История про вирус-шифровальщик

История про вирус-шифровальщик Вирусы-шифровальщики, Истории из жизни, IT, Длиннопост

Впечатлившись рекламой и хвалебными отзывами руководство одной из контор, в которых мне довелось сисадминить, приняло решение о внедрении модного Kerio Control. Сказано – сделано: мечта об удаленном рабочем столе претворилась в жизнь, а трудовые будни окрасились в неожиданно привлекательные тона. Теперь начальство могло преспокойно работать из дома, попивая кофе в трусах.


Беда, как это обычно бывает, пришла, откуда не ждали. Поскольку о таком понятии как VPN ребята слыхом не слыхивали, а о его назначении – и подавно, то, недолго думая, открыли порт удаленного рабочего стола для доступа из любой точки недружелюбного внешнего мира. И, конечно же, при этом пароль администратора на сервере был «12345», его никто не удосужился поменять, да и вряд ли кто об этом задумывался.


Всего через пару недель счастливой и безоблачной работы из дома на сервере появилась зловещая картинка.


Работа конторы оказалась парализована, со стороны это всё выглядело следующим образом: все опрошенные старательно отрицают переход по небезопасным ссылкам нигерийских принцев, руководящий состав мечет громы и молнии, часть рядовых сотрудников радуется возможности похалявить, проектный отдел рвёт на себе волосы, логисты нервничают, кадровики хранят отстраненное молчание, и только снабженцы с трудом скрывают довольные ухмылки. Стало очевидно, что без привлечения квалифицированного специалиста дальнейшее функционирование не представляется возможным. Тогда-то меня и вызвали, чтобы поставить извечный русский вопрос: «Что делать и кто виноват?».


Послание от злоумышленников, как можно было легко догадаться, содержало требование выкупа в обмен на обещание расшифровки файлов. По тем временам, учитывая актуальный на тот момент курс биткоина, сумма запрошенного выкупа – 0,5 биткоина – выходила в сущие копейки и составляла всего-то 500 килорублей.


На кону была не только дальнейшая работа компании, клиентская база и многолетние наработки, но и пресловутая коммерческая тайна. Казалось бы – что такое полмиллиона для преуспевающей столичной конторы с приличным годовым оборотом?


Однако директор был категоричен и непреклонен, заявив, что не намерен вести никаких переговоров с вымогателями, а восстановление предполагается вести в ручном режиме. «Мне бы только файлик с «черной» бухгалтерией восстановить» - понизив голос, добавил директор и вкрадчиво присовокупил обещание «в долгу не остаться».


От успеха или неудачи в данной ситуации напрямую зависела моя репутация и дальнейшее сотрудничество с компанией, не скупящейся на оплату моих трудочасов. Вариантов у меня было немного. Здраво рассудив, что за спрос денег не берут, решил закинуть удочку злодеям. Написал, мол, деньги не проблема, однако, имеются сомнения в оправданности трат – хорошо бы продемонстрировать способность к расшифровке, вот, хотя бы на этом «совершенно рандомном» файле.


Вымогатели радостно заглотили мою наживку и прислали заветный файл в дешифрованном виде. Окончательное спасение ситуации пришло от главбуха – оказалось, что она со своей профессиональной паранойей регулярно делала резервное копирование. Миссия моя была близка к успешному завершению – всего-то за квартал документов пришлось восстанавливать.


А ведь всего этого можно было избежать, если бы VPN вовремя настроили, порты открывали с умом и использовали сложные пароли.


P.S. Прикладываю скрин переписки с злодеями, дабы развеять все сомнения в кото-ламповости истории. В нем видно, что файл они прислали.

История про вирус-шифровальщик Вирусы-шифровальщики, Истории из жизни, IT, Длиннопост

Лига Сисадминов

1.7K поста18K подписчиков

Правила сообщества

Мы здесь рады любым постам связанным с рабочими буднями специалистов нашей сферы деятельности.

119
DELETED
Автор поста оценил этот комментарий

В долгу-то не остался?

раскрыть ветку (1)
186
Автор поста оценил этот комментарий

Да, нормально денег отвалил, сисадминю теперь по заявкам их.

