Вы используете устаревший браузер!

Страница может отображаться некорректно.

Правила гигиены

Правила гигиены

Другие выпуски этой рубрики (121)
  • добавить в избранное
    Добавить в закладки

Безопасность «для галочки»

Прочитали: 1670 Комментариев: 39 Рейтинг: 61

Вот весьма типичный запрос в нашу техническую поддержку:

Обнаружили что все базы зашифрованы, и везде лежат копии текстового документа, в них текст с требованием заплатить денег. После чего просканировали систему программой dr web cureit, вирус был удален.

Запрос поступил от нашего клиента, стали разбираться – и в очередной раз оказалось, что… вируса не было.

После входа по RDP злоумышленник запустил шифрующий скрипт, который запускает программу шифрования openssl и задал пароль вручную.

Вот так «сошлись звёзды»:

  1. Есть встроенные возможности операционной системы.
  2. Есть возможность удаленного входа.
  3. Есть слабый пароль.

Его подбирают, заходят удаленно и вручную запускают имеющееся в системе ПО.

Причем не исключено, что перед атакой на конкретную машину преступник погулял по сети:

На ПК… нет следов запуска шифровальщика. Возможно, что он использовался только как точка входа в Вашу сеть.

Мы периодически сетуем, что пользователи приобретают антивирус «для галочки», не устанавливают его, а потом его же и обвиняют в проблемах.

Итак, заражения у обратившегося пользователя не было, но он изначально этого не знал.

  • Установленный dr web не обнаружил вирус (Наверно отключили злоумышленники).
  • На сервер… антивирус Dr.Web был установлен уже после шифрования, логов антивируса нет за более ранний период (поэтому процесс запуска шифровальщика не зафиксирован).

Самое печальное, что администратор теоретически был готов к такой ситуации, потому что далее он написал:

Есть ли у Вас возможность написать ваши рекомендации в виде письма, на фирменном бланке? Для руководства, что бы больше не спрашивали зачем сложные пароли, vpn, и все остальное...

Видимо, руководство не раз возмущалось: зачем нужна эта безопасность?

#антивирус #взлом #вымогательство #корпоративная_безопасность #ответственность #признаки_заражения

Dr.Web рекомендует

Антивирус – это средство удаления вредоносных программ. Это – наш конек, именно по вопросам заражения мы консультируем пользователей. Но что происходит дальше, после завершения обработки вирусного инцидента? Пользователь получил от нас консультации по удалению вредоносного ПО, удалил его… Но решена ли проблема?

Когда компания подвергается атаке с использованием вымогательского ПО, многие жертвы считают, что злоумышленники быстро устанавливают вредоносы и покидают сеть во избежание обнаружения. Но на самом деле преступники не так быстро отказываются от скомпрометированного ресурса.

Источник

Вполне логично. Даже если вам прислали утилиту дешифровки, это не индульгенция, не залог безопасности в будущем и не гарантия того, что эти или другие злоумышленники не повторят тот же путь. Свидетельств тому мы видели достаточно.

Недостаточно удалить вирус – нужно выяснить, как он попал в систему, и закрыть путь проникновения. Иначе все повторится.

Напоминаем, что вопросам грамотного реагирования на ИБ-инциденты будет посвящена монобрендовая веб-конференция Dr.Web, которая состоится 19 августа 2020 года в 12.00 МСК. Регистрируйтесь!

#drweb

Получайте Dr.Web-ки за участие в проекте

Каждая активность = 1 Dr.Web-ка

Оцените выпуск

Сделайте репост

Поставьте «Нравится»

Чтобы получать награды надо войти на страницу выпуска через аккаунт на сайте «Доктор Веб» (или создать аккаунт). Аккаунт должен быть связан с вашим аккаунтом в социальной сети. Видео о связывании аккаунта.


Нам важно ваше мнение

10 Dr.Web-ок за комментарий в день выхода выпуска или 1 Dr.Web-ка в любой другой день. Комментарии публикуются автоматически и постмодерируются. Правила комментирования новостей «Доктор Веб».

Чтобы оставить комментарий, нужно зайти через свой аккаунт на сайте «Доктор Веб». Если аккаунта еще нет, его можно создать.

Комментарии пользователей