Думают глобально, но действуют локально
6 июля 2017
Осторожно! При обновлении бухгалтерского ПО «Медок» прилетает троянец и шифрует данные.
Казалось бы, в этом случае все ясно: либо взлом сайта и размещение вредоносного ПО, либо атака типа «человек посередине», либо обиженный сотрудник внутри компании. Но на самом деле все интереснее. Давайте разберемся.
Речь идет о сотнях жертв, 96% которых — украинские предприятия.
https://ain.ua/2017/05/24/vse-pro-xdata-poka
https://ain.ua/2017/05/22/ukraincev-atakuet-novyj-virus-xdata
Очень часто в описаниях вредоносных программ встречается фраза о том, что они не работают на территории таких-то стран. Многие думают, что здесь дело в благородстве хакеров. Но это не так.
- Заработок на вредоносных программах – это в первую очередь возможность вывода средств. Как и где можно организовать сеть дропперов – людей, добровольно снимающих ворованные средства?
- Переводы средств за рубеж обычно находятся под особым вниманием соответствующих органов и ведомств – обычная борьба с коррупцией и выводом денег.
- Организация расследования с привлечением нескольких стран – дело достаточно муторное и куда более долгое, чем расследование в рамках одной страны.
- Сокращение списка атакуемых стран минимизирует вероятность обнаружения вредоносной программы. Ну а точечный список атакуемых еще более уменьшает вероятность обнаружения и снижает интерес СМИ.
Во всех известных случаях жертвами становились бухгалтеры. То есть, вирус нацелен на корпоративный сегмент.
Такое сообщение оставляют злоумышленники на зашифрованном жестком диске.
Еще интереснее то, как влияет на популярность в СМИ способ распространения вредоносной программы.
Состоянием на пятницу, 19 мая, было подтверждено 135 уникальных случаев инфицирования, 95% из них пришлось на украинских пользователей. Для сравнения, в MalwareHunter утверждают, что в нашей стране они зафиксировали всего 30 пострадавших от атаковавшего более 200 000 пользователей по всему миру WannaCry. Таким образом, темпы распространения XData в четыре раза выше.
В 4 раза больше заражений – и где паника в СМИ? Как говорится, есть нюанс. WannaCry (Trojan.Encoder.11432) заражал в первую очередь крупные компании и частных пользователей, мало обращая внимание на мелкий бизнес. А вот описываемый в этом выпуске Trojan.Encoder.11526 побеспокоил совсем другие компании – и эффект налицо.
В итоге многие вредоносные программы ориентируются на работу с банками одной страны – теми, с банкоматов которых деньги будут снимать дропперы. Естественно, и по России ходят троянцы, рассчитанные, к примеру, на китайских пользователей, но толку от них для съемщиков денег может и не быть – только лишнее внимание.
Информация о вирусе начала появляться в сети с 18.05.2017 г., на следующий день после выхода обновления программы «M.E.Doc» - именно тогда, когда бухгалтеры Украины устанавливали последнее обновление. Как результат, у пользователей, которые заразились вирусом XData, также была повреждена программа «M.E.Doc». Это совпадение могло послужить поводом провести ассоциацию между вирусом и программой.
http://www.me-doc.com.ua/1111193340-budte-bditelny-virusnaya-ataka-na-korporativnyy-sektor
Один из системных администраторов пострадавшей компании сообщил: «Обновления M.E.Doc не было. Вечером машина работала, а с утра не стартанула».
Вполне возможно, что на успех атаки повлиял правильный выбор ее времени. Выход обновления широко используемого ПО означает массовое обновление пользователей, на фоне которого еще одна активность еще одной программы останется незамеченной. Умный ход!
Самым главным вопросом относительно вируса остается способ его распространения. Как он точно попадает в систему остается неизвестным.
Одна из основных проблем безопасности – отсутствие контроля событий в локальной сети. В результате остается незамеченным не только факт проникновения, но и элементы вредоносного комплекса, обеспечивающие само проникновение.
#Trojan.Encoder #Windows #вознаграждение #выкуп #вымогательство #защита_от_потери_данных #расшифровка #троянец #шифровальщик #шифрование #обновления_антивируса #обновления_безопасностиАнтивирусная правДА! рекомендует
- Прежде всего обновляйте антивирус, а затем – прочее ПО.
