Продолжение поста «Как мы победили вирус-шифровальщик, потратив 7000 рублей»

В комментах напихали полную панамку, поэтому немного деталей:
1. Изначально червь, который установил Mimikatz
2. Миша работал всегда из под своей единственной УЗ с правами доменного администратора
3. Когда Mimikatz дискредитировал его данные, он проник на ВМ и хосты, после чего в ночь с пятницу на субботу в 21.00 запустил шифровальщика.
4. Шифровальщик действовал умно, поэтому сначала шифровал данные внутри виртуальных машин, а потом уже начал шифровать диски самих виртуальных машин на хостах, после чего - самоудалялся.
5. Долгое время ушло у него на шифрование, т.к. на файловом сервере были сотни тысяч мелких файлов (а мощностей файловому серверу было выделено мало).
6. Теневые копии данный шифровальщик, так же удалил
7. Все SMB шары были не скрытыми, поэтому вирусу было легче действовать.

Теперь отдельно про утилиту от dr web.

Нам прислали утилиту с названием te225decrypt. GUI у него и есть, и нет, при запуске указывается ключ дешифровки и корневая папка с зашифрованными файлами, далее ПО - рядом с зашифрованным файлом, кладет расшифрованный.

Выглядит так:

Продолжение поста «Как мы победили вирус-шифровальщик, потратив 7000 рублей» Клиенты, Информационная безопасность, IT, Вирусы-шифровальщики, Сисадмин, Будни сисадмина, Мат, Длиннопост, Ответ на пост

погуглив на этот счет нашел на их сайте в открытом доступе https://vms.drweb.ru/te858decrypt/

https://download.geo.drweb.com/pub/drweb/tools/te225decrypt....
Интерфейс выглядит так:

Продолжение поста «Как мы победили вирус-шифровальщик, потратив 7000 рублей» Клиенты, Информационная безопасность, IT, Вирусы-шифровальщики, Сисадмин, Будни сисадмина, Мат, Длиннопост, Ответ на пост
Показать полностью 2

Как мы победили вирус-шифровальщик, потратив 7000 рублей

Как и обещал, делюсь с вами историей на реальных событиях.

Позвонил нам с паникой в голосе Сергей Петрович (имя изменено). Некоторое время назад мы им ставили почтовый кластер. Это была разовая работа, и с тех пор мы о них не слышали.

Сергей Петрович поведал печальную историю: сервера упали, штатный сисадмин Миша в отпуске, на звонки не отвечает. Читает сообщения, но на связь не выходит. Что делать - непонятно, куда бежать - неизвестно. В общем, думайте сами, решайте сами.

Как мы победили вирус-шифровальщик, потратив 7000 рублей Клиенты, Информационная безопасность, IT, Вирусы-шифровальщики, Сисадмин, Будни сисадмина, Мат, Длиннопост

Мы подключились к проблеме в 20.00 и обнаружили шифровальщик. Наиболее вероятно, что проник на ПК офис-менеджера через ВПН, потом попал на комп админа, где были сохранены пароли от всего и всех.

Так как админа нет на связи, то алерт от фаерволла на почте никто не увидел (перевод с непонятноайтишного: есть "железка", которая изучает, что приходит из интернета, может найти вирус и отправить предупреждение).

В результате шифровальщик радостно трудился 6 часов, пока кто-то не заметил проблему. Единственное, что смогли сделать - выключить серверы из розетки и пришли к нам.

Что делали

Загрузили серверы с чистых дисков, запустили виртуальные машины (которые остались живые), отключив их от сети.

Шифровальщик уже успел самоуничтожиться, а антивирус ничего не нашёл. Самое неприятное было в том, что сервер резервных копий был в домене (один пароль подходит ко всем серверам) и резервные копии тоже были зашифрованы.

Тем временем в компании клиента:

Как мы победили вирус-шифровальщик, потратив 7000 рублей Клиенты, Информационная безопасность, IT, Вирусы-шифровальщики, Сисадмин, Будни сисадмина, Мат, Длиннопост

На следующий день переподняли сервер телефонии и одну уцелевшую ноду почтового кластера.

Нашли на одном из ПК бухгалтерскую базу от января (а дело происходило в мае). Восстановление бухгалтерии по первичке за этот период оценивалось в пару месяцев адско горящих жоп или полтора миллиона рублей, если привлечь аутсорс, поэтому стали думать дальше.

На некоторых серверах не было антивируса, на некоторых стоял лицензионный Касперский. Попробовали связаться с Касперским, но они ничего толком не ответили.

Связались с Dr. Web. Они попросили пару файлов: зашифрованный и незашифрованный, мы нашли пяток таких пар, отправили. Через пару дней они написали, что данные удалось расшифровать.

Мы ожидали счёт на пол ляма, а они предложили купить лицензию на три ПК за 7 000 рублей. Купили. После чего они прислали утилиту расшифровки с ключами, которая расшифровала 95% всей информации. Причём, как оказалось, было пять разных сеансов шифрования, то есть пять разных ключей. И вот, нам прислали все.

Как мы победили вирус-шифровальщик, потратив 7000 рублей Клиенты, Информационная безопасность, IT, Вирусы-шифровальщики, Сисадмин, Будни сисадмина, Мат, Длиннопост

- Не держите бэкапы в домене. Сервер должен иметь свои доступы.

- Делайте офлайн копию. Лучше иметь отдельный аккаунт с уникальным логином и паролем. В этот аккаунт ежемесячно делаем дополнительные бэкапы и сохраняем архивы баз данных 1С.

- Админский пароль. Делаем отдельный админский пароль для административных действий, а работать админу нужно под правами обычного пользователя.

- Ставим Zabbix, чтобы отслеживать внезапные перезагрузки и/или резкое уменьшение свободного места. Помогает видеть нетипичное поведение и выявлять на ранних стадиях проблемы.

- Ставим тикет-системы и алерты в телеграм. Чтобы админ не проёб…пропускал важные уведомления.

Через 5 дней админ (Миша) появился в офисе и удивился, что всё работает. Спросил как так, ведь он рассчитывал выйдя из отпуска приступить к исправлениям. Сергей Петрович спросил:

- Миша, как же так? У нас вся работа во всех филиалах просто встала, убытки, контракты, а ты даже не позвонил, чтобы подсказать что делать!

Михаил отвечает:

- У меня законный отпуск 14 дней, имею право.

Миша большой молодец, потому что должность Миши была сокращена в компании, а у нас +1 клиент на ведении, причем вполне адекватный.

Если что я в тг: https://t.me/k0stochka

Показать полностью 3
Отличная работа, все прочитано!