Вы используете устаревший браузер!

Страница может отображаться некорректно.

Скидки за Dr.Web-ки! Спешите! Только до 31 мая 2021
Правила гигиены

Правила гигиены

Другие выпуски этой рубрики (128)
  • добавить в избранное
    Добавить в закладки

Безопасность «для галочки»

Прочитали: 2743 Комментариев: 40 Рейтинг: 68

17 августа 2020

Вот весьма типичный запрос в нашу техническую поддержку:

Обнаружили что все базы зашифрованы, и везде лежат копии текстового документа, в них текст с требованием заплатить денег. После чего просканировали систему программой dr web cureit, вирус был удален.

Запрос поступил от нашего клиента, стали разбираться – и в очередной раз оказалось, что… вируса не было.

После входа по RDP злоумышленник запустил шифрующий скрипт, который запускает программу шифрования openssl и задал пароль вручную.

Вот так «сошлись звёзды»:

  1. Есть встроенные возможности операционной системы.
  2. Есть возможность удаленного входа.
  3. Есть слабый пароль.

Его подбирают, заходят удаленно и вручную запускают имеющееся в системе ПО.

Причем не исключено, что перед атакой на конкретную машину преступник погулял по сети:

На ПК… нет следов запуска шифровальщика. Возможно, что он использовался только как точка входа в Вашу сеть.

Мы периодически сетуем, что пользователи приобретают антивирус «для галочки», не устанавливают его, а потом его же и обвиняют в проблемах.

Итак, заражения у обратившегося пользователя не было, но он изначально этого не знал.

  • Установленный dr web не обнаружил вирус (Наверно отключили злоумышленники).
  • На сервер… антивирус Dr.Web был установлен уже после шифрования, логов антивируса нет за более ранний период (поэтому процесс запуска шифровальщика не зафиксирован).

Самое печальное, что администратор теоретически был готов к такой ситуации, потому что далее он написал:

Есть ли у Вас возможность написать ваши рекомендации в виде письма, на фирменном бланке? Для руководства, что бы больше не спрашивали зачем сложные пароли, vpn, и все остальное...

Видимо, руководство не раз возмущалось: зачем нужна эта безопасность?

#антивирус #взлом #вымогательство #корпоративная_безопасность #ответственность #признаки_заражения

Антивирусная правДА! рекомендует

Антивирус – это средство удаления вредоносных программ. Это – наш конек, именно по вопросам заражения мы консультируем пользователей. Но что происходит дальше, после завершения обработки вирусного инцидента? Пользователь получил от нас консультации по удалению вредоносного ПО, удалил его… Но решена ли проблема?

Когда компания подвергается атаке с использованием вымогательского ПО, многие жертвы считают, что злоумышленники быстро устанавливают вредоносы и покидают сеть во избежание обнаружения. Но на самом деле преступники не так быстро отказываются от скомпрометированного ресурса.

Источник

Вполне логично. Даже если вам прислали утилиту дешифровки, это не индульгенция, не залог безопасности в будущем и не гарантия того, что эти или другие злоумышленники не повторят тот же путь. Свидетельств тому мы видели достаточно.

Недостаточно удалить вирус – нужно выяснить, как он попал в систему, и закрыть путь проникновения. Иначе все повторится.

Напоминаем, что вопросам грамотного реагирования на ИБ-инциденты будет посвящена монобрендовая веб-конференция Dr.Web, которая состоится 19 августа 2020 года в 12.00 МСК. Регистрируйтесь!

#drweb

Оцените выпуск

Сделайте репост

Поставьте «Нравится»

Необходимо войти на страницу выпуска через аккаунт на сайте «Доктор Веб» (или создать аккаунт). Аккаунт должен быть связан с вашим аккаунтом в социальной сети. Видео о связывании аккаунта.


Нам важно ваше мнение

Чтобы оставить комментарий, нужно зайти через свой аккаунт на сайте «Доктор Веб». Если аккаунта еще нет, его можно создать.

Комментарии пользователей