Author Topic: Вирусы, шифровальщики данных  (Read 4396 times)

0 Members and 1 Guest are viewing this topic.

Offline mx5

  • Sr. Member
  • ****
  • Posts: 368
  • Karma: +4/-1
Вирусы, шифровальщики данных
« on: July 15, 2016, 14:04:52 »
Доброго дня, Коллеги, Друзья!

Позволю себе создать и у нас на форуме животрепещущую тему по троянам-шифровальщикам.

1. Скажите пожалуйста, есть ли у кого положительный опыт восстановления данных в полном объеме, рабочих документов после шифрации, без уплаты злоумышленникам?
2. Есть ли положительный опыт именно на начальном этапе нахождения источника заражения в сети, локализации его и отлова тела вируса на станции\сервере?

Если можете, поделитесь своим опытом. Нет возможности оглашать такую информацию, напишите мне в личку.

С Уважением, mx5!

Offline SinClaus

  • Sr. Member
  • ****
  • Posts: 453
  • Karma: +6/-2
Re: Вирусы, шифровальщики данных
« Reply #1 on: July 15, 2016, 19:36:58 »
format c: !
Самый страшный вирус называется юзер.

Offline mx5

  • Sr. Member
  • ****
  • Posts: 368
  • Karma: +4/-1
Re: Вирусы, шифровальщики данных
« Reply #2 on: July 18, 2016, 19:04:19 »
Блеснул умом. Возьми пирожок с печки. :-X

Мне интересно узнать реальный опыт есть у кого-то и положительный исход с восстановлением всех данных после шифрации.

Offline Unit

  • Global Moderator
  • Hero Member
  • *****
  • Posts: 1263
  • Karma: +9/-1
Re: Вирусы, шифровальщики данных
« Reply #3 on: July 19, 2016, 08:30:17 »
Блеснул умом. Возьми пирожок с печки. :-X

Мне интересно узнать реальный опыт есть у кого-то и положительный исход с восстановлением всех данных после шифрации.
В своей практике было 3 случая:
1. Пришлось заплатить, код прислали, действительно расшифровали, после этого комп был полностью очищен своими руками.
2. Повезло, что был свежий бэкап, подняли из него всё, изрядно потратив прилично времени.
3. Не удалось расшифровать, не платили, данные лежали на сетевом диске, шифровщик его не тронул. Инфа на локальном диске была не особо важна.

Offline mx5

  • Sr. Member
  • ****
  • Posts: 368
  • Karma: +4/-1
Re: Вирусы, шифровальщики данных
« Reply #4 on: July 19, 2016, 13:47:36 »
В своей практике было 3 случая:
1. Пришлось заплатить, код прислали, действительно расшифровали, после этого комп был полностью очищен своими руками.
2. Повезло, что был свежий бэкап, подняли из него всё, изрядно потратив прилично времени.
3. Не удалось расшифровать, не платили, данные лежали на сетевом диске, шифровщик его не тронул. Инфа на локальном диске была не особо важна.
Unit, это отрицательный опыт в общем и целом. Объясню почему.
1. Платить злоумышленникам - последнее дело. Все эксперты антивирусные говорят что "ни в коем случае не платить", обращаться в право хранительные органы. Но многие по понятным причинам не обращаются. А платят. И очень много случаев когда платят не один раз и в итоге не получают вторую часть ключа и правильные рекомендации по восстановлению данных. Таких случаев во много раз больше, чем с положительным исходом.
Источник заражения не выявляли, расследование как попал "гад" не проводили и тело вируса не локализовали?
2. В истории с шифровальщиками, единственное решение которое может спасти реально, это грамотная многоступенчатая система бэкапирования. Но и в этом случае она не обеспечивает безопасность данных в полном объеме. Все равно будет какой-то процент данных наработанных в последние часы которые потеряются. Тут еще очень многое, практически все, зависит от ИТ-специалистов и админов. А точнее от времени выявления угрозы (в данном случае попадания трояна-шифровальщика в сеть) и скорости принятия правильного решения. Так же и своевременного постоянного информирования сотрудников копании о активности вирусной (как что нужно делать и что не нужно делать в той или иной ситуации, нужно повышать грамотность работы сотрудников с ИС на работе).
3. Противоречиво как-то написано. Как такое может быть? Я правильно понял, что данные на локальном диске были потеряны и данные которые лежали на сетевом диске частично тоже были потеряны?
Тело вируса локализовать и сохранить удалось?
Если есть на раб. станциях подключенные сетевые диски, то там будет шифроваться, в отличии от ярлыков ссылающихся на тот же сетевой ресурс.

А есть ли у кого опыт, когда обнаружили шифрацию, остановили, выявили источник, локализовали и сохранили тело вируса и вспомогательные файлы и потом произвели действия которые в последствии расшифровали зашифрованные данные?

