История про вирус-шифровальщик

История про вирус-шифровальщик Вирусы-шифровальщики, Истории из жизни, IT, Длиннопост

Впечатлившись рекламой и хвалебными отзывами руководство одной из контор, в которых мне довелось сисадминить, приняло решение о внедрении модного Kerio Control. Сказано – сделано: мечта об удаленном рабочем столе претворилась в жизнь, а трудовые будни окрасились в неожиданно привлекательные тона. Теперь начальство могло преспокойно работать из дома, попивая кофе в трусах.


Беда, как это обычно бывает, пришла, откуда не ждали. Поскольку о таком понятии как VPN ребята слыхом не слыхивали, а о его назначении – и подавно, то, недолго думая, открыли порт удаленного рабочего стола для доступа из любой точки недружелюбного внешнего мира. И, конечно же, при этом пароль администратора на сервере был «12345», его никто не удосужился поменять, да и вряд ли кто об этом задумывался.


Всего через пару недель счастливой и безоблачной работы из дома на сервере появилась зловещая картинка.


Работа конторы оказалась парализована, со стороны это всё выглядело следующим образом: все опрошенные старательно отрицают переход по небезопасным ссылкам нигерийских принцев, руководящий состав мечет громы и молнии, часть рядовых сотрудников радуется возможности похалявить, проектный отдел рвёт на себе волосы, логисты нервничают, кадровики хранят отстраненное молчание, и только снабженцы с трудом скрывают довольные ухмылки. Стало очевидно, что без привлечения квалифицированного специалиста дальнейшее функционирование не представляется возможным. Тогда-то меня и вызвали, чтобы поставить извечный русский вопрос: «Что делать и кто виноват?».


Послание от злоумышленников, как можно было легко догадаться, содержало требование выкупа в обмен на обещание расшифровки файлов. По тем временам, учитывая актуальный на тот момент курс биткоина, сумма запрошенного выкупа – 0,5 биткоина – выходила в сущие копейки и составляла всего-то 500 килорублей.


На кону была не только дальнейшая работа компании, клиентская база и многолетние наработки, но и пресловутая коммерческая тайна. Казалось бы – что такое полмиллиона для преуспевающей столичной конторы с приличным годовым оборотом?


Однако директор был категоричен и непреклонен, заявив, что не намерен вести никаких переговоров с вымогателями, а восстановление предполагается вести в ручном режиме. «Мне бы только файлик с «черной» бухгалтерией восстановить» - понизив голос, добавил директор и вкрадчиво присовокупил обещание «в долгу не остаться».


От успеха или неудачи в данной ситуации напрямую зависела моя репутация и дальнейшее сотрудничество с компанией, не скупящейся на оплату моих трудочасов. Вариантов у меня было немного. Здраво рассудив, что за спрос денег не берут, решил закинуть удочку злодеям. Написал, мол, деньги не проблема, однако, имеются сомнения в оправданности трат – хорошо бы продемонстрировать способность к расшифровке, вот, хотя бы на этом «совершенно рандомном» файле.


Вымогатели радостно заглотили мою наживку и прислали заветный файл в дешифрованном виде. Окончательное спасение ситуации пришло от главбуха – оказалось, что она со своей профессиональной паранойей регулярно делала резервное копирование. Миссия моя была близка к успешному завершению – всего-то за квартал документов пришлось восстанавливать.


А ведь всего этого можно было избежать, если бы VPN вовремя настроили, порты открывали с умом и использовали сложные пароли.


P.S. Прикладываю скрин переписки с злодеями, дабы развеять все сомнения в кото-ламповости истории. В нем видно, что файл они прислали.

История про вирус-шифровальщик Вирусы-шифровальщики, Истории из жизни, IT, Длиннопост

Лига Сисадминов

1.8K поста18K подписчиков

Правила сообщества

Мы здесь рады любым постам связанным с рабочими буднями специалистов нашей сферы деятельности.

Вы смотрите срез комментариев. Показать все
119
DELETED
Автор поста оценил этот комментарий

В долгу-то не остался?

раскрыть ветку (18)
186
Автор поста оценил этот комментарий

Да, нормально денег отвалил, сисадминю теперь по заявкам их.