показать ответы
20
DELETED
Автор поста оценил этот комментарий

бекапы каждую ночь, каждую неделю и месяц. И все, можно вымогателям чупа-чупс дать

раскрыть ветку (1)
23
Автор поста оценил этот комментарий

Ремарка: Бекапы не доступные из основной сети и изолированные от основной системы. Виртуализация наше все.

3
DELETED
Автор поста оценил этот комментарий

но, ты ж себя там в этой роли обозначил?

объясняй тогда подробнее.

раскрыть ветку (1)
14
Автор поста оценил этот комментарий

Меня вызвали лечить и восстанавливать все это дело. До этого не было у них админа постоянного.

Автор поста оценил этот комментарий
Только после расшифровки хотя бы одного файла!
раскрыть ветку (1)
4
Автор поста оценил этот комментарий

愿原力与你同在伟大的学徒
Я все расшифровал....

1
Автор поста оценил этот комментарий
После перехода по ссылке у меня пк зашифровался
раскрыть ветку (1)
4
Автор поста оценил этот комментарий

Отлично с вас 1 биткоин :))))

показать ответы
154
DELETED
Автор поста оценил этот комментарий

очередной плачь на тему "админ" и бэкапы.

а главбух умнее или прозорливее тс.

и все меры по безопасности меркнут перед тупым юзером, который открывает все подряд пришедшие на почту ссылки не думая и подтверждая все, что не понимает.

был такой у меня в одной из подшефных контор, за две недели схватил три раза шифровальщика, ладно я после первого раза бекапы на ежедневное поставил (до этого было вторник и пятница)

раскрыть ветку (1)
17
Автор поста оценил этот комментарий

А у них не было админа :))))
Теперь есть

показать ответы
5
DELETED
Автор поста оценил этот комментарий

Эпидемая шифровальщиков бушевала не только в 2014. В 2018, и 2019 тоже вполне себе имела место быть. Сам в 2019 столкнулся буквально на второй день работы в конторе. Разумеется был и бардак  и я толком не успел ничего привести в порядок. RDP торчал жопой в интернет. По итогу долго торговался с хакерами и контора им заплатила что-то около 500 долларов. Файлы расшифровали. Пробовал по методу ТС'а отправить для дешифровки самый важный файл, хакеры оказались не дураки и ответили что такой важный файл без оплаты не отдадут, но прислали скрин.

раскрыть ветку (1)
5
Автор поста оценил этот комментарий

в соседнем от этой конторы офисе, люди тоже платили злодеям 15к руб, причем после расшифровки они успокоились и не стали предпринимать каких либо действий, а через некоторое время им опять все шифранули.

показать ответы
Автор поста оценил этот комментарий

А вот про ротацию, зачем такой гемор? Не проще 2 бэкапа: вчерашний и позавчерашний. Проверяем вчерашний, после чего позавчерашний перезаписываем сегодняшним.

раскрыть ветку (1)
2
Автор поста оценил этот комментарий

Или диск возьми и сдохни...

14
Автор поста оценил этот комментарий

Чтобы бекап не шифранули надо иметь чуть-чуть ума (или опыта).


1. Система С которой делают бекап не имеет доступа к хранилищу бекапа. Система собирает все в папочку и хранит где-то. В это где-то идет система бекапа и загружает себе данные на отдельный носитель. (В другой город, материк, тут как паранойя позволяет).

2. Ротация бекапа. Зависит от объема и бюджета, но если объем позволяет - бекап каждый день, последнюю неделю храним все 7 дней, еженедельные - храним за последние 4 недели, ежемесячные (ежеквартальные) - за последние 12(4). Ежегодные храним вечно.

3. Восстановление. Все это не имеет смысла если раз в Х времени не брать какой-то бекап и восстанавливать из него, проверяя целостность.


Если боитесь за сохранность данных в бекапе - шифруйте сами бекапы.


Все, простые правила позволили пережить эпидемию шифровальщиков с минимальными потерями

раскрыть ветку (1)
2
Автор поста оценил этот комментарий

К слову, в пострадавшей конторе я поставил Hyper-v и загнал их вин сервер в виртуалку. Сети физически разделены, плюс ко всему копия бекапов ежедневно дублируется на внешний хард, харды периодически меняются.

