58
Ахтунг! Вирус-шифровальщик! почта от Ростелеком (rt.ru)
79 Комментариев в Информационная безопасность  

Добрый день.

Информации в принципе никакой полезной сообщить не могу.

Пришло письмо якобы акт сверки от Ростелекома (домен rt.ru)

Внутри файл расширение .wsf

и Двум сотрудницам хватило ума его попытаться открыть.

Сейчас на их компах полностью переустанавливать ОС, а все рабочие документы и файлы, скорее всего не удастся восстановить.

Аваст ничего не заподозрил. Сканы от касперского и др.вэба безрезультатны.

Будьте бдительны. Предупредите персонал своего офиса.

+7
 immortal555 отправил

Почему шифровальщик? Это же расширение скрипта, вроде как. Логично, что антивирус не среагировал, это не вирус. Запускать скрипты непонятного происхождения на своем компьютере - удел недалеких людей.

+1
 KOwA4bEyp4aJlo отправлено

оставлю под топ комментом. расшифровать файлы можно с помощью прогры officerecovery

торрент (нужна регистрация)

https://rutracker.org/forum/tracker.php?nm=officerecovery

0
 Lexx178 отправил

Шивровальщики сейчас часто как скрипт приходят, потом создают ехешники и гадят.  

+5
Tanatos59 отправил

В бумажном виде подготавливаешь предложение руководству о централизованном хранении файлов с теневым копированием и бэкапами, описываешь риски, презентуешь, фиксируешь это и все, никого не надо предупреждать!

+6
Tyrdympyh отправлено

Угу, и после этой прекрасной презентации про копирование, бекапы и риски тебе дают флешку на 4 гига на нужды безопасности.

Вот тут ты и понимаешь что если что, то спросят с тебя как будто три серванта и пять nas-ов подарили. И начинаешь ты бегать по полоумным работникам и рассказывать что нажимать не надо.

+3
Tanatos59 отправил

хм, такой сценарий я на рассматривал но думаю я бы съехал по причине что в сутках нет столько времени а уж в рабочих часах и подавно, да и вообще возможность такого сценария говорит о крайней необходимости обновить и разослать свое резюме.


У меня как правило шло по такому сценарию, выделяли  оборудование, все организовывалось пользователи подписывали приказ с подписью дирехтура, о том что хранить надо там то там то, в случае хранениия в других местах инженегр ответственности за сохранность информации не несет а несут они сами

раскрыть ветвь 9
-3
 KOwA4bEyp4aJlo отправлено

подобные рассылки как правило идут волнами.

вдруг кому да поможет.

+6
Tanatos59 отправил

(C) этож блять советские тётки.

они и virus.exe попытаются открыть.


Они и через неделю ешо раз откроют

раскрыть ветвь 1
+3
germesnsk отправлено

1) Аваст -- дерьмо

2) Так же однажды словили шифровальщика, благо все критически важные данные бекапятся, а папка "Документы" вынесена на DFS c VSS, через GPO, так же бекапится

3) Касперыч, не сочтите за рекламу или антирекламу, был куплен, но промолчал, как партизан.

4) Саппорт же смог-таки расшифровать файлы c рабочего стола.

Выводы:

1) Регламенты

2) Перемещение всех папок, где может быть важная информация на сетевое хранилище

3) Бекапы

4) Лучше купить каспера или др.веба, хотя бы для бухгалтерии.

+1
coremore отправлено

А он и промолчит, криптография во многих нужных программах как ее запретить ?

0
germesnsk отправлено

Я и не говорил, что это вина каспера, что пропустил вирус, который скомпилировали за час до рассылки... Я лишь говорю, что покупка лицензионной копии может помочь(а может и не помочь) в некоторых ситуациях.

+2
 n800 отправлено
+2
 Lexx178 отправил

Когда прихожу по заявке и вижу эту гадость спрашиваю только делали ли резервную копию данных. ответ всегда нет(( А я их постоянно предупреждаю

+4
sobdragon отправлено

Трындец пост.... трахая шлюху одевайте презерватив, а то пару мужиков заболело.


з.ы. аваст вообще не антивирус.  

