{"id":13842,"url":"\/distributions\/13842\/click?bit=1&hash=4092fa5bbad74653204c7561dcd5fe57486fea481929ecdbf7bbf16b31cd3087","title":"\u041a\u0430\u0436\u0434\u044b\u0439 \u043f\u0440\u043e\u0434\u0430\u0432\u0435\u0446 \u043d\u0430 \u00ab\u041c\u0430\u0440\u043a\u0435\u0442\u0435\u00bb \u0445\u043e\u0442\u044c \u0440\u0430\u0437 \u043e\u0431 \u044d\u0442\u043e\u043c \u0434\u0443\u043c\u0430\u043b ","buttonText":"\u041e \u0447\u0451\u043c?","imageUuid":"a6164600-1125-55db-8c60-f927d5e7e7d4","isPaidAndBannersEnabled":false}

"Как мы защищались от шифровальщика, и сколько это нам стоило"

Данная статья имеет информационно-развлекательный характер.

Автор статьи - Виталий Колпаков, Специалист департамента интеграции компании "ОЛЛИ ИТ" г. Санкт-Петербург

Невыдуманная история

14.04.2020 9:42:01 Отдел бухгалтерии

Дело было теплым апрельским утром, ничто не предвещало беды для компании Н, как вдруг Некто (Зоя Васильевна) из отдела бухгалтерии открыла письмо о профориентационных курсах, пришедших всему отделу.

В письме было приглашение на бесплатные курсы профориентации для специалистов самого высокого уровня. Решено - нужно участвовать и пройти регистрацию.

20.04.2020 14:00:33

Менеджер отдела закупок увидел сбои в работе всей системы документаоборота и 1С. По привычке оставил заявку техническому отделу, и, получив очередной ответ "разберемся" стал дальше проверять данные поставщиков, но уже с меньшей продуктивностью.

24.04.2020 16:30:52

Добрая половина офиса жалуется на работу компьютеров и потерю данных. Дело усугубляется остановкой работы отделов HR. ИТ служба понимает, что эти выходные она проводит в офисе.

27.04.2020 10:10:01

Работа некоторых отделов заморожена. Пятая часть ПК вышла из строя. Новости дошли до верхнего руководства.

Разбор этапов

Разберем, что же произошло с компанией Н.

Как многие догадались, внедрение зловреда произошло по почте через отдел бухгалтерии. На самом деле сотрудник любого отдела может стать «точкой входа» вредоносного ПО. После чего, начнутся этапы заражения. Давайте опишу их вкратце. В целом, зоопарк вирусов очень разнообразный, но алгоритмы похожи.

Итак:

Для начала идентифицируем вид вирусного ПО. Симптом потери данных и снижение скорости работы присущи двум видам вирусов: RootKit и BothNet.

Для справки - RootKit - ПО, которое предоставляет доступ к управлению компьютером злоумышленникам.

BothNet - ПО, которое соединяет зараженный ПК в сеть, которая используется для DDos атак. BothNet «крадет» часть ресурсов зараженного ПК для осуществления этих атак.

Пропажа данных у HR, как раз показывает управление данными сторонним пользователем. Скорее всего эти данные будут проданы теневым биржам, для оформления микрокредитов или точечной рекламной рассылки.

ЭТАП 0

Этот этап является самым долгим, он может проходить до 6 месяцев, в зависимости от защищенности всей инфраструктуры. Во время этого периода в организацию внедряются ПО, собирающее целевую информацию. Оценивается масштаб финансового ущерба. Собирается статистика и финансовые показатели организации: периоды работы сисадмина, защищенность сегментов сети, фактический оборот компании, зависимость от определенных сервисов и увеличения атакуемых сотрудников, для целевого фишинга и соц. инжиниринга.

ЭТАП 1

В письме злоумышленника была прикреплена презентация PDF. PDF файлы могут содержать вложения с вирусами. Заражение происходит в момент открытия файлов.

Инфицирование и копирование кода вируса по системе.

ЭТАП 2

“Один из возможных”.

Подмена API и получения RooT-прав (управления ПК). Если проще, то это стадия, когда управление переходит в руки злодеев.

ЭТАП 3

Получение данных о работниках.

Получение платежной информации.

Получение информации о заказчиках и поставщиках.

Извлечение и продажа данной информации.

ЭТАП 4 (терминальный)

Уничтожение системных файлов и внедрение посторонних ПО для управления hardaware-ной части ПК. Отключение системы охлаждения и механизма тепловой блокировки системы. В следствии перегрева - выход из строя части ПК, где RootKit внедрил часть вредоносного кода в hardware.

