Вирус-шифровальщик: кто сталкивался?

Discussion in 'Hardware and Software' started by LostCluster, Nov 2, 2014.

  1. LostCluster

    LostCluster Well-Known Member

    Joined:
    Jan 24, 2002
    Messages:
    12,448
    Location:
    Russia
    Вирус-шифровальщик: кто сталкивался?

    Позвонил знакомый с такой проблемой.
    Посмотрел: все файлы типов doc, docx, rtf, pdf, jpg, tif зашифрованы.
    Возможно, и ещё какие-то эти точно видел.
    У зашифрованных файлов расширене изменено на .code.
    Типа, xxxxx.jpg.code
    И в каждой папке лежит текстовый файл с сообщением типа:
    Пиздец, совсем уже обнаглели пидарасы.
    Вот таких точно убивать надо.
     
  2. Flk

    Flk Well-Known Member

    Joined:
    Aug 21, 2002
    Messages:
    17,076
    Location:
    Izhevsk
  3. schuss

    schuss Well-Known Member

    Joined:
    May 29, 2001
    Messages:
    3,663
    Location:
    Moscow
    Re: Вирус-шифровальщик: кто сталкивался?

    Одно из двух: либо через какую-то дыру системы залезли, либо емылом пришло письмо с файликом, через который всё и завертелось. Письмо могло быть от самого близкого друга или из партнёрской конторы. Если стоял коммерческий антивирь, то в первую очередь писать/звонить в саппорт того антивиря, который стоял. Если это зашифровалось на компе, к которому есть доступ из инета через RDP, то провести аудит подключений и паролей. Вот тут можно узнать много интересного про эти пакости.
    И достаточно высока вероятность, что никто, кроме самого автора троянца, данные расшифровать не сможет. Ещё есть риск, что и сам автор не всё расшифрует - были прецеденты, когда шифровальщик файлы не шифровал, а необратимо портил.
    А на будущее есть только один надёжных способ защиты данных от таких неприятностей: регулярные бэкапы, причем так, чтобы копии не были доступны для записи с компа, на котором хранятся оригиналы...
     
  4. SSTSPb

    SSTSPb Well-Known Member

    Joined:
    Jan 20, 2010
    Messages:
    1,668
    Location:
    Piter
    Re: Вирус-шифровальщик: кто сталкивался?

    недавно столкнулись. пришло письмо якобы из арбитражного суда, человек открыл вложение с расширением scr (скринсейвер), дальше вирус заражает винрар (подмена файлов вроде происходит) и шифрует кучу самых используемых форматов.
    варианта два: или платить или ждать расшифровщика от касперского или др.веба. были официальные подписки на оба антивиря, отправили им образцы. чем закончилось - пока не знаю.
    ради эксперимента поставил виртуальную машину, на нее винду и винрар, заразили, зашифровало. ни один из расшифровщиков доступных с сайта каспера не сработал. на форумах пишет у др. веба есть, но там только через саппорт можно получить было
     
  5. LostCluster

    LostCluster Well-Known Member

    Joined:
    Jan 24, 2002
    Messages:
    12,448
    Location:
    Russia
    Re: Вирус-шифровальщик: кто сталкивался?

    Зараза пришла с письмом, да.
    Пока не удалось расшифровать.
    Получил информацию, что 30.10 многие у нас в городе подверглись этой атаке.(в том числе и мой знакомый тоже)
     
  6. SSTSPb

    SSTSPb Well-Known Member

    Joined:
    Jan 20, 2010
    Messages:
    1,668
    Location:
    Piter
    Re: Вирус-шифровальщик: кто сталкивался?

    только что еще один человек открыл вложение и зашифровал (админ. права имел и был невнимателен, не посмотрел от кого и что за вложение). вот теперь наводим шухер, проверка прав пользователей, запугивание и прочие админ. методы
     
  7. schuss

    schuss Well-Known Member

    Joined:
    May 29, 2001
    Messages:
    3,663
    Location:
    Moscow
    Re: Вирус-шифровальщик: кто сталкивался?

    1. Лишаем юзеров админских прав.
    2. Запрещаем юзерам запись в любые каталоги, где лежат рабочие исполняемые файлы.
    3. Запрещаем тем же юзерам запуск любых исполняемых файлов, находящихся за пределами каталогов, перечисленных в пункте 2.
    Подробности, как это сделать, к примеру, есть вот тут: http://support.microsoft.com/kb/324036/ru

    И бэкапы, бэкапы, бэкапы регулярно!!!

    ЗЫ. Запустившего троян админа уволить за профнепригодность! :dark:
     
  8. rgreat

    rgreat FH Developer

    Joined:
    Jul 19, 2000
    Messages:
    42,051
    Location:
    Russia
    Re: Вирус-шифровальщик: кто сталкивался?

    Ага, а потом внезапно выясняется что производительность работы упала раза в 3.

    Т.е. вместо работы идет борьба за работу.

    P.S. За то что юзер открыл почтовое вложение с вирусом надо ебать админа почтового сервера.
     
  9. Stefan

    Stefan FH Beta Tester

    Joined:
    Feb 14, 2001
    Messages:
    22,266
    Location:
    Пивбар
    Re: Вирус-шифровальщик: кто сталкивался?

