Топ-5 причин попадания вирусов-шифровальщиков в компанию⁠⁠

Всем привет, много лет занимаюсь сисадминством, после сдека решил написать пост на эту тему. Стабильно раз в пару недель приходят клиенты с этой проблемой, кому-то будет полезно знать как не попасть как сдек )

1. Звонок из налоговой

Бухгалтеру позвонили с налоговой и попросили в срочном порядке заполнить какой-то статистический отчет. Бухгалтер открывает письмо, внутри екселька. Запускает эксельку, антивирус ругается, отключает антивирус, письмо же из налоговой. Внутри пустая табличка, через 10 минут комп ребутится, вылазит окно шифровальщика.

2. Письмо re:

Так происходит большинство заражений. Сотрудник получает электронное письмо, которое выглядит как ответ на его письмо с прикрепленным файлом типа “дополнительная информация в приложении.”
Рассылки массовые, работают на самых самых дремучих юзеров, которые куда можно и нельзя.

3. Открытый RDP ("удалёнка") у бухгалтера

Главный бухгалтер - главный кандидат на удалённый доступ. "Лучше всего", конечно, выставить сервер с 1С напрямую в интернет, с паролем "12345". Как-то мы на первом визите-аудите прям показали клиенту, как "ломают" их сервер по журналу Windows, они были обескуражены.

4. Ускоряльщики скачивания (и прочий "мусорный" софт)

Что делает на работе скучающий сотрудник? Правильно, качает кинцо/игрушки (зачёркнуто - смотрит порнушки). А если торренты закрыты, то исследует интернет на предмет интересного. Находит скачивальщики типа ufiller (или тысяч аналогов), качается софт, запускается, через 10 минут - перезагрузка и - "вышлите $200 на биткойн-кошелёк". Кстати, знаю истории, кто высылал и присылали ключи. Знаю, кто высылал и не присылали. А мы один раз расшифровали данные, потратив 7 000 рублей.

5. Поддельные веб-страницы

Сотрудник перешёл по ссылке на сайт, очень похожий на оригинал. Тут вариаций масса: копии госуслуг, копия веб телеграм, ватсап, копии озона, wildberries и других популярных ресурсов.

Что нужно сделать, чтобы не встрять с шифровальщиком?
- работать в Linux (хаха)
- иметь бэкапы.
- бэкапы должны быть в облаке
- бэкапы должны уметь восстанавливаться.

Кстати, про восстанавливаться есть одна чудная история, далеко не все проверяют а можно ли восстановить бэкап. Интересен такой контент?

[моё] Сисадмин Вирусы-шифровальщики IT Хакеры Будни сисадмина Информационная безопасность Клиенты Текст

191

poyebemsya

Дружище, а подскажи, если бэкап на облаке, но облако всегда в доступе (установлено с ним соединение), туда шифровальщик может пробраться?

И второй вопрос. Сервер 1С вообще не подключен к интернету. Юзвери сидят в 1С через RPD. Одна тупее другой. Я каждый день вдалбливаю про опасность бездумного открывания вложений непонятно от кого. Пока инцидентов не было, но если вдруг, то насколько реальность проникновения шифровальщика на сервак 1С?

раскрыть ветку (1)

9 месяцев назад

Прошу пардона за поздний ответ. Это уже зависит от админов облака. Они никогда не скажут, что было причиной сбоя. У нас был случай, когда "облако" лежало сутки и клиенту говорили "ну, готовьтесь к худшему, мы не уверены, что восстановимся". Лучше иметь хоть трёхмесячной давности выгрузку.

Если в рдп пробрасываются диски с локального пк - ненулевая. Ну и - есть же другие сценарии сбоев - умерли диски, затопило серверную, физически вынесли сервер. Бэкап всегда должен быть.

Klausenosce

5 месяцев назад

Для этого надо тестовое восстановление делать. Давно-давно мы в конторе пользовались неким продуктом на А делающим бекапы, и как то раз решили тестово восстановить. Когда ничего не завелось, мы малость охерели. Потом оказалось что родной виндовз бэкап все охуительно бекапит и восстанавливает.

Так точно. У нас есть регламенты на такое. И тоже периодически обнаруживаем всякое.
Виндовс бэкап не умеет виртуальную машину целиком бэкапить, а это благостно.

показать ответы