Последний этап используется злоумышленником чаще в заказных атаках. Подобными атаками пользуются конкуренты для остановки производства или нарушения технологических цепочек.

Насколько глубоко?

Теперь прикинем во сколько обошлись вышеперечисленные события и оценим масштабы поражения.

Данные представлены в виде таблицы:

Памятка зараженным

Вот большинство признаков заражения, если верить статье:

  • автоматическое открытие окон с незнакомым содержимым при запуске компьютера;

  • блокировка доступа к официальным сайтам антивирусных компаний, или же к сайтам, оказывающим услуги по «лечению» компьютеров от вредоносных программ;
  • появление новых неизвестных процессов в выводе диспетчера задач (например, окне «Процессы» диспетчера задач Windows);
  • появление в ветках реестра, отвечающих за автозапуск новых записей;
  • запрет на изменение настроек компьютера в учётной записи администратора;
  • отсутствие возможности запустить исполняемый файл (выдаётся сообщение об ошибке);
  • появление всплывающих окон или системных сообщений с непривычным текстом, в том числе содержащих неизвестные веб-адреса и названия;
  • перезапуск компьютера во время старта какой-либо программы;
  • случайное и/или беспорядочное отключение компьютера;
  • случайное аварийное завершение программ;
  • снижение производительности при достаточном объёме памяти, вплоть до «зависаний» с аномальным перегреванием системного блока;
  • случайное появление BSoD при запуске компьютера;
  • появление неизвестных файлов и каталогов в файловой системе ОС, которые обычно выдают ошибку удаления;
  • шифрование или повреждение пользовательских файлов;
  • неизвестные изменения в содержании системных файлов при открытии их в текстовом редакторе;
  • быстрая утечка памяти на жестком диске.

Чего не хватает современной защите

Существует много точек входа вредоносного ПО и злоумышленников, и данная статья наверняка не осветит и 10% всех интернет угроз, но определенно точно расскажет, что можно предпринять чтобы защититься от 70% всех угроз.

А вот чего. Большинство сисадминов и пользователей думают так: “Раз я КУПИЛ себе антивирус - я нахожусь, как за каменной стеной”. Формально это так и есть, только проблема стоит шире вирусного заражения, особенно в корпоративной среде. Сегодня самой серьезной проблемой стоит не само вредоносное ПО, а предлог к его запуску. Этими материями заведует “социальный инжинирнг", для непросвещенных - набор методов психологического/социального воздействия на пользователя (читайте сам Хабр/Вики). Если коротко, Вас вынуждают действовать в нужном для злодея направлении, ссылаясь на внешние причины.

Отвечая на вопрос, как же мне защититься от Petya? (установку и использование антивирусов опустим), разобьём ответ на две части. Для людей/ для компаний.

Для людей:

  • освоить ДВУХФАКТОРНУЮ АУТЕНТИФИКАЦИЮ;
  • поменьше разрешать программам использовать права администратора;
  • "серфить" по здоровой части интернета, очевидно, что сайту НОВОГО 100% ЭФФЕКТИВНОГО СРЕДСТВА ДЛЯ ПОХУДЕНИЯ будет мало доверия;
  • оставлять свои данные в проверенных источниках, вроде "ГосПортала" и тп. Некоторые компании грешат продажей контактов своих клиентов. (Пруф Аваст/ Пруф РБК);
  • установить АНТИВИРУСНОЕ РАСШИРЕНИЕ на браузер. В 2020-ом люди получают 90% информации из браузера, поэтому и антивирусы перебираются в online.

Вряд ли защита от DDos атак или Supply-chain атак будут актуальны для обычных пользователей ПК.

Для компаний:

Рынок решений ИБ сейчас действительно большой. Среди огромного выбора можно запутаться что необходимо, а что пустая трата денег.

  • освоить ДВУХФАКТОРНУЮ АУТЕНТИФИКАЦИЮ;
  • МСЭ (межсетевой экран) - является базой для всех следующих модернизаций ИБ службы (Cisco, PaloAlto, CheckPoint, FortiNet и др.);
  • антиспам служба (облачная/на сервере) (Exchange, Kasperski);
  • песочница (облачная/на сервере) (Microsoft 365);
  • MDM-системы для отслеживания и управления теневой частью корп. Сети (Microsoft 365);
  • защита от DDos (Они есть у многих вендоров - известные Kasperski/Radware).