показать ответы
15
DELETED
Автор поста оценил этот комментарий

Согласен. Подозрительно, что ему отдали расшифрованный файлик с бухгалтерией. Шифруют не дураки, для проверки расшифруют только неважное. 

раскрыть ветку (1)
6
Автор поста оценил этот комментарий

Там была долговая книга. Кому и что отгружено в долг. Для злоумышленника видимо она не представила ценности.

2
Автор поста оценил этот комментарий
Странно немного. Может в больших компаниях есть какие то особенности, но файлик с "чëрной бухгалтерией" это какое то фуфло.
Всë с чего платятся налоги отражается в выписках банка. Всë с чего не платятся налоги можно пересчитать с помощью счëтной машинки.
раскрыть ветку (1)
3
Автор поста оценил этот комментарий

Представьте долговую книгу. В ней написано какая компания сколько вам должна денег и за что.... Потеря книги = катастрофа.

119
DELETED
Автор поста оценил этот комментарий

В долгу-то не остался?

раскрыть ветку (1)
4
Автор поста оценил этот комментарий

Всем участникам секты свидетелей кота (тигра) и лампы посвящается.

Скрин переписки со злодеями. На нем видно что файл они прислали в ответ.

https://boroda.group/upload/medialibrary/511/511aa89de86d152...
показать ответы
5
DELETED
Автор поста оценил этот комментарий
Внести тигра с прожектором. Никто бы с вами не говорил и тестовые расшифровки не высылал, делать им больше нечего, обычно это счёт на оплату и и куда присылать дешифратор, все.
раскрыть ветку (1)
4
Автор поста оценил этот комментарий

Давайте если я приложу скрины переписки с злодеями, вы перед загсом съедите свой паспорт с видеофиксацией, а мы будем кричать котолампу в студию.

3
Автор поста оценил этот комментарий
Прекрасно внедряются через брут rdp
раскрыть ветку (1)
3
Автор поста оценил этот комментарий

Причем по словарю это занимает крайне мало времени.

2
DELETED
Автор поста оценил этот комментарий

Автор, какие порты и при чем тут vpn? Шифровальщик внедряется через браузер, или е-мейл. 

раскрыть ветку (1)
3
Автор поста оценил этот комментарий

Порт RDP торчал наружу, пароль админа был 12345, браузер и мейлы уже лишнее звено.
Злодей заходит на сервер  и запускает шифровальщик лично.
Был бы VPN и порт RDP не торчал бы наружу, ситуация не произошла бы.

1
DELETED
Автор поста оценил этот комментарий

глаза от уровня английского вытекли

раскрыть ветку (1)
Автор поста оценил этот комментарий

Все вопросы к гугл-переводчику.

Автор поста оценил этот комментарий

@moderator, прошу предоставить возможность вставить в пост скрин переписки со злодеями, чтобы свидетели секты кота и лампы спали спокойно.

показать ответы
Автор поста оценил этот комментарий

может их несколько было бухий а они не знают какая самая важная

раскрыть ветку (1)
1
Автор поста оценил этот комментарий

Ну сдается мне что для злодеев записи в экселе типа ООО "Бест" - 10 тонн барахла  - 999к руб, не понятна ценность, 1С базу то они явно отказались бы расшифровывать.

показать ответы
5
DELETED
Автор поста оценил этот комментарий

Ну второй раз злоумышленникам шанса уже не дали.
Кстати еще один момент был. Гендир той конторы был бывший бандюк и начал на меня катить баллон типа это всё моих рук дело, якобы я только появился и сразу пошли проблемы, про хакеров я выдумал и типа это я деньги хочу себе забрать. Кое-как отбрехался, но это была первая весточка и надо было тогда и сразу и валить, с такими начальниками никогда ничего путного не выходит.

раскрыть ветку (1)
Автор поста оценил этот комментарий

Согласен, бежать надо от таких.

3
DELETED
Автор поста оценил этот комментарий

@moderator, возможно я ошибаюсь, но пост выглядит, как реклама того что по ссылке. Контора по ссылке ни чем не дополняет пост, но зато прекрасно рекламирует свои услуги с явками и паролями. В посте вполне можно было ограничится фразой "руководство одной из контор" без ссылки.

