Вы используете устаревший браузер!

Страница может отображаться некорректно.

Незваные гости

Незваные гости

Другие выпуски этой рубрики (91)
  • добавить в избранное
    Добавить в закладки

Архиватор-«предатель»

Прочитали: 1612 Комментариев: 51 Рейтинг: 68

«Вас не пугает ваш архиватор?» Многие удивятся такому вопросу: «Конечно нет. Вот шифровальщика словить – это страшно, а чем архиватор-то опасен»?

В нашу техподдержку поступил такой запрос:

В результате вирусной атаки часть моих данных была заархивирована и запаролена.

Из обращения в поддержку «Доктор Веб»

Антивирус, редиска такая, не отработал и пропустил атаку. Но на самом деле оказалось, что:

Вероятнее всего произошел несанкционированный вход, через подбор/похищение пароля одной из учетных записей, по RDP (или через терминальную сессию).

Злоумышленник запустил легальную программу для сжатия данных, добавил данные в архивы, вручную был введен пароль на архив из длинной последовательности символов.

Из ответа специалиста поддержки «Доктор Веб»

Не было никакого вируса.

Скорее всего, был слабый пароль и обычный архиватор – и этого оказалось достаточно для потери данных. А вот злоумышленник пароль на архив поставил грамотно.

Наши постоянные читатели знают, что зачастую для атак используются легитимные программы. Описанный случай не уникален. В операционной системе есть все, что нужно злоумышленнику. Например, программы шифрования.

И ни один антивирус не среагирует на действие, если удаление данных идет от имени пользователя и при помощи легитимного архиватора. Откуда он знает, что это не вы?

#брандмауэр #бэкап #ВКИ #защита_от_потери_данных #корпоративная_безопасность #патч

Dr.Web рекомендует

Задайте сложный пароль для всех учетных записей и для всех ОС, которыми вы пользуетесь (не менее 8 символов, содержащий буквы разного регистра, цифры и спецсимволы).

Заблокируйте неиспользуемые учетные записи.

Активируйте системную политику для паролей, при которой запрещается использование «слабых» паролей, укажите максимальный срок действия пароля (это позволит избежать использования «утекших» паролей, если учетная запись применялась на некогда зараженном ПК). Политики паролей настраиваются через редактор групповых политик (GPO): Конфигурация компьютера → Конфигурация Windows → Параметры безопасности → Политики учетных записей → Политика паролей.

Используйте политики блокировки учетной записи (настройте их также через редактор GPO), задав допустимое число ошибочных вводов пароля. Это защитит от подбора пароля.

Включите службу Автоматического обновления и установите все предложенные обновления. В первую очередь – патч MS17-010.

С помощью Брандмауэра установите ограничение на удаленное подключение, оставив возможность подключения только с определенных адресов.

Если вы используете удаленное подключение, измените стандартный порт для подключения к RDP (сделав это через реестр).

Используйте меры защиты от сканеров портов, проведите аудит доступных сетевых сервисов и закройте их для внешней сети.

Рассмотрите вариант изменения политики доступа к RDP, разместив RDP за шифрованным туннелем, и используйте VPN для доступа к серверу извне.

Используйте только актуальную версию Dr.Web, сейчас это 12-я.

В случае с корпоративной версией антивируса используйте возможности Контроля приложений. Он позволяет настроить список запрещенных и разрешенных к запуску приложений, а значит – повысить уровень защиты.

При работе в сети никогда не отключайте файловый монитор SpIDer Guard и Превентивную защиту.

Защитите настройки антивируса паролем, чтобы сделать невозможным отключение компонентов защиты. Пароль на антивирус не должен совпадать с паролем к системе. Для корпоративной версии настройка пароля описана в документации.

Не предоставляйте право на отключение компонентов и редактирование настроек антивируса пользователям вашей сети (для корпоративной версии Dr.Web права доступа настраиваются в Центре управления: Антивирусная сеть → станция или группа → Права).

При соединении с Интернетом антивирус должен обновляться не реже чем раз в час, контролируйте успешность обновления вирусных баз.

Не злоупотребляйте списком исключений для проверки, не включайте в него папки с временными файлами и программами.

Включите в настройках системы отображение расширений файлов, чтобы всегда видеть, какой тип файла вы запускаете (Пуск → Панель управления → Параметры папок → Вид → убрать галочку Скрывать расширения для зарегистрированных типов файлов), так как очень часто к офисным файлам типа *.doc злоумышленники добавляют исполняемое расширение.

Регулярно выполняйте резервное копирование ценной информации на носители, которые недоступны для записи из основной системы, в которой хранятся оригиналы.

Для систем, выполняющих роль серверов с внешним доступом, включите аудит безопасности (Локальная политика безопасности → Локальные политики → Политика аудита) и регулярно анализируйте журналы безопасности системы, чтобы вовремя увидеть неуспешные/успешные попытки несанкционированного доступа и принять меры (ознакомиться с кодами событий безопасности можно здесь).

И последнее. Ситуация, описанная выше, может являться частью спланированной атаки на вашу организацию. Мы всегда готовы подключиться к расследованию компьютерного инцидента.

Интересует? Тогда вам сюда.

Получайте Dr.Web-ки за участие в проекте

Каждая активность = 1 Dr.Web-ка

Оцените выпуск

Сделайте репост

Поставьте «Нравится»

Чтобы получать награды надо войти на страницу выпуска через аккаунт на сайте «Доктор Веб» (или создать аккаунт). Аккаунт должен быть связан с вашим аккаунтом в социальной сети. Видео о связывании аккаунта.


Нам важно ваше мнение

10 Dr.Web-ок за комментарий в день выхода выпуска или 1 Dr.Web-ка в любой другой день. Комментарии публикуются автоматически и постмодерируются. Правила комментирования новостей «Доктор Веб».

Чтобы оставить комментарий, нужно зайти через свой аккаунт на сайте «Доктор Веб». Если аккаунта еще нет, его можно создать.

Комментарии пользователей


 
На страницу: