Страшен ли кролик, как его малюют?

Закодировать всё

добавить в избранное

Страшен ли кролик, как его малюют?

Прочитали: 19897 Комментариев: 84 Рейтинг: 112

30 октября 2017

Среда, 25 октября 2017 года — день, когда все СМИ трубили о новой эпидемии шифровальщика, гадали об авторстве атаки на Россию, Украину и Германию, судили и рядили о переделе антивирусного рынка и многом другом. Для начала давайте посмотрим, что представляет собой DPH:Trojan.Encoder.32, в просторечии — Bad Rabbit.

Прежде всего о методе распространения. Злоумышленники взломали несколько новостных сайтов (по сообщениям СМИ, пострадали «Фонтанка» и «Новая газета»), внедрили JavaScript. В общем и целом ничего особенного — как мы уже неоднократно писали, более 80% сайтов уязвимы для взлома. Вредоносный код в принципе может быть внедрен на саму страницу и в используемые скрипты, а также подгружен с иного ресурса в момент загрузки взломанной страницы. Вариантов много.

Мы неоднократно предупреждали о том, что взлом сайта, посещаемого некой целевой группой, может стать очень эффективной атакой, тем более если вредоносный код будет размещен непосредственно перед моментом максимальной посещаемости ресурса — скажем, в конце рабочего дня.

http://blog.ptsecurity.ru/2017/09/web-apps-attacks-2017.html

В ходе этой атаки в момент посещения сайта пользователю предлагалось установить обновление для Flash Player. При этом пользователь должен сам (сам, Карл, сам!) кликнуть на кнопку Install и тем самым запустить дроппер.

Сразу возникает несколько вопросов.

Вопрос 1. Что делают сотрудники отчитавшихся о заражении компаний (в том числе банковских) на новостных сайтах в рабочее время? Вполне понятно, что есть сотрудники, которым по должности положено быть в курсе новостей, но почему тогда их компьютеры находятся в общей корпоративной сети, в которой расположены критически важные ресурсы компании?
Вопрос 2. Почему пользователь имеет право установки новых приложений?
Вопрос 3. Почему в браузере не отключены JavaScript'ы?

Три вопроса. Если бы таких возможностей не было — никакой эпидемии кролика тоже не было бы. DPH:Trojan.Encoder.32 не использовал для проникновения никаких уязвимостей — все делал за него пользователь.

Напоминаем, что троянские программы (а DPH:Trojan.Encoder.32 это именно троянец) не могут распространяться сами — их распространяют пользователи своими действиями.

По имеющимся данным, DPH:Trojan.Encoder.32 не использует никаких методов обхода UAC. Пользователь сам соглашается на запуск нового приложения.

Вопрос 4. Использовался ли в пострадавших компаниях UAC или он был отключен как надоедливый?
DPH:Trojan.Encoder.32 после запуска проверяет наличие процессов dwengine.exe, dwwatcher.exe, dwarkdaemon.exe, dwservice.exe — то есть при наличии Dr.Web он пропускает первый этап шифрования, видимо, с целью избежать преждевременного обнаружения.

Кроме этого, DPH:Trojan.Encoder.32 пытается модифицировать главную загрузочную запись жесткого диска (MBR). Эта операция блокируется антивирусом Dr.Web.
Вопрос 5. Почему у пользователей не установлен современный антивирус, имеющий механизмы превентивной защиты, контролирующей работу запущенных процессов и обнаруживающей вредоносные программы, еще не поступившие на анализ в антивирусную лабораторию? Сколько раз можно говорить, что «просто» антивирусы, полагающиеся только на антивирусное ядро, — путь к заражению?
Далее DPH:Trojan.Encoder.32 пытается провести сканирование сети в поисках расшаренных ресурсов. Опять же, никакие уязвимости не используются, в троянце жестко зашит список стандартных паролей и логинов.
Вопрос 6. Сколько раз говорить, что пароль 12345678 — это не защита?

В данном выпуске мы не ставили задачу описать нового троянца, описание уже доступно. Мы лишь показали, что при соблюдении элементарных мер предосторожности никакой эпидемии не было бы. Но она была (у тех, кто не пользуется Dr.Web).

