пятница, 9 декабря 2016 г.

О вирусах. И последствиях. Грустное.


Данный текст написан весьма грамотным и профессиональным человеком,  П.Б. Ждановичем и заслуживает внимания.
К сожалению, на "эти грабли" ряд учреждений уже "наступили".
Надеюсь, остальным данный пост позволит избежать плачевных последствий и не стать жертвами мошенников. А системным администраторам таким образом организовать свою работу, чтобы можно было оперативно восстановить данные.

"Касается всех.
Особенно пользователей Windows. Вне зависимости от использования антивирусов.
В последнее время поднялась новая эпидемия «шифровальщиков». На мой взгляд, это самая серьезная угроза для пользователей сегодня.

Вкратце: вирус шифрует любые файлы, до которых может дотянуться, кроме системных. При этом операционная система остается работоспособной. Шифруются файлы на локальных дисках, сетевых дисках, съемных дисках. Имена файлов также шифруются. По окончании «работы» вирус оставляет жертве требование о выкупе и контактный e-mail. 


Дальнейшие контакты с хозяином вируса приводят к тому, что с жертвы требуют выкуп (сейчас около 30000 руб), который должен быть выплачен, используя средства анонимизации (сеть Tor или подобное). Однако очень велика вероятность (20-40%) что жертву «кинут», и ключ для расшифровки она не получит.
Лично я дважды за менее чем две недели лично наблюдал последствия этой атаки в разных местах.
В одном из случаев обращались в Лабораторию Касперского, которая 24.11.2016 ответила так:
_______________________
***, здравствуйте!
Анализ предоставленных Вами файлов показал, что файлы зашифрованы модификацией Trojan-Ransom.Win32.Shade.
Данная модификация трояна использует обновлённые криптографически стойкие алгоритмы, расшифровка, к сожалению, пока не возможна.

[…]
Для защиты рабочих станций от шифровальщиков-вымогателей мы рекомендуем использовать:
Kaspersky Endpoint Security 10 SP1 (http://support.kaspersky.ru/kes10wks#downloads)
Обязательно с включенным модулем проактивной защиты - Мониторинг системы.
Если у Вас не осталось больше вопросов, данное обращение будет закрыто.
Спасибо и хорошего Вам дня!
_______________________
Есть ли какой-то «волшебный» способ вернуть файлы?

Нет. Но вы найдете много предложений в Интернете. Они говорят: «у нас свои способы». Так вот, чудес не бывает. Вам могут попытаться восстановить остатки старых файлов, которые остаются на диске после того, как вирус, шифруя их, создает на этом же диске новые файлы, а старые удаляет. Но восстановлено будет немного. Так получается, что чем позже был создан файл, который теперь удален, тем быстрее его место будет занято вновь создаваемыми файлами. Так что новые файлы, по моим наблюдениям, перезаписываются на диске первыми. Наверное, таким образом алгоритм записи на диск оптимизирован по быстродействию.
Как становятся жертвой шифровальщика?

Вирус передается почтовым путём. Во всяком случае, пока. Человек получает письмо, которое заставляет его испытать волнение, вследствие чего у него падает критичность, и он открывает ссылку или вложение, содержащееся в нём. Очень часто это служебное письмо. Вас пугают, что по решению суда такого-то от такого-то числа за вами числится недоимка по договору такому-то. Необходимо срочно устранить нарушение, на вас наложены штрафные санкции. Материалы дела находятся по этой ссылке. Подписано советником юстиции третьего ранга Пупкиным В.В. Или приходит заказанный вами (якобы) каталог косметики. На всякий род занятий существует свой вид социальной инженерии. Преподавателю, например, может прийти ссылка на выполненную курсовую или дипломную.
Дальше пользователь своими руками запускает процесс, открывая файл в архиве.
В будущем, я не сомневаюсь, появятся и другие способы доставки вредоносного кода.

Как предохраняться?

Первый и самый эффективный способ на все времена состоит из двух частей.

1. Регулярно копировать (архивировать) свои рабочие файлы на отчуждаемый носитель. Хранить носитель отдельно. Присоединять только для резервного копирования/восстановления. Существует много бесплатных утилит с открытым исходным кодом, которые делают процесс довольно легким и приятным.

2. Есть файлы, которые большие и которых много. Это фотки и видео из отпусков или с корпоративов. Резервные копии потребуют покупки еще одного внешнего жесткого диска. Это дорого. В таком случае заметим, что файлы эти мы не изменяем каждый день, а только смотрим/слушаем. То есть, читаем их. Каталоги с такими файлами нужно сделать доступными только для чтения, отобрать у самих себя право изменять эти файлы и каталоги. Отобрать у себя привилегию быть владельцем этих папок. Переписали фото с карты — оставили всем право только читать. Убрали «полный доступ» и «изменение/удаление». Вирус, запущенный вами, работает с вашими правами (если только не найдет дыру, не закрытую обновлениями. Он не сможет вносить изменения в каталоги, закрытые для записи. В Windows это возможно только в файловой системе NTFS. Форматируйте в ней даже ваши съемные носители (флэшки).