раскрыть ветку (1)
2
Автор поста оценил этот комментарий

Не реклама, а ссылка на первоисточник, сдается мне что правилами пикабу это разрешено. Но админам виднее,  ссылку удалили.

4
Автор поста оценил этот комментарий

Я может чего то недопонимаю. Но по пунктам. Во первых, кто ставил Kerio Control тот не задумался о VPN, смене паролей и прочих достаточно простых и базовых действиях? Во вторых, на вторых ответ уже дан, ТС утверждает, что не он был их админом на тот момент, но как то странно это все. И в самых интересных и последних))) В этой "крутой" компании с крутыми заказчиками вместо антивиров молитву читают перед компами?)) Даже ущербный аваст не пропускает шифровальщик, что уж говорить о том, что сейчас 80% даже бабулек используют касперыча. Так что дичь какая то эта история. Либо в этой компании действительно всем насрать на ИБ

раскрыть ветку (1)
2
Автор поста оценил этот комментарий

Почитайте про крипторы, они шифруют знакомый антивирусам EXEшник и на выходе получается не знакомая сигнатура, а дальше дело техники. Это первое.
Во вторых зайдя под админом с паролем 1234567, у злодея все права на систему, можно ночью удалить абсолютно все антивирусное ПО, ребутнуть сервер сколько потребуется раз и потом лично без всяких бабулек бухгалтеров запустить шифровальщик.

2
Автор поста оценил этот комментарий
История - котолампа, чтобы собрать классы.
1. Автор не знает принцип и функционал работы керио, что ломает всю фабулу на корню.
2. Автор в принципе не ориентируется в администрировании сетей. На винде 1000 и 1 способ работы по удалёнке. А поскольку "порталом в радости удалённой работы" вдруг стал керио, то о дебиане говорить не приходится: он, если мне не изменяет память, работает с керио только с 7+ версии.
3. Если автор "сисадминил", то кто "внедрял" керио?
4. Вся черная бухгалтерия испокон веков бекапится на носитель и в бумажном виде.
раскрыть ветку (1)
2
Автор поста оценил этот комментарий

Мне даже спорить с вами не хочется. Вы бы написали хоть один дельный пост про IT, а то ваш пост о страданиях по влажным рыбным пирогам ушел в нормальный такой минус

показать ответы
3
Автор поста оценил этот комментарий

Котолампа! 1) Они никогда не выходят на связь 2) Практически всегда ключ шифрования генерится рандомно 3) Иногда в окошке с инфой есть кнопка расшифровать несколько файлов для доказательства обратимости шифрования - эти файлы заранее отобраны и на них совсем другой ключ шифрования.

раскрыть ветку (1)
3
Автор поста оценил этот комментарий

Если бы сам лично не участвовал во всей этой драме, не стал бы писать.

показать ответы
Автор поста оценил этот комментарий
500 килорублей кстати 0,5 мегарубля))
раскрыть ветку (1)
1
Автор поста оценил этот комментарий

Приставка мега не в ходу кстати почему то у меня.

показать ответы
Автор поста оценил этот комментарий
Я могу писать хоть о сезонной миграции пластиковых крышек от запорных клапанов в страну Оз.
Как назвать человека, позиционирующего себя как сисадмина, но при этом втирающего ересь ровным слоем в клавиатуру, рассчитывая, что и так схавают?
раскрыть ветку (1)
Автор поста оценил этот комментарий

Чукча не писатель... чукча сисадмина.

Автор поста оценил этот комментарий
Бэкапы то, делаешь? Или бух за тебя делает?
раскрыть ветку (1)
1
Автор поста оценил этот комментарий

Veeam Backup делает.

3
Автор поста оценил этот комментарий
"500 килорублей" © автор, ты мой кумир) лет 20 знаю про килорубли, но впервые слышу не от себя.
раскрыть ветку (1)
1
Автор поста оценил этот комментарий

В повседневном общении правда все прозаичнее... 10к, 20к.

показать ответы
Автор поста оценил этот комментарий
Подскажите пожалуйста, файлы были зашифрованы в формат XTBL ?
раскрыть ветку (1)
Автор поста оценил этот комментарий

Если мне не изменяет память AESом.