#Trojan.Encoder #троянец #шифровальщик

Антивирусная правДА! рекомендует

Не секрет, что антивирус часто установлен «для галочки», а еще зачастую он выключен. И тем не менее он обязан защищать!

Антивирус должен быть актуальным (регулярно обновляемым).
Антивирус должен иметь действующую лицензию.
Антивирус не должен быть выключен.
Антивирус должен уметь ловить неизвестные вредоносные программы.
Антивирус должен использовать превентивную защиту.
Исключения из проверки — крайне опасны!

Оцените выпуск

Чтобы проголосовать зайдите в аккаунт на сайте или создайте его, если аккаунта еще нет.

Сделайте репост

Необходимо войти на страницу выпуска через аккаунт на сайте «Доктор Веб» (или создать аккаунт). Аккаунт должен быть связан с вашим аккаунтом в социальной сети. Видео о связывании аккаунта.

Нам важно ваше мнение

Чтобы оставить комментарий, нужно зайти через свой аккаунт на сайте «Доктор Веб». Если аккаунта еще нет, его можно создать.

Комментарии пользователей

Денисенко Павел Андреевич
13:23:56 2018-08-05

Ничего не исключаю из проверки, пусть все проверяется.

Неуёмный Обыватель Собкор
22:03:35 2018-06-21

У кроликов большие уши. Поэтому они страшные

vasvet
19:47:44 2018-04-05

Правильные советы, и на счет обновлений забывать нельзя.

Littlefish Собкор
20:55:19 2017-10-31

@razgen, "Все проблемы исключительно от исполнительской дисциплины каждого сотрудника на своём рабочем месте" - так вот именно.
Спецы должны настроить всё так, что неважно что там нажимают "безграмотные" недисциплинированные сотрудники, на какие сайты ходят и какие файлы открывают/запускают, на то они и специалисты, а не обычные юзеры. Если всё будет грамотно настроено, то от пользователя мало что будет зависеть, в плане причастности к заражению.
Повышение грамотности пользователей и разъяснительная работа тоже не лишнее, однако всё равно по большей части компьютерная безопасность больше зависит от ИТ-отдела, чем от обычных пользователей.

razgen Собкор
18:05:32 2017-10-31

@Littlefish, моё видение ситуации было высказано в предыдущих постах. Дискуссию на эту тему можно вести бесконечно. Ещё раз повторю некоторые "выжимки" из моих предыдущих постов, которые будут являться так же ответом на ваш крайний пост.

- "Все проблемы исключительно от исполнительской дисциплины каждого сотрудника на своём рабочем месте."

- "...на промышленных предприятиях и то более серьёзное отношение к этому вопросу."
- "...Видимо поэтому не часто мы слышим о взломе сетей промышленных предприятий."

Littlefish Собкор
15:14:17 2017-10-31

@razgen, что-то в Вашем рассуждении не вяжется. При всем "отделе информационных технологий, укомплектованном высокограмотными специалистами способными оказать оперативную квалифицированную помощь" данные специалисты не могут настроить компьютеры своих подопечных так, чтобы:
1. Блокировались сайты в интернете, посещение которых не относится к служебным обязанностям.
2. Пользователь не имел прав для установки новых приложений.
3. Были отключены JavaScript'ы.
4. Включён UAC.
5. Был установлен современный антивирус, имеющий механизмы превентивной защиты, контролирующей работу запущенных процессов и обнаруживающей вредоносные программы, еще не поступившие на анализ в антивирусную лабораторию плюс грамотно настроен плюс отключена возможность изменения настроек антивируса.
6. Установлен надёжный пароль с периодической его сменой.

