-
добавить в избранное
Безопасность «для галочки»
17 августа 2020
Вот весьма типичный запрос в нашу техническую поддержку:
Обнаружили что все базы зашифрованы, и везде лежат копии текстового документа, в них текст с требованием заплатить денег. После чего просканировали систему программой dr web cureit, вирус был удален.
Запрос поступил от нашего клиента, стали разбираться – и в очередной раз оказалось, что… вируса не было.
После входа по RDP злоумышленник запустил шифрующий скрипт, который запускает программу шифрования openssl и задал пароль вручную.
Вот так «сошлись звёзды»:
- Есть встроенные возможности операционной системы.
- Есть возможность удаленного входа.
- Есть слабый пароль.
Его подбирают, заходят удаленно и вручную запускают имеющееся в системе ПО.
Причем не исключено, что перед атакой на конкретную машину преступник погулял по сети:
На ПК… нет следов запуска шифровальщика. Возможно, что он использовался только как точка входа в Вашу сеть.
Мы периодически сетуем, что пользователи приобретают антивирус «для галочки», не устанавливают его, а потом его же и обвиняют в проблемах.
Итак, заражения у обратившегося пользователя не было, но он изначально этого не знал.
- Установленный dr web не обнаружил вирус (Наверно отключили злоумышленники).
- На сервер… антивирус Dr.Web был установлен уже после шифрования, логов антивируса нет за более ранний период (поэтому процесс запуска шифровальщика не зафиксирован).
Самое печальное, что администратор теоретически был готов к такой ситуации, потому что далее он написал:
Есть ли у Вас возможность написать ваши рекомендации в виде письма, на фирменном бланке? Для руководства, что бы больше не спрашивали зачем сложные пароли, vpn, и все остальное...
Видимо, руководство не раз возмущалось: зачем нужна эта безопасность?
#антивирус #взлом #вымогательство #корпоративная_безопасность #ответственность #признаки_заражения
Антивирусная правДА! рекомендует
Антивирус – это средство удаления вредоносных программ. Это – наш конек, именно по вопросам заражения мы консультируем пользователей. Но что происходит дальше, после завершения обработки вирусного инцидента? Пользователь получил от нас консультации по удалению вредоносного ПО, удалил его… Но решена ли проблема?
Когда компания подвергается атаке с использованием вымогательского ПО, многие жертвы считают, что злоумышленники быстро устанавливают вредоносы и покидают сеть во избежание обнаружения. Но на самом деле преступники не так быстро отказываются от скомпрометированного ресурса.
Вполне логично. Даже если вам прислали утилиту дешифровки, это не индульгенция, не залог безопасности в будущем и не гарантия того, что эти или другие злоумышленники не повторят тот же путь. Свидетельств тому мы видели достаточно.
Недостаточно удалить вирус – нужно выяснить, как он попал в систему, и закрыть путь проникновения. Иначе все повторится.
Напоминаем, что вопросам грамотного реагирования на ИБ-инциденты будет посвящена монобрендовая веб-конференция Dr.Web, которая состоится 19 августа 2020 года в 12.00 МСК. Регистрируйтесь!
|
Оцените выпуск Чтобы проголосовать зайдите в аккаунт на сайте или создайте его, если аккаунта еще нет.
|
Сделайте репост
|
![[ВКонтакте]](http://st.drweb.com/static/new-www/social/no_radius/vkontakte.png)
![[Twitter]](http://st.drweb.com/static/new-www/social/no_radius/twitter.png)
Необходимо войти на страницу выпуска через аккаунт на сайте «Доктор Веб» (или создать аккаунт). Аккаунт должен быть связан с вашим аккаунтом в социальной сети. Видео о связывании аккаунта.
Нам важно ваше мнение
Чтобы оставить комментарий, нужно зайти через свой аккаунт на сайте «Доктор Веб». Если аккаунта еще нет, его можно создать.
Комментарии пользователей
Вячеслав
10:43:04 2020-11-09
Sasha50
18:16:31 2020-08-19
Людмила
09:53:07 2020-08-19
"Жаль, что в Др.Вебе нет защиты платежей, а идеальным был бы антивирус "
как это нет? Покупки в Интернете совершаются или через специальные приложения на мобильных устройствах, или через системы банк-клиент, или просто на сайтах.