    Проверенно на личном опыте. Самое лучшее.

    1 5 минут погуглить на предмет известных раширений таких файлов.
    2 Создать правило на запрет создания файлов с таким расширением.
    3 Сопрвождающий файл messages.txt. При появлении файлов - messages.txt и любых файлов с известными расширениями отсылаем письмо администратору.

    P.S. в первый раз у нас было зашифровано и потеряно около 300к фалов. Хорошо что это всё находилось на ресурсе обмена.
    После применений правил 1-3, 5 или 6 попыток вторжения, были обломаны.
     
  10. Stefan

    Stefan FH Beta Tester

    Joined:
    Feb 14, 2001
    Messages:
    22,266
    Location:
    Пивбар
    Re: Вирус-шифровальщик: кто сталкивался?

    Вирус работает без админских прав.
    А смысл? Шифруются doc, docx, jpg и прочая муть.
    Вариант, но мутно. Думаешь в %appdate% нет нужных исполянемых файлов?
    Где взять столько места?
    Да ладно. Проф риск. Но то что админ это делает в общей сети то это просто лишение премии.
     
  11. SSTSPb

    SSTSPb Well-Known Member

    Joined:
    Jan 20, 2010
    Messages:
    1,668
    Location:
    Piter
    Re: Вирус-шифровальщик: кто сталкивался?

    юзеры у нас и так без админ. прав в 95% случаев. почему почтовый сервер не блочит - это уже не к нам вопрос. расширения зашифрованных файлов встречал разные.
    седня ставили касперского, хотя он новых шифровальщиков вроде как не блочит и пропускает
     
  12. bah---

    bah--- Well-Known Member

    Joined:
    Nov 21, 2001
    Messages:
    8,352
    Re: Вирус-шифровальщик: кто сталкивался?

    Извиняюсь, что влажу в вашу беседу, но спроси у человека: как часто он письма с вложениями из арбитража получает?
    Я вот ни разу. Это я им шлю всякие pdf и doc вложения. :) А вот мне арбитраж до сих пор присылал только уведомления, что мои доки приняты/не приняты. И то сцуко робот отвечает. :zzz: Остальное все только через определения суда. Никаких писем собаки на почту не пишут. :zzz: :mafia:
     
  13. SSTSPb

    SSTSPb Well-Known Member

    Joined:
    Jan 20, 2010
    Messages:
    1,668
    Location:
    Piter
    Re: Вирус-шифровальщик: кто сталкивался?

    да понятное дело, что подобная хрень рассчитана на невнимательность и неожиданность. типа ой! страшное письмо! что ж там они прислали? всегда ж найдется кто откроет.
     
  14. rgreat

    rgreat FH Developer

    Joined:
    Jul 19, 2000
    Messages:
    42,051
    Location:
    Russia
    Re: Вирус-шифровальщик: кто сталкивался?

    И именно по этому письма со вложениями типа Document.doc.scr не должны доходить до юзера!

    Это даже если антивирус их проигнорировал. Хотя вангую что антивируса там тупо нет.
     
  15. schuss

    schuss Well-Known Member

    Joined:
    May 29, 2001
    Messages:
    3,663
    Location:
    Moscow
    Re: Вирус-шифровальщик: кто сталкивался?

    В правильно настроенной системе их там быть не должно! :znaika:
    И второе с третьим должно идти вместе!

    А тут уж считаем, что дешевле - потери от подобного рода атак или просто рухнувшей в результате взглюка винды файловой системы или дополнительные диски для бэкапа. ;)

    И без вазелина!!!
     
  16. schuss

    schuss Well-Known Member

    Joined:
    May 29, 2001
    Messages:
    3,663
    Location:
    Moscow
    Re: Вирус-шифровальщик: кто сталкивался?

    А также Document.doc.vbs, Document.doc.js и т.д., а ещё архивы с такими файлами. И подобные шифровальщики могут быть не аттачем в письме, а ссылкой на внешний сайт, где выложен файл троянца.
    А ещё это может быть просто Document.doc, у которого внутри RTF-эксплойт с приветом МСОфису без установленных исправлений. Ворд с апдейтами просто сообщает об ошибке при попытке открыть такой doc, а ворд без апдейтов запускает процесс шифрования...:fly2:
     
  17. schuss

    schuss Well-Known Member

    Joined:
    May 29, 2001
    Messages:
    3,663
    Location:
    Moscow
    Re: Вирус-шифровальщик: кто сталкивался?

    С чего вдруг? Все нужные для работы приложения запускаются, все файлы сохраняются куда нужно, но при этом всякую левизну юзер запустить не может. Собственно, при правильной настройке даже антивирус не нужен - "левые" или заражённые вирусом файлы сама система не запустит. Заодно юзверь не запустит притащенную на флэшке пакость. Жаль, нет в винде простой возможности (желательно - прямо при установке) перебросить весь %userprofile% на другой раздел с полным запретом запуска исполняемых файлов из этого раздела, как в линухе, да и у авторов виндовых программ дурная привычка на любой чих требовать админских прав или запускать что-нибудь и юзерского каталога.

    Особенно если это doc-файл cо свеженьким эксплойтом, который ещё не детектится антивирусами... :shuffle: