Про вирусы (часть 1)

Пару недель назад моему женатому другу позвонил бывший Шеф, в смысле, бывший исполнительный директор компании, в которой мы работали до покупки нас Синим провайдером, и попросил помочь его другу, у которого возникли проблемы на производстве в соседнем городе-сателлите. Я в этот момент вовсю готовился к отпуску, в который должен был уйти через пару дней, и вообще «разделяй, властвуй, делегируй» и прочие эпитеты, так что сказал ему «давай езжай, посмотри, насколько все серьезно – а там подумаем».


Оказалось, что все очень серьезно: есть производство, 30+ компов, два сервера: файловая помойка и 1с. На серваках поймали шифровальщика. Win32/Filecoder.FV, он же Alkohol. Вымогатели просят по 2 BTC за каждый из серверов. Работа встала.

Есть только один правильный ответ на вопрос «А когда вы делали бэкап?»
Spoiler: (Сегодня в полночь)

Бэкапы 1с делались силами SQL, но хранились на том же диске, на котором хранилась и сама база. Предыдущий глобальный бэкап был сделан в момент перехода с файловой БД на SQL. Более 6 месяцев назад.


С системного администратора спросить оказалось нечего: он устроился к ним на работу в пятницу, а заражение произошло в воскресенье. А предыдущий весь срок своей работы ездил директору по ушам, что у них все хорошо и «с нами такого никогда не случится». Все это было бы смешно, если бы из этой ситуации был хоть какой-то выход. К сожалению, его не было.


Побившись головой три дня, директор решил заплатить. Сторговались на 0.5 BTC (вроде бы. Утверждать не могу – в финансовые дела организаций мы стараемся не лезть) за сервер. Вымогатели, как всегда, пропали на 3 дня, а потом, на удивление, прислали дешифровщик. И он даже сработал. Конечно, расшифровка все информации заняла около недели, но работать с базой двухнедельной актуальности все же лучше, чем с полугодовалой.


В такие моменты директора обычно совершают вторую ошибку: перестают консультироваться. Их тоже можно понять: и так потратили прилично денег. Но, как оказалось, это не наш случай, и, спустя еще несколько дней, нас пригласили на встречу.

А на встрече выяснилось вот что:

1) В голове стоит домашний роутер Asus с дефолтным паролем
2) На 1с сервер была прокинута RDP по стандартному порту
3) У учетки «Администратор» на сервере стоял пароль 123321
4) Системный администратор работает на полставки 4 часа в день
5) Ни на одном из серверов не стоит антивируса вообще
6) Впрочем, как и на локальных машинах. Тот же самый Dr. Web CureIt нашел от 200 до 3500+ угроз на каждом компьютере

До завершения работ я не буду давать никаких оценок сложившейся ситуации. Скажу только одно: в мэрии нашего города пятница считается коротким днем для всех, кроме системных администраторов. В пятницу все уходят с работы в 16:00, а сисадмины – в 19:00. Эти три часа они занимаются поиском и чисткой вирусов и еженедельным бэкапом. И я не думаю, что это излишне.


Postscriptum: в 2010 году нам казалось, что вирус-блокировщик – самое страшное, что было придумано после Чернобыля или Лавсана, но их, хотя бы, можно было просто удалить с минимальными потерями.

Берегите свои данные.

5
Автор поста оценил этот комментарий
Иногда разгребание принимаемых "хозяйств" может тянуться с полгода-год, еслм требуется полная перестройка всей инфраструктуры.
раскрыть ветку (1)
9
Автор поста оценил этот комментарий

И с этим я тоже соглашусь. Но косяк с бэкапами на диск, который должен быть забэкаплен -- это залет

показать ответы
DELETED
Автор поста оценил этот комментарий

Хня какая то

Дешифровка идет очень быстро. Сколько раз ко мне с этой проблемой обращались, даже в огромных конторах полчаса. Смысл шифровальщика очень быстро шифрануть кусок файла, иначе какой от него толк, если он будет неделю что-то там шифровать.

Скорость шифрования дешифрования одинакова. Пст аутлуковский даже можно восстановить штатным сканпст, коротый тупо не смотрит на убитое начало файла .кстати по выкупу максимум был 300 баксов. А обычно можно ныть неделю что ты бедная студентка и получить ключ за полтос

раскрыть ветку (1)
3
Автор поста оценил этот комментарий

К слову сказать, вы знаете, что win32.trojan.encoder v5 нельзя расшифровать вообще?

Это я к тому, что вирусы и вируслписатели тоже на месте не стоят. Конкретно этот (Alkohol) зашифровал не просто БД, а тупо весь диск :/

показать ответы
Автор поста оценил этот комментарий

на "30+" пользовательских машин + несколько серверов - какая нормальная зарплата? 100к? не смешите. Максимум - 30к при неполном графике.

Что новый админ делал с пятницы до воскресенья? Праздновал назначение?

Новый админ изначально повел себя не верно.

Словарные пароли и проброска уязвимых портов (а рдп был проброшен для удаленного администрирования, imho) через сохо роутер с дефолтным паролем... ну не знаю, зп прежнего админа должна быть тысячи 2 в месяц, что бы так безответственно относится к своим обязанностям. Там пароль административный на 1с сервер был (случайно) не 12345678?

Почему-то ощущение, что "бывший Шеф" жмот еще тот.

