k0st0chka

k0st0chka

Ойтишнег-манагер, https://t.me/k0stochka
Пикабушник
ViBo ждёт новые посты
поставил 13861 плюс и 30 минусов
отредактировал 0 постов
проголосовал за 0 редактирований
Награды:
Сборщик Пыли С Днем рождения, Пикабу!
1419 рейтинг 50 подписчиков 47 подписок 3 поста 3 в горячем

Продолжение поста «Как мы победили вирус-шифровальщик, потратив 7000 рублей»

В комментах напихали полную панамку, поэтому немного деталей:
1. Изначально червь, который установил Mimikatz
2. Миша работал всегда из под своей единственной УЗ с правами доменного администратора
3. Когда Mimikatz дискредитировал его данные, он проник на ВМ и хосты, после чего в ночь с пятницу на субботу в 21.00 запустил шифровальщика.
4. Шифровальщик действовал умно, поэтому сначала шифровал данные внутри виртуальных машин, а потом уже начал шифровать диски самих виртуальных машин на хостах, после чего - самоудалялся.
5. Долгое время ушло у него на шифрование, т.к. на файловом сервере были сотни тысяч мелких файлов (а мощностей файловому серверу было выделено мало).
6. Теневые копии данный шифровальщик, так же удалил
7. Все SMB шары были не скрытыми, поэтому вирусу было легче действовать.

Теперь отдельно про утилиту от dr web.

Нам прислали утилиту с названием te225decrypt. GUI у него и есть, и нет, при запуске указывается ключ дешифровки и корневая папка с зашифрованными файлами, далее ПО - рядом с зашифрованным файлом, кладет расшифрованный.

Выглядит так:

Продолжение поста «Как мы победили вирус-шифровальщик, потратив 7000 рублей» Клиенты, Информационная безопасность, IT, Вирусы-шифровальщики, Сисадмин, Будни сисадмина, Мат, Длиннопост, Ответ на пост

погуглив на этот счет нашел на их сайте в открытом доступе https://vms.drweb.ru/te858decrypt/

https://download.geo.drweb.com/pub/drweb/tools/te225decrypt....
Интерфейс выглядит так:

Продолжение поста «Как мы победили вирус-шифровальщик, потратив 7000 рублей» Клиенты, Информационная безопасность, IT, Вирусы-шифровальщики, Сисадмин, Будни сисадмина, Мат, Длиннопост, Ответ на пост
Показать полностью 2

Как мы победили вирус-шифровальщик, потратив 7000 рублей

Как и обещал, делюсь с вами историей на реальных событиях.

Позвонил нам с паникой в голосе Сергей Петрович (имя изменено). Некоторое время назад мы им ставили почтовый кластер. Это была разовая работа, и с тех пор мы о них не слышали.

Сергей Петрович поведал печальную историю: сервера упали, штатный сисадмин Миша в отпуске, на звонки не отвечает. Читает сообщения, но на связь не выходит. Что делать - непонятно, куда бежать - неизвестно. В общем, думайте сами, решайте сами.

Как мы победили вирус-шифровальщик, потратив 7000 рублей Клиенты, Информационная безопасность, IT, Вирусы-шифровальщики, Сисадмин, Будни сисадмина, Мат, Длиннопост

Мы подключились к проблеме в 20.00 и обнаружили шифровальщик. Наиболее вероятно, что проник на ПК офис-менеджера через ВПН, потом попал на комп админа, где были сохранены пароли от всего и всех.

Так как админа нет на связи, то алерт от фаерволла на почте никто не увидел (перевод с непонятноайтишного: есть "железка", которая изучает, что приходит из интернета, может найти вирус и отправить предупреждение).

В результате шифровальщик радостно трудился 6 часов, пока кто-то не заметил проблему. Единственное, что смогли сделать - выключить серверы из розетки и пришли к нам.

Что делали

Загрузили серверы с чистых дисков, запустили виртуальные машины (которые остались живые), отключив их от сети.

Шифровальщик уже успел самоуничтожиться, а антивирус ничего не нашёл. Самое неприятное было в том, что сервер резервных копий был в домене (один пароль подходит ко всем серверам) и резервные копии тоже были зашифрованы.

Тем временем в компании клиента:

Как мы победили вирус-шифровальщик, потратив 7000 рублей Клиенты, Информационная безопасность, IT, Вирусы-шифровальщики, Сисадмин, Будни сисадмина, Мат, Длиннопост

На следующий день переподняли сервер телефонии и одну уцелевшую ноду почтового кластера.

Нашли на одном из ПК бухгалтерскую базу от января (а дело происходило в мае). Восстановление бухгалтерии по первичке за этот период оценивалось в пару месяцев адско горящих жоп или полтора миллиона рублей, если привлечь аутсорс, поэтому стали думать дальше.