- Загрузка исполняемых файлов должна быть запрещена.
- Любой пользователь должен работать с ограниченными правами. Это снижает риск потери данных, открытых на чтение, и данных иных пользователей. Запуск программ и операций должен быть разрешен только для определенных пользователей.
- Запретите исполнение скриптов (макросов) в документах, если нет необходимости работы с ними.
- Если нет возможности разнести рабочее место бухгалтера, с которого имеется доступ к денежным средствам, и место работы с почтой и Интернетом, используйте виртуальные машины, разделив соответствующие задачи между ними.
- Для сотрудников бухгалтерии должна быть доступна система поверки контрагентов – никакие письма от неизвестных отправителей с «напоминаниями о долгах» не должны открываться без проверки наличия контрагента.
- Резервное копирование важных баз данных и документов на другие компьютеры и устройства должно проводиться регулярно.
Нам важно ваше мнение
Чтобы оставить комментарий, нужно зайти через свой аккаунт на сайте «Доктор Веб». Если аккаунта еще нет, его можно создать.
Комментарии пользователей
Toma
15:27:40 2018-10-30
Денисенко Павел Андреевич
13:29:51 2018-08-05
Неуёмный Обыватель
00:12:33 2018-07-01
vasvet
20:33:50 2018-04-05
Инквизитор
13:13:22 2017-08-02
AntonIT
09:19:20 2017-07-07
Очень часто "слабым звеном" является человеческий фактор,
а не недостаточно эффективное функционирование автоматических систем защиты и резервного копирования,
- поэтому необходим регулярный инструктаж персонала на тему ИБ.
dyadya_Sasha
23:56:30 2017-07-06
SGES
23:41:33 2017-07-06
aleks_ku
23:13:41 2017-07-06
eaglebuk
23:12:18 2017-07-06
На предприятии всё гораздо сложнее.
vla_va
22:58:24 2017-07-06
В...а
22:20:27 2017-07-06
НинаК
21:50:04 2017-07-06
A1037
21:03:31 2017-07-06
Любитель пляжного футбола
20:50:20 2017-07-06
ek
20:43:43 2017-07-06
orw_mikle
20:21:38 2017-07-06
Шалтай Александр Болтай
20:05:29 2017-07-06
coolira
19:46:49 2017-07-06
beoris
18:42:14 2017-07-06
Zserg
18:37:48 2017-07-06
kva-kva
17:55:50 2017-07-06
DrKV
17:42:14 2017-07-06
B0RIS
17:39:47 2017-07-06
z21468
16:37:25 2017-07-06
Пaвeл
16:33:00 2017-07-06
mk.insta
15:58:14 2017-07-06
Littlefish
15:34:40 2017-07-06
Насколько я понял, имелось ввиду, что даже если стоит рекомендуемый период обновления 30 мин и спустя 25 минут после автоматического обновления антивируса пользователю вдруг захотелось пообновлять любое ПО на своём компьютере, то вначале следует обновить Dr.Web (в ручном режиме), а уж потом обновлять любое другое ПО.
Если я не правильно понял, то прошу автора выпуска меня поправить.
Azat
15:19:27 2017-07-06
razgen
14:47:05 2017-07-06
Viktoria
14:40:14 2017-07-06
olgaef
13:55:00 2017-07-06
razgen
13:06:33 2017-07-06
Мосгорсуд приговорил к двум годам колонии лидера хакерской группы "Шалтай-Болтай".
РИА Новости https://ria.ru/incidents/20170706/1497942540.html
Alexander
12:46:54 2017-07-06
natplack
12:40:54 2017-07-06
Вячeслaв
11:50:20 2017-07-06
razgen
11:47:17 2017-07-06
Dvakota
11:20:56 2017-07-06
maznat
10:45:36 2017-07-06
Dmur
10:22:40 2017-07-06
krant
10:21:33 2017-07-06
Геральт
10:06:28 2017-07-06
Damir
09:48:52 2017-07-06
Влад
09:05:54 2017-07-06
Littlefish
08:51:08 2017-07-06
Littlefish
08:36:10 2017-07-06
Hazal
08:06:27 2017-07-06
ka_s
08:05:34 2017-07-06
Maat
07:54:41 2017-07-06
user
07:32:32 2017-07-06