотографии, картинки, архивы. Вирус сам себя не реплицирует и не пытается сканировать, и шифровать сетевые диски — это есть огромный плюс!

Источник:
http://hpc.by/cautiously_virus_cryptologist]http://hpc.by/cautiously_virus_cryptologist

Пишут, что он не трогает файлы в сети, но я не стал бы сильно на это надеяться
« Последнее редактирование: Февраль 27, 2015, 11:59:47 am от sysadmin »

Оффлайн sysadmin

  • Administrator
  • сисадми́н
  • *****
  • Сообщений: 7962
  • Karma: +108/-0
  • Пол: Мужской
    • Share Post
    • сайт для сис. админов и не только...
Цитировать
Дополню: есть целый список  программ отчетности, которые не работают без админ прав.

Мы весь софт запускаем из-под простого пользователя, вплоть до того, что исследовали в дебаггерах поведение того или иного софта, в итоге разрешения назначены только на исключительные элементы системы (к примеру ветку реестра) которые влияют на запуск и работоспособность софта...

З.Ы. на счет РК, это касается и СОНО и банк-клиентов и всего прочего бух. софта, таможенного софта, транспортного софта и т.п...
« Последнее редактирование: Февраль 27, 2015, 11:57:29 am от sysadmin »

Оффлайн Miroslav

  • Опытный пользователь
  • ***
  • Сообщений: 191
  • Karma: +9/-0
  • Пол: Мужской
    • Share Post
Эти средства были всегда, начиная с ХР точно (если говорить по Win), в более поздних версиях, безопасность еще закрутили на совершенно новый уровень, запрет запуска скриптов, исполняемых файлов, установщиков по издателю, пути и другим параметрам можно запрещать средствами Windows без привлечения сторонних продуктов, что подтверждает опять мой первый пост. Данные настройки можно применять используя средства локальных групповых политик - Software Restriction Policies и Application Control Policies см. аттач

З.Ы. дропбокс не юзаю и пока не собираюсь, здесь должен скорее помочь мануал самого дб..

Спасибо, я уже сделал на тестовом сервере папку, в которую пишутся только файлы с расширением *.7z
Ночью бэкапы прошли успешно. Очень ценное и интересное знание приобрел  :yes4:

Я юзаю дропбокс. И данную опцию кажется видел в вебморде. Нужно проверить по свободе.

Оффлайн Miroslav

  • Опытный пользователь
  • ***
  • Сообщений: 191
  • Karma: +9/-0
  • Пол: Мужской
    • Share Post
Хотя, по сути дела, шифровальщик меняет и расширение файла, так что система посчитает исходный документ удаленным.
Тогда его можно найти в "События"
А там уже "Восстановить"

Оффлайн NiX

  • Moderator
  • сисадми́н
  • ***
  • Сообщений: 563
  • Karma: +35/-0
  • Пол: Мужской
    • Share Post
Ну что за демагогию развели?)
Правильно Sysadmin говорит, нельзя давать права локального админа в венде! - это аксиома!
Любой софт можно заставить работать под учёткой с ограниченными правами, как это сделать? Да хотя бы посмотреть на набор тулз Руссиновича https://technet.microsoft.com/en-us/sysinternals/bb545021.aspx , которыми можно отследить обращения ко всему и вся.
Первое правило безопасности - запретить всё, и разрешать только необходимое.


moved
Перенесено: Вирусы - шифровальщики на пороге!

Автор sysadmin

0 Ответов
14 Просмотров
Последний ответ Февраль 25, 2015, 10:12:23 pm
от sysadmin
exclamation
Онлайн проверка на вирусы

Автор sysadmin

0 Ответов
4536 Просмотров
Последний ответ Август 19, 2009, 02:59:04 pm
от sysadmin
exclamation
После чистки от вирусов не грузится Explorer

Автор bessmertnyi_poni

10 Ответов
1326 Просмотров
Последний ответ Август 27, 2014, 05:35:59 pm
от Fire
question
Что нужно сделать что бы ваш windows проверили на наличие вирусов

Автор Fire

1 Ответов
902 Просмотров
Последний ответ Сентябрь 20, 2014, 04:11:55 pm
от sysadmin