раскрыть ветку (1)
3
Автор поста оценил этот комментарий

Бывший Шеф к этой компании имеет отношение только как "друг директора" ;)

А "нормальная зарплата"... Знаю компании, где за такой парк платят 20. Впрочем, знаю компании, где за такое же платят 120. Все зависит от того, что конкретно лежит на этих компах, имхо

показать ответы
Автор поста оценил этот комментарий
2 BTC - это сколько в рублях?
раскрыть ветку (1)
3
Автор поста оценил этот комментарий

чуть меньше миллиона

20
Автор поста оценил этот комментарий
Правильная организация ИТ службы не требует присутствия админа как такового в офисе физически. А уж уходы в 19-00 это совсем дичь.
раскрыть ветку (1)
5
Автор поста оценил этот комментарий

Я помню эту присказку из 2000 года: «Хороший сисадмин ничего не делает, потому что у него все работает». Но эта присказка касается хорошего сисадмина. И ставка у него должна быть полной.

Как по мне – так пусть хоть мяч во дворе пинает. Но, заступая на должность, должным образом (каламбур) принимает хозяйство.

показать ответы
1
Автор поста оценил этот комментарий

моему женатому другу

Это к чему?

раскрыть ветку (1)
3
Автор поста оценил этот комментарий

Это лишь отсылка к моим предыдущим постам про техподдержку. Поймите меня правильно, в целях удаления любого намека на рекламу, я стараюсь максимально обезличить персонажей. К сожалению, рейтинг не позволяет вставить ссылки в комментарий, но вы можете посмотреть эти посты в профиле.

Автор поста оценил этот комментарий
он двоишник из школы вангователей
раскрыть ветку (1)
1
Автор поста оценил этот комментарий

У вас, видимо, есть свои предположения, касаемые места действия? ;)

4
Автор поста оценил этот комментарий

Кстати "ночной админ" реально хорошая вещь, была одна контора где камрад приходил на 4 часа каждый вечер по окончании рабочего дня, заниматься процедурами которые в общем требовали отсутствия сотрудников...все работало 6 лет как часики.

раскрыть ветку (1)
1
Автор поста оценил этот комментарий

Примерно по такому принципу мы работаем со школами: все, что не требует оперативного решения, пишется в журнал, а мы, в свою очередь, приходим в воскресенье и выполняем эти заявки спокойно и без спешки

Автор поста оценил этот комментарий

какой это это енкодер если нет декодера? Он там  рэндомом переписывает файлы7

раскрыть ветку (1)
1
Автор поста оценил этот комментарий

В пятой версии шифровалось начало файла и рандомный кусок из середины. В масштабах системы, очень часто эти участки пересекались и происходило двойное шифрование места пересечения. За пруфами прошу на форум Касперского

1
Автор поста оценил этот комментарий

вангую-ты из волгограда

раскрыть ветку (1)
1
Автор поста оценил этот комментарий

Нет.

А это принципиально?

показать ответы
Автор поста оценил этот комментарий
А вторая часть вопроса?
раскрыть ветку (1)
1
Автор поста оценил этот комментарий

На вторую часть вопроса, увы, не отвечу :(

4
Автор поста оценил этот комментарий

Как же забавляют такие умники. Развернул пару раз файлопомойку на фряхе и всё, шиндовс маст дай, фряха форевер. А то что 1С и MS SQL на фряхе вообще не работают, ну так это ерунда, главное чтобы все узнали что "я люблю фряху, я крутой одмин"

раскрыть ветку (1)
2
Автор поста оценил этот комментарий

В теории, есть дистриб 1с под линукс. В качестве БД используется постгре. На практике -- 1с программист в 95% случаев работает только под виндой.

В нашем случае, со слов главбуха, полгода назад как раз планировался переход на linux+postgre, но что-то у них не сложилось

3
Автор поста оценил этот комментарий
А зачем оставаться ради бэкапов и проверки на вирусы?
Удаленка и ПО контролирующее состояние инфраструктуры запрещено?
раскрыть ветку (1)
2
Автор поста оценил этот комментарий

Удаленка запрещена 100%, как и в половине наших бюджетных организаций.

показать ответы
1
Автор поста оценил этот комментарий

При чём тут модификация или не модификация? Тут утверждает человек что

серверный касперский эндпоинт секьюрити опознает шифровальщики по эвристическому анализу, и не дает им запускаться

эвристический анализ не сработал, и не хрюкнул даже.

раскрыть ветку (1)
Автор поста оценил этот комментарий

Я еще раз попрошу проследовать на форум Лаборатории, где есть все пруфы и объяснения. Мне просто лень искать ветку годичной давности, но, если в двух словах, ExPetr работает не так, как Petr.

И эвристика, в сущности, это тыканье пальцем в небо, как ни крути.

показать ответы
3
Автор поста оценил этот комментарий

Неужели? А что ж тогда эндпоинт год назад ExPetr (Петю) пропустил и не хрюкнул?

раскрыть ветку (1)
Автор поста оценил этот комментарий

Давайте не будем лукавить, это был не Петя, а его модификация, о чем и было официально сообщено лабораторией Касперского. И именно поэтому его и не отловили. Но это, опять же, лирика

показать ответы
Автор поста оценил этот комментарий

Как раз по теме: 1с для бэкапа достаточно скопировать бд в надёжное место ? Или есть ещё приколы?


А так - я сам админ, порой даже не на 4 часа. Так как у местного и дефолтные пароли и бэкдор в инет торчит, бэкапы до меня вообще не делались :)

раскрыть ветку (1)
Автор поста оценил этот комментарий

Смотря насколько это место надежно. Если мы говорим про винт, который после копирования будет отключен от системы и спрятан в сейф -- вполне ;)