Все остальное будет полезно при сохранении очень дорогой информации, однако это не является необходимым минимумом. (см. ниже)

Системы предотвращения утечек данных/фильтрация трафика/Резервное копирование и восстановление/Архивирование данных/Многофункциональные комплексы/Антишпионское ПО/Средства шифрования/Сканеры уязвимости/.

/SIEM-системы/Безопасность КИИ и ГосСОПКА/Защита приложений/Web Application Firewall/CDN/Балансировка нагрузки/Защита баз данных/Защита данных/Контроль доступа

Пишите - подскажу, что подойдет лучше всего.

Вместо концовки

Вот как могли бы развиваться события, если бы каждая точка входа была защищена

Альтернативная вселенная «Земля #4827».

14.04.2020 9:42:01 Отдел бухгалтерии

Зоя Васильевна перешла по ссылке, но посредством «песочницы» и антивируса вредоносный файл-презентация не ушел дальше письма, и был сразу занесен в карантин.

20.04.2020 14:00:33 Отдел закупок’

Работает в прежнем режиме.

24.04.2020 16:30:52 Отдел IT

Работает в прежнем режиме.

27.04.2020 10:10:01

Работает в прежнем режиме Отдел HR.

0
11 комментариев
Написать комментарий...
Gibrada Retarade

А всего-то надо было ещё лет 5 назад снести везде мастдай, перейти на убунты или маки и каждый вечер ввести правило бекапить важные документы на версионировуемое хранилище.

Ответить
Развернуть ветку
3216q114

Бэкапы тоже нужно уметь организовать, и очевидно что если после открытия письма у вас падает весь IT, то организовано не очень. И скорей всего бэкапы также затрутся или зашифруются.

А статья просто вода. Не рассказывающая как в реальности это бывает. И не рассказывающая как от этого в реальности защититься. В общем в топку.

Ответить
Развернуть ветку
Gibrada Retarade

Бекапы: хотя-бы так: Зинаида, вот ты закрыла документы вечером, берёшь их руками мышкой копируешь вот в этот сетевой каталог и только тогда идёшь домой. Каждый день в новую папку с именем этого дня. Старые папки не удаляются и физически не перезаписываются.

Ответить
Развернуть ветку
3216q114

Пользователь вообще не должен заморачиваться бэкапами. Максимум руководитель отдела должен дать тз, что и как часто бэкапить (файлы), если ресурсы ограничены. Я вообще против хранения документов на локальном пс они уже должны быть в сетевой папке. 

Ответить
Развернуть ветку
Gibrada Retarade

Что там пользователь не должен - это идеализм и мечты. Когда на предприятии вообще бекапов нет, то хотя-бы моя военно-строевая система спасёт кучу нервов, если уж пользуются виндами и качают вирусы.

Ответить
Развернуть ветку
3216q114

Да просто если сеть заразили, то ваш совет врятли поможет, так как эту сетевую папки (а скорей всего весь сервер) тоже зашифруют.
Это максимум может помочь от поломки накопителя и заразы
которая  не умеет в распространение.

Ответить
Развернуть ветку
Gibrada Retarade

Нет такого понятия "сеть заразили". Заражены всегда какие-то конкретные виндовсы у тётенек.
Сетевая хранилка может быть на упоротом непробиваемом OpenBSD каком-нибудь.
Сетевая папка readonly, её физически нельзя зашифровать. Сетевая папка поддерживает только операции "создать каталог" и "скопировать в этот каталог документики".
Если новые документики будут шифрованные, то всегда сохранятся нормальные за предыдущие дни.

Ответить
Развернуть ветку
Ясный фитиль

Time Machine на внешнем диске и делов-то 

Ответить
Развернуть ветку
Gibrada Retarade

Ну это если они яблокодрочеры. Но там же винда повально у бухгалтеров обычно.

Ответить
Развернуть ветку
Prolis Labkk

1. Описан не Петя
2. В апреле 2020 были проблемы и похлеще

Ответить
Развернуть ветку
Евгений Тимонин

не знаю как у кого такой вирус как так называемый petya на старую win server 2003 хватал ещё в 2012 году стояла на нескольких серверах блочился доступ к дискам и естественно шифровались данные на них после перезагрузки выскакивало окно в место бутскрина с требованием выслать денег решалось всё полным форматированием диска в несколько проходов с разными алгоритмами форматирования и подьем из acronis копии сервера то же и с клиентскими компьютерами простой сетевых ресурсов от часа до 2 в зависимости от обьема дисков и мощности самого оборудования но это во всяком случае лучше чем простой на день или сутки

Ответить
Развернуть ветку
Читать все 11 комментариев
null