Пишу об этом, так как это случалось совсем недавно в одной фирме у знакомых. Вирус пошифровал файлы на сервере. Путь проникновения вируса мне был неизвестен, но был открыт доступ по RDP из интернет. Теперь все встало на свои места. Будьте бдительны.
Вот сам текст:
Вирусы шифраторы (Filecoder)
ВНИМАНИЕ! Компания ESET предупреждает, что за последнее время зафиксирована повышенная активность и опасность заражения корпоративной сети вредоносной программой, последствиями действий которой является:
1) Шифрование конфиденциальной информации и файлов, в том числе базы данных 1С, документов, изображений. Тип зашифрованных файлов зависит от конкретной модификации шифратора. Процесс шифрования выполняется согласно сложным алгоритмам и в каждом случае шифрование происходит по определённой закономерности. Таким образом, зашифрованные данные сложно восстановить.
2) В некоторых случаях, после выполнения вредоносных действий шифратор автоматически удаляется с компьютера, что затрудняет процедуру подбора дешифратора.
После выполнения вредоносных действий на экране зараженного компьютера появляется окно с информацией «Ваши файлы зашифрованы», а также требования вымогателей, которые необходимо выполнить для получения дешифратора.
•Пример вируса-шифратора
•Требования, предъявляемые для снижения риска заражения вирусом шифратором
•Что делать, если заражение уже произошло
Пример вируса-шифратора
Как правило, перед заражением, на электронную почту пользователя приходит письмо с неизвестного адреса с приложенным к письму архивом (rar, zip, cab и т.д.). В теме письма говорится о чем-то важном – информации о задолженности, взысканию долга и тому подобное. В архив может быть вложено два файла, например, файлы «порядок работы с просроченной задолженностью.doc» и «постановление суда.exe». После запуска вредоносных файлов вирус начинает выполнять шифрование файлов в фоновом режиме, что может быть незамеченно пользователем. Вирус зашифровывает файлы различных типов, например *.doc, *.jpg, *.pdf и зачастую файлы базы данных 1С. К зашифрованным файлам добавляется расширение *.KORSARS@ASIA.COM_FM или другое. После окончании процесса шифрования, на экране появляется изображение с требованием вымогателей, а сам вирус, в некоторых случаях, бесследно удаляется с компьютера.
С целью предотвращения заражения данным видом угрозы, необходимо убедиться в том, что Ваша система соответствует указанным ниже требованиям безопасности. При условии соблюдения данных правил, вероятность заражения шифратором будет минимальна.
Требования безопасности, предъявляемые к серверам и рабочим станциям для снижения риска заражения шифратором (Filecoder)
1) Убедитесь в том, что на данный момент на Вашем компьютере включены настройки автоматических обновлений операционной системы и установлены все критические обновления. Злоумышленники могут использовать уязвимость в протоколе удаленного рабочего стола (RDP) для выполнения вредоносных действий. Наиболее серьезная из этих уязвимостей делает возможным удаленное выполнение кода, если злоумышленник отправляет уязвимой системе последовательность специально созданных пакетов RDP. По умолчанию протокол удаленного рабочего стола отключен во всех операционных системах Windows. Системы, на которых не включен RDP, не подвержены данной уязвимости. Мы настоятельно рекомендуем закрыть доступ по RDP из вне, и разрешить подключения по RDP только в пределах локальной сети. Некоторые из обновлений для устранения описанной выше уязвимости можно скачать отдельным пакетом по адресу: http://technet.microsoft.com/ru-ru/security/bulletin/ms12-020
2) Используйте антивирусные решения со встроенным модулем файервола (ESET NOD32 Smart Security) для снижения вероятности использования злоумышленником уязвимости в RDP даже при условии отсутствия необходимых обновлений операционной системы.
3) На почтовом сервере следует запретить приём и передачу исполняемых файлов *.exe, так как зачастую шифраторы рассылаются злоумышленниками в виде вложения в электронное письмо с вымышленной информацией о взыскании задолженности, информации о ней и другим подобным содержанием, которое может побудить пользователя открыть вредоносное вложение из письма от злоумышленника и тем самым запустить шифратор.
4) Запретите выполнение макросов во всех приложениях, входящих в состав Microsoft Office, либо аналогичном ПО сторонних производителей. Макросы могут содержать команду для загрузки и выполнения вредоносного кода, которая запускается при обычном просмотре документа (например, открытие документа с названием «Уведомление о взыскании задолженности.doc» из письма от злоумышленников может привести к заражению системы даже в том случае, если сервер не пропустил вредоносное вложение с исполняемым файлом шифратора при условии, если Вы не отключили выполнение макросов в настройке офисных программ).
5) Регулярно осуществляйте Backup (резервное копирование) важной информации, хранящейся на Вашем компьютере.
Что делать, если заражение уже произошло?
В случае, если Вы стали жертвой злоумышленников и Ваши файлы зашифрованы, не спешите переводить деньги на счета злоумышленников для подбора дешифратора. При условии наличия лицензии на наш продукт, обратитесь в техническую поддержку, возможно, нам удастся подобрать дешифратор для Вашего случая или такой дешифратор уже имеется. Для этого необходимо добавить в архив образец шифратора и других подозрительных файлов, если таковые имеются, и отправить данный архив нам с помощью специальной формы. Также вложите в архив несколько образцов зашифрованных файлов. В комментариях укажите обстоятельства, при которых произошло заражение, а также Ваши лицензионные данные и контактный email для обратной связи.
---
В том случае, которым я был свидетелем, сервер просто стял за adsl модемом в режиме роутера с проброшеным портом 3389 (rdp). Сразу поставил файрвол в виде mikrotik 750, который показал постоянную долбёжку на rdp с украинских адресов. Видимо на Украине этих подлецов совсем не ловят... Ответили на емэйл и предложили заплатить 10000 руб...
Нашелся бэкап важных данных иначе дело дрянь, пишут что пошифровано все c rsa1024. Пробег всех файлов диска это иногда очень долго, поэтому эти нехорошие люди шифруют только первые и последние 32 КБ каждого файла, что является достаточным, чтобы файл стал неюзабельным
Karimych
Знакомая штука... только вот это не вирус не фига, не совсем вирус точней. Мы цело расследование проводили по этой гадости. Да, уязвимость по RDP, да, больше всего страдает 2003-я винда. Да, шифрование Rsa1024. Да, украинские IP. Это все верно. Мы даже знаем где их программулинки лежат, откуда их скачать можно и как все это дело шифруется. Но! это не автоматический режим! "долбятся", автоматом, - да. А вот шифруют ручками! точнее ручками комманды выполняют. Любят 1С базы, не любят program files, каталог винды...
Если есть желание, - могу подсказать куда залезть и что скачать, чтобы у себя эту ситуация сэмитировать .
Шифруют через .NET. докидывают ключ и шифруют стандартными средствами.
В прочем мы на вирус инфо, др.вебу, все выдавали, т.к. касперский нас послал "ой как сильно все зашифровано, мы ни чем не поможем, - опасайтесь, защищайтесь. но мы изучать ничего не будем", а вот в DR.WEB совместно с нами изучали, но тоже не долго...
Кстати дешифратор не поможет. И не поможет даже заплатить злоумышленникам бабло... они сами не гарантируют что 100% все дешифруется. И есть те кто платили, лично знаем, и толку 0, самое важное как раз не дешифровалось. Они же скоты не хранят ни пароли ни ключ что использовался при шифровании... Поэтому как раз если антивируса на компе не было, то повезло, - могут остаться следы, - дешифровать возможно. А если антивирус был и или им прогнали после шифрования... то скорее всего поезд уже ушел.
НО! Зато после того как пару клиентов попали на этот "вирус", то наконец-то стали слушать что надо покупать что-то с аппаратным firewall, что антивирус приобретать тоже надо. Что надо использовать что-то для бекапов, какой-нибуть NAS... А так... пока петух не клюнул хрен кому что было можно доказать.
При чем один клиент попал 2 раза!!! почти в подряд на одно и то же! И только со второго раза понял, что не шутки и надо закупаться...
Млин! Детский сад голимый. exe-шик по емаил. Его запустить надо... Админ на сервере экзешник из почты запускает...
Жуть. Ибо даже убитая вирусом рабочая станция ничто.
А это значит Система без антивируса совсем. Даже нод молчком у юзеров вируса режет.
Это новогодняя страшилка совсем начинающего админа? А голову пользовать не предполагается? _________________
LeXiy
Не сталкивались, не знаете, а рассуждаете! Да не вирус это нефига! Поэтому и антивирусы пропускают. Пользователь же сам на все соглашается...
Голову... вы видели юзеров которые ею пользоваться умеют?!
Поиск 
Пользователи 
Правила форума
Регистрация
Профиль 
Личные сообщения 
Вход
.
