Автор Тема: Вирусы - шифровальщики на пороге! Защита от вирусов  (Прочитано 12522 раз)

0 Пользователей и 1 Гость просматривают эту тему.

Оффлайн Miroslav

  • Опытный пользователь
  • ***
  • Сообщений: 213
  • Karma: +9/-0
  • Пол: Мужской
    • Share Post
Как мы заметили из сообщений на форуме, вирусы – шифровальщики встречаются все чаще. И любому администратору, несущему ответственность за работоспособность своей структуры, за сохранность данных своих пользователей (в частности) и фирмы (в целом) нужно «еще вчера» принимать необходимые меры.
К сожалению, многие из нас недооценивают серьезность нависшей угрозы, надеясь на разумность пользователей, полезность антивирусов, надежность ежедневных бэкапов и собственную  ауру. Данная тема предназначена для того, чтобы мы могли сообща и с разных точек зрения оценить масштабы проблемы, методы защиты и 100% способы восстановления данных в случае форс-мажора.
Предлагаю не рассматривать «идеального сферического коня в вакууме», а подойти к теме более реалистично.  Например, терминальный Windows – сервер в окружении Windows и Linux станций. На сервере крутятся всякие программы отчетности, сервер 1С в8, куча офисных документов, веббраузеры. Некоторые пользователи (коммерческий директор и главбух, например)  имеют админские права. Часть документов находится на самих рабочих станциях.
Да, установлены антивирусы, на сервере ежедневно делаются бэкапы всего чего можно. Казалось бы, что еще нужно? А вы как думаете?

 

Оффлайн sysadmin

  • Administrator
  • сисадми́н
  • *****
  • Сообщений: 8788
  • Karma: +121/-0
  • Пол: Мужской
    • Share Post
    • сайт для сис. админов и не только...
По ходу это не сам шифратор, а его загрузчик...
дорогу осилит идущий...
......................
MCP, MCTS, RHCSA
......................
also aka xck...

Оффлайн HohoL

  • Сообщество ИТ-Специалистов
  • Специалист ИТ
  • ****
  • Сообщений: 287
  • Karma: +6/-0
  • Пол: Мужской
  • whoami
    • Share Post
возможно, я его дома открыл на виртуалке, под виндой, посмотрел, попытался запустит а он ноль эмоций(((((, а я так хотел глянуть, что он скажет мне((((
Сам файлик


Нажимаешь 2 раза он открывает wordPad


а если правой кнопкой мышки установить, он открывает и свойства экрана и wordpad

« Последнее редактирование: Апрель 16, 2015, 09:13:59 pm от Неизвестный »

Оффлайн Miroslav

  • Опытный пользователь
  • ***
  • Сообщений: 213
  • Karma: +9/-0
  • Пол: Мужской
    • Share Post
Может он не нашел ничего подходящего для шифрования в твоей виртуалке?

Оффлайн HohoL

  • Сообщество ИТ-Специалистов
  • Специалист ИТ
  • ****
  • Сообщений: 287
  • Karma: +6/-0
  • Пол: Мужской
  • whoami
    • Share Post
сёдня доки туда обычные и картинки кину.., проверю...

Оффлайн HohoL

  • Сообщество ИТ-Специалистов
  • Специалист ИТ
  • ****
  • Сообщений: 287
  • Karma: +6/-0
  • Пол: Мужской
  • whoami
    • Share Post
Ответ от nod32 про мой вирус который присылали, моему пользователю.

Здравствуйте, Александр!

Присланный Вами вирус определяется текущей версией базы данных сигнатур вирусов.

Спасибо за помощь в борьбе с вирусами.

С уважением,
Валентин Поляков
Служба технической поддержки ESET Russia

Оффлайн sysadmin

  • Administrator
  • сисадми́н
  • *****
  • Сообщений: 8788
  • Karma: +121/-0
  • Пол: Мужской
    • Share Post
    • сайт для сис. админов и не только...
Очень информативный ответ

Оффлайн Miroslav

  • Опытный пользователь
  • ***
  • Сообщений: 213
  • Karma: +9/-0
  • Пол: Мужской
    • Share Post
Ответ от nod32 про мой вирус который присылали, моему пользователю.

Здравствуйте, Александр!