Offline SinClaus

  • Sr. Member
  • ****
  • Posts: 453
  • Karma: +6/-2
Re: Вирусы, шифровальщики данных
« Reply #5 on: July 19, 2016, 20:06:06 »
Блистать умом было некогда, у нас загрузка совершенно другими задачами (админы всё равно ничего не делают), поэтому вирус на всякий случай выловили, юзверю надавали по шеям, систему переформатировали.
Самый страшный вирус называется юзер.

Offline Unit

  • Global Moderator
  • Hero Member
  • *****
  • Posts: 1263
  • Karma: +9/-1
Re: Вирусы, шифровальщики данных
« Reply #6 on: July 19, 2016, 23:43:29 »
Unit, это отрицательный опыт в общем и целом. Объясню почему.
1. Платить злоумышленникам - последнее дело. Все эксперты антивирусные говорят что "ни в коем случае не платить", обращаться в право хранительные органы. Но многие по понятным причинам не обращаются. А платят. И очень много случаев когда платят не один раз и в итоге не получают вторую часть ключа и правильные рекомендации по восстановлению данных. Таких случаев во много раз больше, чем с положительным исходом.
Источник заражения не выявляли, расследование как попал "гад" не проводили и тело вируса не локализовали?
2. В истории с шифровальщиками, единственное решение которое может спасти реально, это грамотная многоступенчатая система бэкапирования. Но и в этом случае она не обеспечивает безопасность данных в полном объеме. Все равно будет какой-то процент данных наработанных в последние часы которые потеряются. Тут еще очень многое, практически все, зависит от ИТ-специалистов и админов. А точнее от времени выявления угрозы (в данном случае попадания трояна-шифровальщика в сеть) и скорости принятия правильного решения. Так же и своевременного постоянного информирования сотрудников копании о активности вирусной (как что нужно делать и что не нужно делать в той или иной ситуации, нужно повышать грамотность работы сотрудников с ИС на работе).
3. Противоречиво как-то написано. Как такое может быть? Я правильно понял, что данные на локальном диске были потеряны и данные которые лежали на сетевом диске частично тоже были потеряны?
Тело вируса локализовать и сохранить удалось?
Если есть на раб. станциях подключенные сетевые диски, то там будет шифроваться, в отличии от ярлыков ссылающихся на тот же сетевой ресурс.

А есть ли у кого опыт, когда обнаружили шифрацию, остановили, выявили источник, локализовали и сохранили тело вируса и вспомогательные файлы и потом произвели действия которые в последствии расшифровали зашифрованные данные?
1. Пришлось попробовать заплатить, деваться было некуда. Нашли, из почты прилетело, юзер машинально открыл архив и запустил лежащий в нём js-скрипт. Дальше дело техники.
2. Насколько помню, в 2014-м году нефтехим нехило словил шифровальщика, там был весёлый "эге-гей" в корпоративной сети.
3. Нет, нам скорее повезло, шифровальщик брал только локальные диски в обработку, сетевые он не принимал. Вирус не нашли, есть вероятность, что после выполнения он самоудалился.

А вообще, SinClaus прав, некогда нам тут реверс-инжинирингом заниматься. :)

Offline Icom

  • Newbie
  • *
  • Posts: 34
  • Karma: +0/-0
Re: Вирусы, шифровальщики данных
« Reply #7 on: July 29, 2016, 08:54:50 »
Валятся они письмом, везде текст около официальный, но никакой конкретики, рассчитанный на среднестатистического юзера, который перелопачивает большие объемы подобного мусора в поисках полезного, приходят в двух видах либо вложение 7zip архив и там под видом документа js который скачивает и запускает процесс, либо ссылка куда-нибудь на тот же жаба-скрипт, сетевые профили, которые вытаскиваются из бэкапа, а на локальных только личное барахло, за которое мы ответственности не несем, так что тупо с образа и залив бэкапа, письма отправлял касперскому, оный стоит на компах, собственно приходят и дальше

Offline mx5

  • Sr. Member
  • ****
  • Posts: 368
  • Karma: +4/-1
Re: Вирусы, шифровальщики данных
« Reply #8 on: July 29, 2016, 16:12:37 »
Да. Покажу результат перехода по ссылке из письма с сомнительным содержанием. Сотрудник вовремя отреагировал на пришедшее письмо и попросил проверить. Проверил. Скрин во вложении. Обратите внимание на файлы в теле, как они называются и какое расширение имеют.
Пользуйтесь DrWeb онлайн сканером ссылок. Весьма полезная штука.
Каспер шифраторы пропускает. Даже *#ем ухом не ведет. DrWeb ловит, но бывает не распознает версию, если новая ранее не известная попадается. А они плодятся лавинообразно.

Offline mx5

  • Sr. Member
  • ****
  • Posts: 368
  • Karma: +4/-1
Re: Вирусы, шифровальщики данных
« Reply #9 on: July 29, 2016, 19:34:46 »
Добавлю еще любопытных картинок.

Offline mx5

  • Sr. Member
  • ****
  • Posts: 368
  • Karma: +4/-1
Re: Вирусы, шифровальщики данных
« Reply #10 on: July 29, 2016, 19:35:04 »
Еще.