Атака шифровальщиков⁠⁠3

В общем по сфере работы дошла инфа что только у нас в Заб.крае за начало недели 7 компаний впаялись в шифровальщика. Прям какая то дикая рассылка прет. И вся жопа в том что вирусня обновляется быстрее чем антивирусники успевают ее в свою базу добавить. Короче срабатывания 50 на 50. Чувакам которые хапанули шифру отьебнуло базы 1с, все публички, и тд. Кто то с горем пополам восстановил базы за прошлые месяцы,даже года. Кто то за большие бабки пытались расшифровать но я так понял бестолку. К слову мудачье что рассылает вирус просят за расшифровку 1 биток что по текущему курсу 2 ляма. Ну а умные люди всегда имеют свежий бэкап на съемном носителе. Так к чему это я. Бэкапьте пацаны. А и еще. По возможности бабушек и тетенек из бухгалтерии научите что не стоит все подряд письма открывать, особенно с архивами.

265

Лига Сисадминов

2.3K постов18.8K подписчиков

Добавить пост

Правила сообщества

Мы здесь рады любым постам связанным с рабочими буднями специалистов нашей сферы деятельности.

3 поста-ответа

от Jodin, valeon и др.

Смотреть

Вы смотрите срез комментариев. Показать все

pso.kolbaso

2 года назад

А как оно до сервера 1С добралось?

раскрыть ветку (24)

Taciturn.Shadow

2 года назад

Да как обычно — дают всем пользователям права доменных администраторов и привет.

раскрыть ветку (4)

user5114545

2 года назад

Как обычно? Доменных администраторов? Да ну нах! Это где это такое обычно?

раскрыть ветку (3)

Taciturn.Shadow

2 года назад

Там, где запущенный пользователем шифровальщик успешно шифрует всю сеть.

раскрыть ветку (2)

user5114545

2 года назад

Не, я это понял. Я удивлен, что Вы написали "как обычно". Я такой дури никогда не встречал на практике.

Ну вот мне, как простому юзеру, на один из виндовозных серваков дали административный доступ. Просто чтобы саппорту не париться. Они меня ещё несколько лет назад пробили и сами предложили, мол, задрал ты в Сервисдеске нас дёргать, если сам можешь всё сделать, обновить, настроить, установить и прочее. А у меня вечно какие-то идеи по улучшению, тестированию нового. Сказали, мол, раз можешь - сам и делай, а нам не мешай со своей хернёй. Но это на сервак, локально. И они во мне уверены. Не доменного же админа всем юзерам. Это прям лютая жесть какая-то. Кто такое может делать вообще?

раскрыть ветку (1)

Taciturn.Shadow

2 года назад

Это не то чтобы везде, но среди некоторых людей действительно является обычной практикой первым делом пытаться решать проблемы путём выдачи максимальных прав всем подряд. Лично мне, почему-то, такие чаще всего встречались среди 1С-ников. В то же время знаю человека, который начинал именно так — всех в доменные администраторы и не надо париться, а потом его отпустило и даже в рамках той же 1С права начал вдумчиво раздавать.

Shyxart

2 года назад

Шифровальщик моментально по сети разлетается

раскрыть ветку (18)

vicsoftware

2 года назад

И как он умудрился заразить базы 1С? У вас они файловые и открыты голой жопой в локальную сеть на запись всем желающим?

Prostonick666

2 года назад

Сам по себе, без участия юзера?

раскрыть ветку (15)

Shyxart

2 года назад

Ну юзер только архив открывает. А дальше вирус сам расползается.

раскрыть ветку (14)

Lukk.kk

2 года назад

ТС ну признай уже что сам этот вирус открыл под учеткой админа.

ещё комментарии

Prostonick666

2 года назад

А как? Я просто особо хз как устроена виндовая сеть. Ну, загрузится он куда-то, а исполнять удаленно как заставит?

раскрыть ветку (8)

fasdima

2 года назад

Он запускается, а дальше шифрует всё, на что у пользователя есть права.

раскрыть ветку (1)

Prostonick666

2 года назад

Это понятно, речь про распространение самой заразы. Например, раньше был троян подменяющий все файлы на ярлыки самого себя. Таким образом, загрузившись на подключенный диск, он мог создать ловушку, но это требовало участия юзера другого компа

mal333

2 года назад

Находит шару, шифрует данные, ставит им атрибут скрытый, создаёт себя с таким же именем но расширением ехе. Юзер заходит в шару, видит нужный, как он думает файл, даблклик и вуаля.

раскрыть ветку (1)

Prostonick666

2 года назад

Методу куча лет #comment_283739544

Но это, как я написал, требует участия юзера не заражённого компа

Shyxart

2 года назад

Шифровальщик цепляется за все куда настроен доступ пользователя. Грубо говоря на компе у буха есть публичка куда зацеплены все компы организации. Шифр влетает сперва в публичку заражает ее, потом с нее разлетается по компам юзверей а следом влетает на сервак где развернута публичка. Плюс это гавно очень любит RDP, подключенные сетевые диски через Total Commander, Radmin и тд

раскрыть ветку (3)

Jonano

2 года назад

Не могу понять, почему с компьютеров бухгалтеров есть доступ к файловой системе SQL-сервера. Почему на сетевых дисках не ограниченные права?

Выглядит как проёб админа.

раскрыть ветку (1)

Mr.Dimka

2 года назад

По-твоему у всех 1с на скуле работает? Три буха, которые в бухгалтерии работают, нахуй им лицензию на сервер покупать? Естественно всё это так и стоит, файловая база у главбуха на компе, ну или максимум на файловом сервере, естественно к ней открыт доступ на запись. В последнее время стараюсь всех переводить на веб-сервер и тонкий клиент.

Prostonick666

2 года назад

Вот с rdp я понимаю, есть возможность удаленно запустить что-либо

ещё комментарии

valeon

2 года назад

нет не разлетается, он не умеет в такое

ещё комментарии

Вы смотрите срез комментариев. Чтобы написать комментарий, перейдите к общему списку