Как было написано в выпуске, при соблюдении хотя бы первых трёх пунктов никакой эпидемии "кролика" не было бы. С настройкой по первым трём пунктам может справиться любой постоянный читатель проекта Антивирусная правда, у которого нету специального технического образования (да даже учащийся старших классов сможет, который интересуется настройкой ПК, сейчас у кого моложе возраст, до разумных пределов конечно, тот быстрее разберётся в настройке ПК и не только).
Если Вы знаете, или кто-нибудь другой знает, чем это там настолько заняты "специалисты" ИТ-отдела пострадавших от шифровальщика Bad Rabbit компаний, что они не могут несколько простых действий сделать, с которыми может справится даже ребёнок, то напишите пожалуйста, интересно будет прочитать.

m18151
02:46:54 2017-10-31

Мы под надежной защитой.

razgen Собкор
00:05:27 2017-10-31

@Littlefish, У семи нянек дитя без глазу...
О домашнем ПК обычно заботиться один, иногда несколько человек, и этот человек знает, что именно он ответственен за защиту ПК, и он ответственно к этому вопросу подходит.
А в большой компании все перекладывают ответственность друг на друга, найти ответственного довольно сложно.

А мне видится эта проблема наоборот. У домашнего ПК довольно часто бывает два-три пользователя, причём сами они также довольно часто, мягко говоря "чайники" и при возникновении проблем не знают что делать и "куда бежать". А зачастую и не подозревают что проблема уже возникла. Ухудшение работы ПК связанное с внедрением зловреда ПК у них не вызывает беспокойства, они считают что видимо так и должно быть и даже когда ситуация становится совсем критической пытаются разобраться "методом тыка", усугубляя её.
А в любой компании у каждого компьютера исключительно один пользователь. Имеется отдел информационных технологий, укомплектованный высокограмотными специалистами. В случае возникновения вопросов у пользователя он всегда может рассчитывать на оперативную квалифицированную помощь. Все проблемы исключительно от исполнительской дисциплины каждого сотрудника на своём рабочем месте. И озвученная вами поговорка здесь уже будет с точностью до наоборот: у одной няньки (специалист ИТ-отдела) семь дитя (пользователей на рабочих местах).

G-Man
23:37:23 2017-10-30

Давайте будем честными, большая часть пользователей сидят под администратором, с отключенным UAC, с паролем вроде ¨masha1985¨ через IE или браузер на базе хрома и естественно со включенными скриптами. И только небольшая часть людей либо вообще имеет антивирус, но без лицухи, либо пользуется встроенным в windows, а это то ещё решето. Эти статьи нужно распостранять, нужно учить людей компьютерной безопасности, всё равно же постоянно сидим в инете. За выпуск спасибо, как всегда полезная инфа, надеюсь что к ней прислушаются.

vla_va
22:59:41 2017-10-30

От людей конечно всего можно ожидать!

В...а
22:53:33 2017-10-30

Понятно, что мы под надежной защитой!

Dvakota
22:29:16 2017-10-30

Все просто , надо только выполнять .

Galina X
22:24:45 2017-10-30

Вопросы правильные и рекомендации простые.Стоит антивирус,значит защищен.
О домашнем ПК речь не идет,сам виноват.Но в организациях-это вопрос?
Безопасность прежде всего и это главное.

НинаК
22:19:36 2017-10-30

Подробно, полезно, уменьшит глупые поступки

Любитель пляжного футбола Собкор
22:09:07 2017-10-30

Да, кстати, насчёт паролей, если у троянца есть список стандартных логинов и паролей, то почему бы разработчикам таких программ, где взлом учётной записи пользователя может привести к весьма неприятным последствиям, как для него самого, так и затронуть рабочие процессы; системным администраторам предприятий да даже различных соцсетей не задуматься над тем, что стоило бы предъявлять более строгие требования к составлению паролей, проверяя их не только на соответствие стандартным требованиям (минимально допустимое кол-во символов, включение цифр и прочих символов, букв в разном регистре, несовпадение с последними 3-4 паролями и т.д. - требования везде разные), но и на отсутствие стандартных паролей из списка.
Многие просто ленятся придумать что-нибудь более сложное, чем 12345, и через 20 лет проблема эта никуда не денется. Так что надо просто заставить. Бедные юзеры, представляю, как заскрипят их мозги! :)

Littlefish Собкор
21:51:17 2017-10-30

@orw_mikle, "Абсолютно не понятно, как в солидных больших организациях пренебрегают защитой ПК? Если даже домашний ПК стараешься обезопасить по максимуму".
У семи нянек дитя без глазу...
О домашнем ПК обычно заботиться один, иногда несколько человек, и этот человек знает, что именно он ответственен за защиту ПК, и он ответственно к этому вопросу подходит.
А в большой компании все перекладывают ответственность друг на друга, найти ответственного довольно сложно.

