Вы используете устаревший браузер!

Страница может отображаться некорректно.

  • добавить в избранное
    Добавить в закладки

Недозащита

Прочитали: 873 Комментариев: 44 Рейтинг: 63

Двери недонавесили и недозакрыли...
Окна недовставили и недозастеклили...
Сквозняки гуляют и бацил разносят...
Персонал болеет и начальство поносит...

Это неприятно, но это - полбеды.
Информация пропала... А ну её туды...
Петицию составлю, в "Поддержку" сообщу,
Пущай там разберутся,
Иль антивирус "Новый" назло им запущу...

Участник проекта Alexander

Вот дословно обращение в нашу техподдержку:

У нас произошло масштабное заражение на всех серверах, где стоит антивирус drweb. При этом утилита cureit обнаруживает огромное количество вирусов. Нужно срочно принимать решение удалять ваш антивирус и ставить другой, или это изначально неправильно настроенная установка.

Антивирус молчит. Но хорошо уже то, что пользователь допускает возможность неверных настроек.

Результат анализа инцидента оказался таким:

В системе… не установлен главный компонент защиты, файловый монитор - SpIDer Guard для серверов Windows. Этот компонент работал в сентябре 2019 года, но был удален. Без этого компонента защиты в системе не осуществляется мониторинг файлов, с которыми ведется работа - чтения, запись, копирование и т. д.

Работал, но был удален год назад. При этом, конечно, никто «ничего не трогал», «ничего не менял» …

После изначальной установки и настройки, как раз в сентябре 19го, я больше не менял никаких настроек.

После установки компонента тот сразу начал выявлять попытки заражения:

Теперь в автозагрузке периодически появляется зараженный файл, антивирус его удаляет и потом все начинается по новой.

Анализ уже этого инцидента показал, что попытки заражения идут с некоего устройства:

Принцип распространения этого трояна такой: в сети имеется незащищенный компьютер или компьютер без файлового монитора SpIDer Guard, с этого ПК распространяется инфекция через уязвимости ОС (там, где не установлены все патчи для ОС), либо через получение доступа с помощью сбрученного пароля (если пароли простые, то они легко взламываются).

На всех машинах, где обнаруживается подобная вирусная активность, необходимо проверить и сменить пароли учетных записей на более сложные, несмысловые, т.н. несловарные, которые ранее нигде не использовались. Это так же важно, потому что в данном случае это может использоваться как один из векторов атаки. Заражается одна из машин в сети, а далее по сети идет подбор паролей к другим учетным записям. Если для какой-то учетной записи его удается подобрать, то дальнейшие действия на удаленном ПК будут пытаться выполнить именно от имени этой взломанной учетной записи.

Подводя итог, главная задача - найти источник распространения инфекции - это незащищенный ПК в Вашей сети. Это может быть какая-либо давно забытая станция с неустановленным или необновленным антивирусом, устаревшей или давно не обновляемой операционной систем без критических обновлений, которая ко всему прочему вполне вероятно (хоть и необязательно) может иметь доступ в сеть.

Мы попросили прислать подробности с той машины, с которой идет атака. И тут выяснилось странное:

\\192.168.ххх.yyy\sgexe\sgmain.exe -такого сетевого устройства нет, оно не пингуется, на него не заходится, и его нет в таблице arp.

То есть атака по сети идет с неизвестного администратору устройства!
Без сомнения надо срочно «ставить другой» антивирус…

Причина произошедшего – в том, что администратор не контролировал свою сеть. Мы не знаем, было ли установлено ограничение на подключение новых устройств в сети, какова была парольная защита и т. п. До этого, к сожалению, анализ инцидента не дошел. Но как можно было не замечать, что на серверах по сути отсутствует антивирусная защита – не установлен ее основной компонент файловый монитор, контролирующий все операции с файлами?

И если бы это был единичный случай… Еще один анализ инцидента:

Антивирус на машине был установлен без компонента SpIDer Guard, следовательно, не имел защиты в реальном времени.

В этом случае злоумышленник воспользовался отсутствием некоторых компонентов антивируса:

Наиболее вероятно, в систему был выполнен несанкционированный вход через подбор/похищение пароля одной из учетных записей, по RDP (или через терминальную сессию), злоумышленник удалил антивирусную программу, запустил шифровальщик.

#антивирус #настройки_Dr.Web #поддержка #признаки_заражения

Dr.Web рекомендует

Отсутствие антивирусной защиты обязательно (рано или поздно) пагубно скажется на состоянии компьютерной сети. Но не менее опасна ситуация, когда антивирус установлен, но некоторые его модули по какой-либо причине не активированы.

Абсолютно все компоненты защиты имеют важное значение, в антивирусе нет ничего лишнего.

Получайте Dr.Web-ки за участие в проекте

Каждая активность = 1 Dr.Web-ка

Оцените выпуск

Сделайте репост

Поставьте «Нравится»

Чтобы получать награды надо войти на страницу выпуска через аккаунт на сайте «Доктор Веб» (или создать аккаунт). Аккаунт должен быть связан с вашим аккаунтом в социальной сети. Видео о связывании аккаунта.


Нам важно ваше мнение

10 Dr.Web-ок за комментарий в день выхода выпуска или 1 Dr.Web-ка в любой другой день. Комментарии публикуются автоматически и постмодерируются. Правила комментирования новостей «Доктор Веб».

Чтобы оставить комментарий, нужно зайти через свой аккаунт на сайте «Доктор Веб». Если аккаунта еще нет, его можно создать.

Комментарии пользователей