+1
IRBISRZN отправил

+1

Я думал что я один Avast за антивирус вообще не считаю :) Оказывается я не один такой :)

-1
 GrandMaster1000 отправил
А windows defender как? У меня он только кряки ловит, ну и я в принципе где попало не брожу.
раскрыть ветвь 5
+2
RostelecomCentr отправлено

Уважаемый клиент, здравствуйте! Я- официальный представитель ПАО Ростелеком! Нам  важно знать о данной ситуации, поэтому рекомендуем сообщить нам -имеются ли у Вас услуги от ПАО Ростелеком, регион Вашего проживания и л/счет услуги. Просим направить письмо на нашу почту clients@center.rt.ru  или  b2b.сenter@rt.ru с описание ситуации.

-1
Dolios отправил
Официальный представитель ПАО Ростелеком настолько профан, что не понимает, что адрес отправителя можно нарисовать любой?

К чему вообще эта писанина?
0
CherryPah отправлено

ИБ и прочему IT ПАО Ростелеком такие вещи разумеется понятны


А официальному представителю, сиречь пресслужбе такие вещи знать совершенно не обязательно. У него триггер на фразу с почты РТ шлются вирусы.

Сделают массовую рассылку по своим клиентом - типа внимание, участились случаи мошенничества, не будьте дебилами, не открывайте вложения, проверяйте цифровую подпись отправителя

-1
c1324885 отправлено

Не переживайте. Подписаться Ростелекомом просто хорошая политика мимикрии. Не уверен, что ваши сотрудники так подрабатывают.

+1
 skuf1973 отправил

У нас в компании всех в обязательном порядке заставляют пользоваться облачным бекапом Бэкблейз. Файлы дороже.

+1
 p4elk отправил

У меня стоит почта на телефоне, и я часто в 6 утра удалял письма подобного плана, чтобы напарница случайно не открыла, хотя из доков на компе ничего серьезного не храним

+1
 KOwA4bEyp4aJlo отправлено

для билли (сорри что на телефон снято. жопа на работе. не до притскринов):

+3
LexGameDev отправлено
Совет, все exe, vbs, wsf, bat, и прочие расширения должен блокировать сам почтовый сервер.

Разрешайте только doc, xls, rar, но да в архиве тоже можно скрипт прислать.

Используйте в компании Dr.Web подешевле Касперского, и ловит нормально, как сам настроишь. И делайте почаще рассылки на всю компанию, что много событий связанных со взломом и вирусами. В 1С тоже различного рода заражения и отправки из базы платёжек на крупные суммы. Самое выгодное решение(не считая бэкапов на файловом сервере) это ограничение запуска всех приложений(скриптов), кроме доверенных и не давать пользователям прав админа.

0
 wolf2012 отправил

Групповые политики на домене решают. Согласен с выше сказанным, кроме 1С. Каким образом она платежи может отправлять????

раскрыть ветвь 1
0
 nikobraz отправил

В архивах проверка вложений, вложенные и шифрованные архивы резать не глядя.

раскрыть ветвь 1
0
 CIDR отправил

Покажи заголовки письма

0
 umercomp отправлено

Вы бы лучше исходник письма показали

0
 YANEXY отправила

Как мне смешно читать людей ~ антивирус не помог этот, антивирус не помог тот. Товарищи незнайки : 1. Сперва появляется болезнь, потом лекарство на нее. 2. Если криптануть троян\вирус , который уже в базе вашего любимого аваста касперва и прочих, он вновь не будет его распознавать как вредоносное ПО 3. Те, кто думает что авирус их спасет, скорее всего уже давно являются ботами под загрузку. 4. Если у вас все таки вирус\троян - лучшее средство = переустановка ОС. 5. Что б не возникало проблем а. Переустанавливаем винду, ставим дрова, и то что необходимо для постоянного использования. Качаем с торента (рутракер, ннм и др) True Image в. Создаем образ ОС + дрова + ПО. РАДУЕМСЯ... если у вас вдруг забрел опять страшный и опасный, по причине того что вы идиот - у вас быдет быстрая скорая помощь, которая востановит вашу систему за 10-20мин. УДАЧИ. PS: а я буду дальше смеяться над идиотами которые покупают антивирусники)))) ~ за 19 лет за ПК еще ни разу не ставила антивирусник .

0
Pafnuty отправлено

Намекну на будущее: советую накатить политику открытия .scr, .js, .hta, .wsf файлов блокнотом, а так же настроить  "предыдущие версии файлов"... что бы потом не было так же мучительно больно :)

0
 BrainFury отправил

Люди делятся на тех, кто еще не делает бэкапы и тех, кто уже делает бэкапы. Мб хоть счас чего-то поймут.

У меня давно все всё хранят на самбе, где есть теневухи - это раз. И отдельная шара, только на чтение, с бэкапами глубиной 30 дней - это два.