Второй принцип – работать ежедневно под учетной записью, не входящей в группу «администраторы». Этот, чисто гигиенический принцип массово нарушается. Учетную запись администратора использовать только для задач управления компьютером. Например, чтобы изменить владельца папок, защищенных от записи (см.выше).

Третье. Держать антивирус в актуальном состоянии. Я ставлю его на третье место, так как рано или поздно с ним что-то случается. Перестает обновляться, заканчивается лицензия и т. п. Девять из десяти раз он вас выручит. На десятый у вас слетит всё, что было спасено в предыдущие девять, если вы не выполнили два первых совета.

Четвертое. Включить службу теневого копирования файлов. Это уменьшит свободное место на диске и немного замедлит скорость. Но это очень эффективное средство. Не ставлю на первое и второе место, так как админу доступно всё. В том числе и отключение этой функции.
Если вам тяжело найти и собрать в кучу все файлы, которые нужно архивировать, если вам не хватает времени освоить управление правами на файлы и папки в NTFS, я вам подскажу: вирус находит их очень эффективно, шифрует быстро и ничего не пропускает.

В Интернете просто полно советов по этой части. В любом случае, я никогда не откажу в ответе тому, кто затрудняется.
Считайте это письмом счастья. Со слезами на глазах.
Репост и дополнения приветствуются. Но одним репостом свои файлы не сохранишь. Эпидемия идет с конца ноября."


Остается добавить: "Будьте бдительны!"

13 комментариев:

  1. Пчёлка, вот сто раз можно этот текст очень правильный прочитать вернуться к своим старым привычкам) дураки учатся на своих ошибках. На своей шкуре испытала действие подмётных писем. Бдительность стараюсь не терять.
    Внешний диск только что отключила от компа)

    ОтветитьУдалить
    Ответы
    1. Чумработница, я забыла добавить в пост самое главное для обычных пользователей:

      1. Прежде чем открыть письмо, обратите внимание на адрес отправителя! Если адресат не известен, рекомендуется удалять такие письма.
      Не переходите по ссылке, указанной в письме, не распаковывайте файлы и не запускайте вложения с расширением .exe.
      Таких писем приходят десятки на все эл. адреса, в том числе и корпоративные.

      2) Даже если Яндекс. Почта или сервер mail.ru пишет, что файл проверен и безопасен, письмо может быть инфицировано.

      К сожалению, в постоянной нехватке времени мы так часто не успеваем правильно организовать систему хранения информации...

      Удалить
    2. Это не нехватка времени, это пресловутый русский авось)

      Удалить
    3. Не, это нехватка ресурсов. Отдыхать нужно. Всем.

      Удалить
  2. О письма эти давно известны. Вот посылаю вам отчет, мы с вами договаривались и вот вам файл и т.д.

    ОтветитьУдалить
    Ответы
    1. Да, Юлия, известны. Но все равно, кто-нибудь, да наступит на данных грабли.
      Я давно себя приучила, раз неизвестен получатель и адрес мне, "ну, не нравится", лучше удалить сразу.
      Если важное - отправитель позвонит и узнает судьбу своего письма.
      Хотя нужно признаться, это вызывает ряд трудностей и дополнительных объяснений.

      Удалить
  3. Людмила Александровна, добрый вечер!
    Спасибо огромное за пост и предупреждение. Я сделала перепост в своем блоге, потому что это очень актуально и своевременно.
    Удачи и всего самого доброго!

    ОтветитьУдалить
    Ответы
    1. Людмила Борисовна, здравствуйте!

      Да, важно для всех. Спасибо за перепост. Добавьте только пожалуйста фрагмент для обычных пользователей:

      "1. Прежде чем открыть письмо, обратите внимание на адрес отправителя! Если адресат не известен, рекомендуется удалять такие письма.
      Не переходите по ссылке, указанной в письме, не распаковывайте файлы и не запускайте вложения с расширением .exe.
      Таких писем приходят десятки на все эл. адреса, в том числе и корпоративные.

      2) Даже если Яндекс. Почта или сервер mail.ru пишет, что файл проверен и безопасен, письмо может быть инфицировано."

      Удалить
    2. Людмила Александровна, спасибо за добавление, вставила в пост. Там в комментариях библиотекари жалуются на баннер МВД (40-летнего волгоградца недавно арестовали в Москве - кибермошенничество, в т.ч. и этот баннер)

      Удалить
  4. Спасибо большое за информацию. Очень актуально.

    ОтветитьУдалить
    Ответы
    1. Пожалуйста. Не то слово, что актуально...

      Удалить
  5. Людмила Александровна, с наступающим Старым Новым Годом!
    Здоровья, счастья, радости, добра и благополучия, душевного спокойствия и всех благ, исполнения всех желаний!

    ОтветитьУдалить
    Ответы
    1. Людмила Борисовна, спасибо за поздравление!
      Вас тоже с наступающим Старым Новым годом! Счастья, здоровья и благополучия!

      Удалить

Спасибо за комментарий!