Lia00 Собкор
21:45:26 2017-10-30

молодцы те, у кого установлен антивирус «Доктор Веб» ^^

Littlefish Собкор
21:44:27 2017-10-30

Нет ничего хуже выключенного антивируса. В такой ситуации у антивируса "связаны руки" и он ничего не сможет сделать, чтобы предотвратить инфицирование.

Геральт Собкор
21:36:32 2017-10-30

Одни и те же грабли, никакой осторожности.

Littlefish Собкор
21:34:40 2017-10-30

Очень правильные вопросы поставлены и как всегда правильные рекомендации.

Ruslan
21:09:39 2017-10-30

Огромное спасибо за надежную защиту и выпуск!

ek
21:09:29 2017-10-30

У меня установлен современный антивирус!

orw_mikle
20:53:12 2017-10-30

Абсолютно не понятно, как в солидных больших организациях пренебрегают защитой ПК? Если даже домашний ПК стараешься обезопасить по максимуму.

Andromeda
20:31:22 2017-10-30

В очередной раз наступаем на одни и те же грабли. Спасибо за статью. Может кто-нибудь узнает в ней себя.

duduka
20:29:55 2017-10-30

Очень много вопросов, но все по существу. Пусть каждый работник думает и оценивает свои действия

kva-kva
20:27:11 2017-10-30

Многое творит пользователь, не думая...

razgen Собкор
20:10:40 2017-10-30

"Пою прописные истины
Об этом конечно все знают
И сердце поэтому искренне
Всё тот-же припев повторяет." (М.Рябинин)

Антивирус должен быть всегда включён.
Антивирус должен быть всегда обновлён.
...

Альфа
20:01:18 2017-10-30

Рекомендации Dr. Web не являются сложными, и мы их всегда выполняем.

Damir Собкор
20:00:08 2017-10-30

К сожалению многие не выполняют, казалось бы, простые правила.

Сергей
19:53:25 2017-10-30

Много шума наделал плохой кролик,а ведь могло быть иначе.

Serjik
19:18:25 2017-10-30

понравились слова про Карла. Немного позитива не помешает))

Zserg
19:15:37 2017-10-30

Аксиомы по антивирусу надо выполнять!

МЕДВЕДЬ
18:23:17 2017-10-30

Антивирус всегда включен и обновлен,спасибо

Самуил Христианин
18:05:37 2017-10-30

Точно: не секрет, что антивирус часто установлен «для галочки», а еще зачастую он выключен.

alexander
17:42:36 2017-10-30

Я на работе компом. Не пользуюсь

Toma
17:18:30 2017-10-30

Кампаниям необходимо своих сотрудников обучать информационной безопасности.

mk.insta
17:06:46 2017-10-30

Как всегда силен человеческий фактор

Шалтай Александр Болтай Собкор
17:06:23 2017-10-30

Антивирус часто установлен «для галочки», да согласен, если бы еще Галочки, Любочки, Надечки умели им пользоваться ...

razgen Собкор
16:54:15 2017-10-30

@Morpheus, полностью согласен с вами. Все мы потенциальные жертвы киберугроз. Но при этом, многие уж чересчур спокойно относятся к этой опасности. Они не задумываются о том, что их подстерегает какая-то возможная киберугроза и не хотят этого понимать.

razgen Собкор
16:32:37 2017-10-30

Вопрос 1. Что делают сотрудники отчитавшихся о заражении компаний (в том числе банковских) на новостных сайтах в рабочее время? Вполне понятно, что есть сотрудники, которым по должности положено быть в курсе новостей, но почему тогда их компьютеры находятся в общей корпоративной сети, в которой расположены критически важные ресурсы компании?