Присланный Вами вирус определяется текущей версией базы данных сигнатур вирусов.

Спасибо за помощь в борьбе с вирусами.

С уважением,
Валентин Поляков
Служба технической поддержки ESET Russia

Ну теперь буду спать спокойно. Вот только налоги заплачу...  :sarcastic:

Оффлайн Miroslav

  • Опытный пользователь
  • ***
  • Сообщений: 213
  • Karma: +9/-0
  • Пол: Мужской
    • Share Post
Статья с Хабра    http://habrahabr.ru/post/256573/
 
CTB Locker — очень хорошо продуманный и опасный вирус. Писать о нем не буду — информации об этом вирусе в интернете очень много.

За последние 3 месяца некоторые наши клиенты поймали этого зверя, несмотря на предупреждения, обновленные корпоративные антивирусы и прочие решения защиты. У некоторых страдала отдельная рабочая машина, у других — сервер терминалов. Но средства резервного копирования всех спасали.



Последнее заражение одного из клиентов привело к потере большого количества данных, а также некоторых резервных копий. Ответственность за это лежала на клиенте — финансирование на расширение сервера резервного копирования не могли выделить пол года. Но суть не в этом. Нам поставили задачу платить создателям вируса (и тут финансирование резко нашлось).

Я не агитирую пользователей сообщества платить злоумышленникам (я противник этого), но, возможно, этот небольшой мануал кому-то поможет.

Далее я опишу пошагово, как платил плохим людям за расшифровку клиентских данных.

1. Итак, мы попали. Заразился компьютер пользователя (как заразился — пока еще выясняем; антиспам есть, антивирус есть, права пользователей урезаны). По сети вирус зашифровал файловый сервер, диск которого был подключен пользователю как сетевой. Вирус зашифровал те папки на сервере, на которые были права на запись данному пользователю. Также были зашифрованы локальные диски на компьютере пользователя.

Оффлайн Miroslav

  • Опытный пользователь
  • ***
  • Сообщений: 213
  • Karma: +9/-0
  • Пол: Мужской
    • Share Post
---------------------------------------------
Один из комментариев

А в данном случае смена антивируса вам не поможет.
Я сталкивался с подобным видом атаки. Вот принцип подобной атаки с которой столкнулись мы:

Менеджер получила на почту письмо с текстом якобы от клиента о смене реквизитов и говорилось, что новые реквизиты в приложенном к письму файле. К письму прилагается архив, внутри архива был файл *.js (был и другой случай с другим типом исполняемого файла). После попытки его открыть началось шифрование файлов и к моменту когда мы получили запрос от менеджера, что у нее перестали открываться файлы и до момента когда бы отрубили ее комп и отключили связь в здании было зашифровано около 5000 файлов (благо ни одного важного за который пришлось бы платить).

Мы решили разобраться что же все же произошло. И т.к. файл был разширения .js мы прочитали порядок команд и тут нашли ответ почему антивирус никак не отреагировал на работу скрипта. Логика построено до безобразия просто.
После запуска программы начинается обращение к сайту злоумышлиника, с его сайта скачиваются программы для шифрования. Как оказалось это безвредный сам по себе софт для PGP шифрования. Скрипт формируется ключ для шифрования и запускает шифрования файлов. Не выполняется распространение по сети, просто он ищет файлы документа на локальной машине и на всех доступных расшаренных ресурсах.

По сути антивирус сам не видит в подобном алгоритме ничего вредного считая подобные действия — действиями пользователя, который сам решил защитить свои документы. За исключением того, что у пользователя не остается ключа дешифровки т.к. по окончания шифрования ключ удаляется из системы. И т.к. вы пишите на определенный E-Mail то злоумышлиник знает какой ключ надо использовать, чтобы открыть ваши файлы.

После этого случая мы собрали у себя систему хранения файлов с ежедневным снятием резервных копий со всех важных хранилищ.

Оффлайн sysadmin

  • Administrator
  • сисадми́н
  • *****
  • Сообщений: 8788
  • Karma: +121/-0
  • Пол: Мужской
    • Share Post
    • сайт для сис. админов и не только...
Цитировать
Мы решили разобраться что же все же произошло. И т.к. файл был разширения .js мы прочитали порядок команд и тут нашли ответ почему антивирус никак не отреагировал на работу скрипта.