На некоторых серверах не было антивируса, на некоторых стоял лицензионный Касперский. Попробовали связаться с Касперским, но они ничего толком не ответили.

Связались с Dr. Web. Они попросили пару файлов: зашифрованный и незашифрованный, мы нашли пяток таких пар, отправили. Через пару дней они написали, что данные удалось расшифровать.

Мы ожидали счёт на пол ляма, а они предложили купить лицензию на три ПК за 7 000 рублей. Купили. После чего они прислали утилиту расшифровки с ключами, которая расшифровала 95% всей информации. Причём, как оказалось, было пять разных сеансов шифрования, то есть пять разных ключей. И вот, нам прислали все.

Как мы победили вирус-шифровальщик, потратив 7000 рублей Клиенты, Информационная безопасность, IT, Вирусы-шифровальщики, Сисадмин, Будни сисадмина, Мат, Длиннопост

- Не держите бэкапы в домене. Сервер должен иметь свои доступы.

- Делайте офлайн копию. Лучше иметь отдельный аккаунт с уникальным логином и паролем. В этот аккаунт ежемесячно делаем дополнительные бэкапы и сохраняем архивы баз данных 1С.

- Админский пароль. Делаем отдельный админский пароль для административных действий, а работать админу нужно под правами обычного пользователя.

- Ставим Zabbix, чтобы отслеживать внезапные перезагрузки и/или резкое уменьшение свободного места. Помогает видеть нетипичное поведение и выявлять на ранних стадиях проблемы.

- Ставим тикет-системы и алерты в телеграм. Чтобы админ не проёб…пропускал важные уведомления.

Через 5 дней админ (Миша) появился в офисе и удивился, что всё работает. Спросил как так, ведь он рассчитывал выйдя из отпуска приступить к исправлениям. Сергей Петрович спросил:

- Миша, как же так? У нас вся работа во всех филиалах просто встала, убытки, контракты, а ты даже не позвонил, чтобы подсказать что делать!

Михаил отвечает:

- У меня законный отпуск 14 дней, имею право.

Миша большой молодец, потому что должность Миши была сокращена в компании, а у нас +1 клиент на ведении, причем вполне адекватный.

Если что я в тг: https://t.me/k0stochka

Показать полностью 3

Топ-5 причин попадания вирусов-шифровальщиков в компанию

Всем привет, много лет занимаюсь сисадминством, после сдека решил написать пост на эту тему. Стабильно раз в пару недель приходят клиенты с этой проблемой, кому-то будет полезно знать как не попасть как сдек )

1. Звонок из налоговой

Бухгалтеру позвонили с налоговой и попросили в срочном порядке заполнить какой-то статистический отчет. Бухгалтер открывает письмо, внутри екселька. Запускает эксельку, антивирус ругается, отключает антивирус, письмо же из налоговой. Внутри пустая табличка, через 10 минут комп ребутится, вылазит окно шифровальщика.

2. Письмо re:

Так происходит большинство заражений. Сотрудник получает электронное письмо, которое выглядит как ответ на его письмо с прикрепленным файлом типа “дополнительная информация в приложении.”
Рассылки массовые, работают на самых самых дремучих юзеров, которые куда можно и нельзя.

3. Открытый RDP ("удалёнка") у бухгалтера

Главный бухгалтер - главный кандидат на удалённый доступ. "Лучше всего", конечно, выставить сервер с 1С напрямую в интернет, с паролем "12345". Как-то мы на первом визите-аудите прям показали клиенту, как "ломают" их сервер по журналу Windows, они были обескуражены.

4. Ускоряльщики скачивания (и прочий "мусорный" софт)

Что делает на работе скучающий сотрудник? Правильно, качает кинцо/игрушки (зачёркнуто - смотрит порнушки). А если торренты закрыты, то исследует интернет на предмет интересного. Находит скачивальщики типа ufiller (или тысяч аналогов), качается софт, запускается, через 10 минут - перезагрузка и - "вышлите $200 на биткойн-кошелёк". Кстати, знаю истории, кто высылал и присылали ключи. Знаю, кто высылал и не присылали. А мы один раз расшифровали данные, потратив 7 000 рублей.

5. Поддельные веб-страницы

Сотрудник перешёл по ссылке на сайт, очень похожий на оригинал. Тут вариаций масса: копии госуслуг, копия веб телеграм, ватсап, копии озона, wildberries и других популярных ресурсов.

Что нужно сделать, чтобы не встрять с шифровальщиком?
- работать в Linux (хаха)
- иметь бэкапы.
- бэкапы должны быть в облаке
- бэкапы должны уметь восстанавливаться.

Кстати, про восстанавливаться есть одна чудная история, далеко не все проверяют а можно ли восстановить бэкап. Интересен такой контент?

Показать полностью
Отличная работа, все прочитано!