А это вообще безответственное отношение к кибербезопасности со стороны администратора корпоративной сети, причём банковской. И никакого контроля со стороны руководства. Да на промышленных предприятиях и то более серьёзное отношение к этому вопросу. Все работы связанные непосредственно с технологическими процессами производства ведутся в автономной сети без подключения их к интернету. Сотрудники которые работают с использованием сети интернет так же имеют ограничения в соответствии с их производственной необходимостью. Видимо поэтому не часто мы слышим о взломе сетей промышленных предприятий. Последний громкий случай был в 2010 г., это вирус-диверсант Stuxnet в ядерной энергетической программе Ирана. Но это был не рядовой случай, разработка не обычных хакеров, а разработка разведывательных служб. Да и проник он не по сети, а вследствие того что сотрудник, вставил инфицированный флеш-накопитель в управляющую систему производства.

La folle
16:23:39 2017-10-30

Действительно всё просто, спасибо за рекомендации!

Masha
15:50:02 2017-10-30

Правила защиты просты, но соблюдать их видимо сложно.

Татьяна
14:30:14 2017-10-30

Антивирус должен быть актуальным (регулярно обновляемым).
Антивирус должен иметь действующую лицензию.
Антивирус не должен быть выключен.
Неужели все так просто? :)

SGES Собкор
14:01:41 2017-10-30

Когда нет кота в дому, то играют мыши по столу.

jennywren
13:58:07 2017-10-30

Большое спасибо за интересную статью! Благодарность Доктору за надежную защиту!

Дмитрий
13:28:19 2017-10-30

Соблюдаем меры безопасности. Антивирус не должен быть выключен!

zsergey
13:24:10 2017-10-30

Хорошо, что Доктор меня бережет. Даже и не слышал об этой эпидемии, доверяю Доктору.

vinnetou
13:19:39 2017-10-30

Спасибо за статью!!!Антивирус всегда включен!!!Обновляемся регулярно.Если уж проверять-то проверять всё.Ещё раз спасибо Dr.Web за защиту!!!

Alexander Собкор
13:08:22 2017-10-30

Страшен ли "кролик"? - если я его вижу на картинке издали, намалеванную кем-то, - то, конечно, и не особенно страшен. А если этот Bad Rabbit уже у меня, то его улыбка - это уже ужасный оскал, это уже страшно, это уже паника. Полагаю, что всех участников обсуждения сегодняшней статьи "плохой кролик" обошел стороной. Поэтому мы с юмором "перемалываем ему косточки".
В рекомендациях Dr.Web к этой статье мне показались несколько неоднозначными некоторые слова и утверждения. Так, "... антивирус ... зачастую выключен ... тем не менее он обязан защищать". Как?!!! Или следующее, "антивирус должен ..." и это, и другое, и еще что-то. И всегда ОН что-то и кому-то должен. Но если ОН должен, то я тут причем?! С него и спрос! А может быть лучше звучала формулировка "антивирус имеет право на ..."? Самоорганизовалось бы общественное движение "В защиту прав антивируса", проводились бы собрания, митинги и демонстрации. К потребителям антивируса можно было бы предъявить претензии за нарушения ЕГО прав и свобод. Такой вот юмор наблюдателя со стороны.
А реальность она такая, как это отражено в статье Антивирусной правды и комментариях любителей Dr.Web, к которым я себя тоже причисляю. На извечный вопрос "что делать", как всегда будет много разнообразных ответов и советов. Фактическое же состояние дел меняться будет очень медленно. Возможно такое свойство "человеков", которым суждено быть вечно кем-то улавливаемыми.
Уверен, что эти "скачки кролика" очередной раз подтвердили, что Dr.Web Security Space - это именно тот продукт надежной и ответственной компании, который должен (или имеет заслуженное право) обеспечить безопасность нашей сетевой жизни.

maestro431
11:43:04 2017-10-30

Интересно, зачем это ставить Антивирус, если его выключают? Если его установил - нужно, чтобы все компоненты защиты работали!

Комментарии к другим выпускам | Мои комментарии

Главная

Выпуски

Рубрики

Рейтинг

О проекте

Статистика

Избранное

Инструменты

Антивирусная правДА!TM

Страшен ли кролик, как его малюют?

Антивирусная правДА! рекомендует

Нам важно ваше мнение

Комментарии пользователей