0
q000p отправил

Ни один антивирус не защитит от шифровальщиков без нормальной настройки.

Вот инструкция для касперского http://support.kaspersky.ru/10905#block1

0
 ELForcer отправил

Письма с шифровальщиком с домена RT.ru шлются уже больше года.

0
 Jetoncheg отправил

1) прекратить слепо доверять антивирусникам (они не панацея)!
2) Запретить запуск исполняемых файлов откуда попало (запретить везде, разрешить из определенных папок)
вот хорошая статья http://pikabu.ru/story/obeshchannyiy_post_o_tom_kak_zashchit... от @Lokaha
3) делать и проверять бэкапы на отдельных ресурсах (не на той же машине)

0
 Lokaha отправил

спящий пробудился =) человек выше пишет все верно. антивирусы от запуска файлов не спасают. Антивирь по сути лечит только от явных атак, а не когда вы сами дверь открываете.  + неплохо бы провести проф беседу с персоналом, что все важные письма приходят по обычной почте или в спец программах, а не по электронной почте.

0
 zloproxy отправил

@KOwA4bEyp4aJlo а заголовки письма показать можно? Думаю, что всё встанет на свои места.

И совет на будущее - блокировать письма не прошедшие проверку dkim. (советую почитать: https://habrahabr.ru/post/106589/ )

0
 CIDR отправил

Проверка дким - не панацея. А уж блокировка писем без подписи - вообще глупость.

Потому что:

а)Письмо можно подписать дкимом и отправить "якобы" от ростелекома. Проверка дкима пройдет по реальному домену, вне зависимости от поля From. Внешне такое письмо распознать можно будет лишь по заголовкам.

б)Многие конторы не имеют дкима на своих почтовиках.

0
 KOwA4bEyp4aJlo отправлено

нельзя =(

как только узнал, что у "кого-то файлики перестали запускаться", удалил письмо, чтобы больше не ткнул никто и файлики, которые уже успели разлететься "у меня что-то не запускается, попробуй у себя" которые передали через тот самый сетевой рейд для хранения важной инфы

.......

0
 zloproxy отправил

что же у вас там за сервер такой, который удаленные письма не дает посмотреть. Ну да ладно. Позаботьтесь на будущее о теневом копировании. Если в компании есть общая сетевая шара, то нужно бекапить её. Остальное - побую. "Важные документы только на сервере" (я приучил за месяц - виндовый профиль обнулялся каждую загрузку винды). А средство, чем бекапить - на вкус и цвет. Один знакомый админ не стал заморачиваться и поставил рядом убунту, подключил шару и бекапил встроенной софтиной 2 раза в день. Как итог - дешево и сердито. А рейд поможет только при смерти харда, но не при потере документов.

раскрыть ветвь 6
0
wingblack отправлено
Закиньте файл на https://www.virustotal.com/ и дайте сюда ссылку на отчет.


Постоянно приходит всякая фигня, скрипты были, часто вижу JS в архиве (у меня даже не запускается). Всех своих уже давно предупредил ничего такого не открывать, пока эксцессов не было (да мож и кашпер помогает)

0
DarkKnight56 отправил

Если есть лицуха каспера, иди на сайт, там возможно помогут (мне помогали с похожей херней) правда не все файлы восстановятся.

0
10hp отправил

да уж, только на своих ошибках

0
scytheSIN отправлено

Теневое копирование хотя бы, не судьба настроить?

0
 KOwA4bEyp4aJlo отправлено

имеется сетевой диск в рейде. по сути предназначен для хранения как раз важной инфы.

но..... этож блять советские тётки.

они и virus.exe попытаются открыть.

+4
 DmitrixBoroda отправил
Cоветские тётки могут ушатать все. Тут ты прав.
+3
germesnsk отправлено

Старина, RAID -- это отказоустойчивость, а товарищ говорил про теневое копирование, служба VSS... Это почти как бэкап, только не совсем бэкап.

0
 BrainFury отправил

Рейд не панацея, если сетевой диск доступен на запись. Просто все зеркало зашифрует и будет та же проблема. Только бэкапы спасают реально и надежно.

0
MrMydaq отправлено

Ну так я решил такую проблему очень просто,. Создаете этим теткам ярлычки на их папку вне компа, настраиваете сохранение файлов туда и ОБЯЗАТЕЛЬНО при руководстве обьясняете всему офису что и как надо делать. Результат 90% будет.

ещё комментарии


Пожалуйста, войдите в аккаунт или зарегистрируйтесь