раскрыть ветку (12)
20
Автор поста оценил этот комментарий
Я вовсе не программист и не сисадмин... Но подходит ко мне как то товарищ с соседнего отдела и говорит: "Слушай, а ты можешь ноутбук взломать? Племяш запаролил и пароль забыл". Я такой" "Ну, неси". А сам пока в интернете рыться на эту тему. Приносит он ноут, я такой: 1,2,3,4,5... Неверный пароль. 1,2,3,4 - разблокировано! У чувака глаза чуть не мироточили.
раскрыть ветку (1)
3
DELETED
Автор поста оценил этот комментарий

Одна знакомая решила на свой комп пароль поставить, позвонила, спросила как это сделать. Ну я её провёл по менюшкам, дошли до окна где пароль вводится и подтверждается. Говорю:


- А теперь придумай пароль и введи два раза одинаково, в оба поля. Сделала?

- Да.

- Пароль, надеюсь, не 12345?)

- 12345 - ответила дама и густо покраснела.

92
Автор поста оценил этот комментарий
А мне однажды тупой вымогатель попался.
Написал интереса ради: мои файлы зашифрованы! Помогите, что делать?!
В ответ: - надо оплатить.
Коротко так и лаконично.

Тут уже и я издеваться начал. Так же коротко спрашиваю - через сберкассу?
Ответ: нет, в биткойнах.
Ну я прикололся и написал - отправлено!

И всё, тишина.
Ни понимаш инструкции как оплатить, ни номера кошелька.
раскрыть ветку (1)
19
Автор поста оценил этот комментарий
Так там обычно в каждой папки блокнот Readme и там все написано куда и как оплачивать.
6
Автор поста оценил этот комментарий

Не обязательно ходить по левым ссылкам. У меня дома был выделенный IP и я развернул WAMP, там по дефолту были пустые пароли, ну я и менять не стал. Потом уже у меня появилась гениальная идея, поработать с домашним сервером с работы, я и открыл порты. У меня MySQL был забит мусором уже через пару часов. Винду не тронули, но веб-сервер пришлось развернуть заново.
Не было ни доменов, ничего публичного. По ссылкам я точно не ходил, не успел бы. Пришел к выводу, что это оно в полуавтоматическом режиме работает.
Поставил пароли, все красиво. Взломать не вломали, но подбирать пароль пытались. Позже у меня отпала необходимость в таком подключении к домашнему веб-серверу.

7
Автор поста оценил этот комментарий
Извините, а примерно, какой вариант вы бы им предложили? Аренда виртуального сервера и поднятие там своего ВПН или готовые решения ( Касперский ВПН , норд и так далее)?
раскрыть ветку (5)
20
DELETED
Автор поста оценил этот комментарий

бекапы каждую ночь, каждую неделю и месяц. И все, можно вымогателям чупа-чупс дать

раскрыть ветку (3)
23
Автор поста оценил этот комментарий

Ремарка: Бекапы не доступные из основной сети и изолированные от основной системы. Виртуализация наше все.

6
Автор поста оценил этот комментарий
...кожаный?)
раскрыть ветку (1)
5
Автор поста оценил этот комментарий
Иллюстрация к комментарию
2
Автор поста оценил этот комментарий
Зачем что-то арендовать, покупаешь у провайдера белый IP, ставишь нормальный роутер, на нем поднимаешь ВПН сервер с IPSEC, RDP только внутри локальной сети и все.
1
Автор поста оценил этот комментарий
А вымогатель не ты ли случаем??? )))))
4
Автор поста оценил этот комментарий

Всем участникам секты свидетелей кота (тигра) и лампы посвящается.

Скрин переписки со злодеями. На нем видно что файл они прислали в ответ.

https://boroda.group/upload/medialibrary/511/511aa89de86d152...
раскрыть ветку (4)
1
Автор поста оценил этот комментарий
После перехода по ссылке у меня пк зашифровался
раскрыть ветку (3)
4
Автор поста оценил этот комментарий

Отлично с вас 1 биткоин :))))

раскрыть ветку (2)
Автор поста оценил этот комментарий
Только после расшифровки хотя бы одного файла!
раскрыть ветку (1)
4
Автор поста оценил этот комментарий

愿原力与你同在伟大的学徒
Я все расшифровал....

Вы смотрите срез комментариев. Чтобы написать комментарий, перейдите к общему списку