Dr.Web защищает от хищений средств во время оплаты - а именно от банковских троянцев, клавиатурных шпионов, хакерских атак во время сессии онлайн-банкинга.
Брандмауэр защитит от проникновений хакеров на устройство во время проверки счета, платежей через онлайн-банкинг, от кражи данных и информации.
Превентивная защита пресечет попытки банковских троянцев и программ-вымогателей запуститься на устройстве.
Файловый монитор SpIDer Guard не даст запустить на устройстве клавиатурного шпиона и похитить логины и пароли.
Фильтр звонков и СМС в составе Dr.Web для Android убережет от краж СМС с кодами подтверждения банковских транзакций, что не даст преступникам вместо вас совершить платеж.
Конечно эта защита эффективна только если пользователь не отключает компоненты защиты Dr.Web или не настраивает их таким образом, что уровень защиты понижается. Оптимальным является использование Dr.Web Security Space с предустановленными разработчиками настройками.
Alex Kad
09:37:45 2020-08-19
Mara
18:02:19 2020-08-18
Неуёмный Обыватель
02:41:35 2020-08-18
Lia00
02:24:00 2020-08-18
Шалтай Александр Болтай
21:44:58 2020-08-17
Думаю, наконец пришло время признать, что нам нужно отказаться от этих исследований.
Геральт
21:34:15 2020-08-17
Татьяна
21:16:39 2020-08-17
orw_mikle
20:22:15 2020-08-17
Великолепный
20:17:30 2020-08-17
yuraorc
20:03:28 2020-08-17
L1t1um
19:59:00 2020-08-17
admin_29
18:29:16 2020-08-17
vkor
17:54:24 2020-08-17
Toma
17:14:40 2020-08-17
Альфа
16:25:09 2020-08-17
Masha
16:22:57 2020-08-17
Dvakota
16:15:43 2020-08-17
ixtiyor10
15:42:40 2020-08-17
vinnetou
14:16:16 2020-08-17
Денисенко Павел Андреевич
14:06:40 2020-08-17
DrKV
13:51:02 2020-08-17
Если её сравнить со своим автомобилем, то можно сказать так: чтобы безопасно ездить на своём авто надо - соблюдать правила ПДД, следить за двигателем, за АКБ, за всеми его системами, вовремя менять резину и пр. и пр. Упустишь одно и всё - на такой машине уже ездить опасно.
Так же и в IT-безопасности. Организация её защиты настолько многогранна, что всё списывать на антивирус - крайне некорректно.
anatol
13:32:27 2020-08-17
achemolganskiy
13:12:05 2020-08-17
Korney
12:59:10 2020-08-17
Sergey
12:50:35 2020-08-17
Dmur
12:25:26 2020-08-17
Интересная веб-конференция, надо бы послушать.
runikot
12:03:14 2020-08-17
GREEN
11:51:44 2020-08-17
Повториться, если ничего не делать.
Только комплексный подход может решить проблему информационной безопасности, и антивирус является ее основой.
А задавать вопросы и просить (требовать) рекомендации, ничего при этом не делая - это очень просто, но не решает проблему ИБ.
Zserg
11:00:53 2020-08-17
Alexander
09:12:10 2020-08-17
Запрос в тех.поддержку - есть, - ставим птицу… Зашифрованные данные - есть, ставим... Эй, погодь, а вируса-то и нет... Так от чего ж Dr.Web CureIt! лечил-то?!
Оказалось, и делов то, - зайти к "знакомому" по RDP и знать листинг скрипта для шифрования. А все нужные инструменты для каверзы имеются в самой системе...
Конечно, Dr.Web Security Space раздербанит цифровую непотребность "в пух и перья"... Но, зачем же добровольно и самолично доводить ситуацию до такого накала? Зачем загружать техническую поддержку Dr.Web такими не совсем честными обращениями?! Лучше сделать правильно и не для галочки.
…не ставь обманом галочку, получишь больно палочкой...
Vlad X
08:08:42 2020-08-17
Morpheus
07:50:06 2020-08-17
Slava90
07:43:57 2020-08-17
Пaвeл
06:53:33 2020-08-17
ka_s
06:45:01 2020-08-17
Любитель пляжного футбола
06:32:56 2020-08-17
EvgenyZ
05:22:13 2020-08-17