Вы используете устаревший браузер!

Страница может отображаться некорректно.

  • добавить в избранное
    Добавить в закладки

Недозащита

Прочитали: 2701 Комментариев: 47 Рейтинг: 73

Двери недонавесили и недозакрыли...
Окна недовставили и недозастеклили...
Сквозняки гуляют и бацил разносят...
Персонал болеет и начальство поносит...

Это неприятно, но это - полбеды.
Информация пропала... А ну её туды...
Петицию составлю, в "Поддержку" сообщу,
Пущай там разберутся,
Иль антивирус "Новый" назло им запущу...

Участник проекта Alexander

Вот дословно обращение в нашу техподдержку:

У нас произошло масштабное заражение на всех серверах, где стоит антивирус drweb. При этом утилита cureit обнаруживает огромное количество вирусов. Нужно срочно принимать решение удалять ваш антивирус и ставить другой, или это изначально неправильно настроенная установка.

Антивирус молчит. Но хорошо уже то, что пользователь допускает возможность неверных настроек.

Результат анализа инцидента оказался таким:

В системе… не установлен главный компонент защиты, файловый монитор - SpIDer Guard для серверов Windows. Этот компонент работал в сентябре 2019 года, но был удален. Без этого компонента защиты в системе не осуществляется мониторинг файлов, с которыми ведется работа - чтения, запись, копирование и т. д.

Работал, но был удален год назад. При этом, конечно, никто «ничего не трогал», «ничего не менял» …

После изначальной установки и настройки, как раз в сентябре 19го, я больше не менял никаких настроек.

После установки компонента тот сразу начал выявлять попытки заражения:

Теперь в автозагрузке периодически появляется зараженный файл, антивирус его удаляет и потом все начинается по новой.

Анализ уже этого инцидента показал, что попытки заражения идут с некоего устройства:

Принцип распространения этого трояна такой: в сети имеется незащищенный компьютер или компьютер без файлового монитора SpIDer Guard, с этого ПК распространяется инфекция через уязвимости ОС (там, где не установлены все патчи для ОС), либо через получение доступа с помощью сбрученного пароля (если пароли простые, то они легко взламываются).

На всех машинах, где обнаруживается подобная вирусная активность, необходимо проверить и сменить пароли учетных записей на более сложные, несмысловые, т.н. несловарные, которые ранее нигде не использовались. Это так же важно, потому что в данном случае это может использоваться как один из векторов атаки. Заражается одна из машин в сети, а далее по сети идет подбор паролей к другим учетным записям. Если для какой-то учетной записи его удается подобрать, то дальнейшие действия на удаленном ПК будут пытаться выполнить именно от имени этой взломанной учетной записи.

Подводя итог, главная задача - найти источник распространения инфекции - это незащищенный ПК в Вашей сети. Это может быть какая-либо давно забытая станция с неустановленным или необновленным антивирусом, устаревшей или давно не обновляемой операционной систем без критических обновлений, которая ко всему прочему вполне вероятно (хоть и необязательно) может иметь доступ в сеть.

Мы попросили прислать подробности с той машины, с которой идет атака. И тут выяснилось странное:

\\192.168.ххх.yyy\sgexe\sgmain.exe -такого сетевого устройства нет, оно не пингуется, на него не заходится, и его нет в таблице arp.

То есть атака по сети идет с неизвестного администратору устройства!
Без сомнения надо срочно «ставить другой» антивирус…

Причина произошедшего – в том, что администратор не контролировал свою сеть. Мы не знаем, было ли установлено ограничение на подключение новых устройств в сети, какова была парольная защита и т. п. До этого, к сожалению, анализ инцидента не дошел. Но как можно было не замечать, что на серверах по сути отсутствует антивирусная защита – не установлен ее основной компонент файловый монитор, контролирующий все операции с файлами?

И если бы это был единичный случай… Еще один анализ инцидента:

Антивирус на машине был установлен без компонента SpIDer Guard, следовательно, не имел защиты в реальном времени.

В этом случае злоумышленник воспользовался отсутствием некоторых компонентов антивируса:

Наиболее вероятно, в систему был выполнен несанкционированный вход через подбор/похищение пароля одной из учетных записей, по RDP (или через терминальную сессию), злоумышленник удалил антивирусную программу, запустил шифровальщик.

#антивирус #настройки_Dr.Web #поддержка #признаки_заражения

Антивирусная правДА! рекомендует

Отсутствие антивирусной защиты обязательно (рано или поздно) пагубно скажется на состоянии компьютерной сети. Но не менее опасна ситуация, когда антивирус установлен, но некоторые его модули по какой-либо причине не активированы.

Абсолютно все компоненты защиты имеют важное значение, в антивирусе нет ничего лишнего.

Получайте Dr.Web-ки за участие в проекте

Каждая активность = 1 Dr.Web-ка

Оцените выпуск

Сделайте репост

Поставьте «Нравится»

Чтобы получать награды надо войти на страницу выпуска через аккаунт на сайте «Доктор Веб» (или создать аккаунт). Аккаунт должен быть связан с вашим аккаунтом в социальной сети. Видео о связывании аккаунта.


Нам важно ваше мнение

10 Dr.Web-ок за комментарий в день выхода выпуска или 1 Dr.Web-ка в любой другой день. Комментарии публикуются автоматически и постмодерируются. Правила комментирования новостей «Доктор Веб».

Чтобы оставить комментарий, нужно зайти через свой аккаунт на сайте «Доктор Веб». Если аккаунта еще нет, его можно создать.

Комментарии пользователей