У нас уже была одна тема но тогда угроза казалась призрачной и особого внимания на это никто не обратил, до тех пор пока несколько дней / недель назад наши местные админы, в том числе и форумчане столкнульсь с “реалиями жизни” - у пользователей стали шифроваться файлы…
Итак в краце что по факту происходит:
Вирус распространятеся по почте
Почтовое сообщение содержит вложение или ссылку на архив в дропбоксе, гугл драйве, другом облаке
Вложение представляет из себя файл архива содержащим сам вирус, который представляет из себя js файл (как правилос очень длинным именем)
Архив (вложение) как правило имеет тематическое название, типа - Сч-фактуры.zip или -фактуры - october_e2c.zip и все в таком духе
Текст сообщения как правило связан с предосталвением налоговой отчетности, бухгалтерией и т.п.
Мне за последнее время попалось несколько экземпляров скриптов вируса, разные по синтаксису но принцип примерно у всех похожий итак после запуска файла вируса происходит следуюущее:
Запускается js файл
Создает нужные файлы для работы (это могут быть exe, bat, cmd, pif, vbs, dll файлы)
Замечено, что название файлов и каталогов как правило рандомные
Замечено, что в процессе работы создается в ОС RSA ключ (C:\ProgramData\Microsoft\Crypto\RSA\MachineKeys)
Создаются файлы (в разных месторасположениях) CONFIRMATION.KEY, VAULT.KEY, VAULT.hta (собственно само уведомление о том что файлы зашифрованы и т.п.)
Происходит поиск файлов по всевозможным источникам (популярные типы “офисных” расширений)
После нахождения шифрование и переименование фалов с добалвением в качестве расширения, расширения - vault
Так же производится попытка удалить теневые копии
Доп. инфо
js файлы, содерат достаточно запутанный и зашифрованный код прошедший обфускацию
код может быть сжат JavaScript Compressor’ом
исполняемые файлы генерируемые вирусом содержатся в теле вируса, т.е. вирус является лоадером
основные папки где инциализируется вирус - %temp%, %appdata%
после работы, вирус добавляет VAULT.hta в автозагрузку через Start Menu (C:\Users\test\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup)
Боюсь что защититься от таких типов вирусов не получится в ближайшем будущем, тем более что лечение тем более мало вероятно.
Мы повсеместно внедряем централизованное бэкапирование с помощью Bacula. Единственно правильное средство имхо.
Как говорил один мой коллега:
Системный администраторы делятся на два типа, те кто делают бэкапы и те кто уже сделал.
Специалисты антивирусной компании «Доктор Веб» разработали методику расшифровки файлов, ставших недоступными в результате действия опасного троянца-энкодера Trojan.Encoder.2843, известного пользователям под именем «Vault».
[tt]эта услуга бесплатна для пользователей коммерческих лицензий Dr.Web[/tt]
А у кого нибудь есть этот вирус,хочу протестить его
Но как это повлияет на производительность, в частности на “слабых” машинах? Вирус попросту не сможет проникнуть на машину, так как все ресурсы будут загружены на 100 процентов ))
Опять же повторюсь, вирус не сможет удалить теневые копии, если у пользователя не будет административных прав, поэтому необходимо закручивать безопасность, на антивирусы надежд мало…
Основные рабочие документы, храните на сервере или в перемещаемых профилях. Ну и все же на рабочих станциях включить защиту желательно.
Так же отработайте варианты запуска исполняемых файлов, в особенности из appdata, temp… Запретить установку и запуск из неизвестных мест не администраторам…
У антивирусов есть Sandbox - песочница, она же как раз от этого защищает?
Недавно обратилась одна особь, у которой зашифрованы файлы. Расширение у файлов .cbf
Дешифратор от дрвеба не смог расшифровать ни один файл, в инете пишут что печалька вышла с этими файлами. Везде инструкции по удалению самого зло вреда, а как привести файлы к первоначальному виду инфы нет.
Теперь многие пользователи задумались о бекапах)
Говорят действенным является запуск программ только из папки Program Files.
И да сетевые диски еще как шифруются, на моем примере был зашифрован весь сетевой диск вирусом VAULT. Благо не все данные пострадали т.к. угрозу локализовали и у пользователя был ограниченный доступ (NTFS/ACL)
Все верно, так и надо - минимальный набор, только необходимых разрешений - в системе, информационной среде, разрешений необходимых для выполнения своих производственных задач, не более…