Странно, как он могли посмотреть текст скрипта, обычно такие скрипты шифрованные...

Мне кажется это намеренно раздувают шумиху, что бы напугать народ... Miroslav ты сам видел результат работы похожего скрипта? Хоть кто то может предоставить зашифрованный файл?

Мне кажется мы только популяризируем его и его создателей... тем самым способствуя запугиванию народа..

Цитировать
сёдня доки туда обычные и картинки кину.., проверю...

Как успехи?
« Последнее редактирование: Апрель 25, 2015, 10:47:18 am от sysadmin »

Оффлайн Miroslav

  • Опытный пользователь
  • ***
  • Сообщений: 213
  • Karma: +9/-0
  • Пол: Мужской
    • Share Post
Цитировать
Мы решили разобраться что же все же произошло. И т.к. файл был разширения .js мы прочитали порядок команд и тут нашли ответ почему антивирус никак не отреагировал на работу скрипта.

Странно, как он могли посмотреть текст скрипта, обычно такие скрипты шифрованные...

Мне кажется это намеренно раздувают шумиху, что бы напугать народ... Miroslav ты сам видел результат работы похожего скрипта? Хоть кто то может предоставить зашифрованный файл?


Слава Богу, я пока с таким не сталкивался. Хотя в некоторых статьях и были ссылки на зашифрованные файлы.
Неоднократно встречал разбор скриптов.
Как я понимаю, нужно бекапы копировать извне. Т.е не сервер отправляет свой бекап, а удаленная машина подключается и "переливает" бекап на себя.
Читал в одном коменте,  что хорошей помощью является Дропбокс,  т.к. позволяет восстановить старую версию файла.

Оффлайн sysadmin

  • Administrator
  • сисадми́н
  • *****
  • Сообщений: 8788
  • Karma: +121/-0
  • Пол: Мужской
    • Share Post
    • сайт для сис. админов и не только...
Разницы в данном случае нет, что является источником, что получателем...

Оффлайн Miroslav

  • Опытный пользователь
  • ***
  • Сообщений: 213
  • Karma: +9/-0
  • Пол: Мужской
    • Share Post
Разницы в данном случае нет, что является источником, что получателем...

Да не так все однозначно...
Допустим, сервер сам монтирует сетевую папку и сливает бекап. В данном случае и вирус способен бекапы повредить. И о таких случаях приходилось читать.
Другое дело, если внешний комп забирает бекап с сервера... Если он уже зашифрован, то это никак не затронет более ранние копии.
так мне представляется...

Оффлайн sysadmin

  • Administrator
  • сисадми́н
  • *****
  • Сообщений: 8788
  • Karma: +121/-0
  • Пол: Мужской
    • Share Post
    • сайт для сис. админов и не только...
Имелось в в иду, если бэкап уже поврежден то разницы нет от куда и куда его копировать... по факту в хороших практиках, именно собирать бэкапы в одном месте из разных источников, нежели складывать из разных источников в одно место...

Оффлайн Miroslav

  • Опытный пользователь
  • ***
  • Сообщений: 213
  • Karma: +9/-0
  • Пол: Мужской
    • Share Post
Имелось в в иду, если бэкап уже поврежден то разницы нет от куда и куда его копировать... по факту в хороших практиках, именно собирать бэкапы в одном месте из разных источников, нежели складывать из разных источников в одно место...

Вот, именно то, что я имел в виду, только сказано научным языком  :yes4:


moved
Перенесено: Вирусы - шифровальщики на пороге!

Автор sysadmin

0 Ответов
18 Просмотров
Последний ответ Февраль 25, 2015, 10:12:23 pm
от sysadmin
exclamation
Онлайн проверка на вирусы

Автор sysadmin

0 Ответов
7952 Просмотров
Последний ответ Август 19, 2009, 02:59:04 pm
от sysadmin
exclamation
После чистки от вирусов не грузится Explorer

Автор bessmertnyi_poni

10 Ответов
2309 Просмотров
Последний ответ Август 27, 2014, 05:35:59 pm
от Fire
question
Что нужно сделать что бы ваш windows проверили на наличие вирусов

Автор Fire

1 Ответов
1537 Просмотров
Последний ответ Сентябрь 20, 2014, 04:11:55 pm
от sysadmin