30 ноября, понедельник 08:08
Bankir.Ru

Объявление

Свернуть
Пока нет объявлений.

борьба с вирусом-шифровальщиком.

Свернуть
X
  • Фильтр
  • Время
  • Показать
Очистить всё
новые сообщения

  • борьба с вирусом-шифровальщиком.

    Коллеги, доброе время суток.
    как говорится - взываю к коллективному разуму. Заглянул тут к нам вирус-шифровальщик. Кто не в курсе - по информации DrWeb сейчас очередная эпидемия, приходит на почту архив с zip, в нем .scr. Дело массовое - хоть один сотрудник да откроет. Далее стандартно - качает тело-шифровальщик, шифрует все, до чего дотягиваются "руки" и требует выкуп. Шифрует хорошо, "таблетки" нет. У нас обошлось малой кровью, сам троян в базу Каспера добавлен с сегодняшнего дня, тело шифровальщика пока не поймал(найду - отправлю в KAV).
    Ну да это лирика.
    Вопрос собственно говоря следующий: какие идеи с борьбой с этой гадостью? антивирусы стоят - но т.к. всегда можно попасть в первую волну, то эффект относительно сомнительный. Бэкап рулит однозначно, но в любом случае восстанавливать - это тратить и нервы и время.
    Есть идея попробовать мониторить изменения файлов пользователя на локальном диске (шифровать начинает с него) - и при некотором пороге(скажем - 5 файлов за минуту) генерировать аллерт (а то и гасить машину) - так ничего особо важного не потеряешь.
    Я словно лист на ветру, посмотри как я лечу...

  • #2
    Мы написали всем сотрудникам письмо - предупреждение. И к нам он заходил не единожды, сотрудники были подготовлены и никто письма не открывал)

    Комментарий


    • #3
      Mc`Sim, у вас СБ есть? она какие то инструктажи с подписанием инструкций проводит?
      если нет - введите такую практику! за ловлю вируса - штраф.

      иначе с человеческим рас@#$ством и долбо@#$мом бороться средств нет. на то и расчет вирусописателей.

      ну или, если ИТшники грамотные - пусть настроят "откусывать" любые вложения с внешней почты. возможно по фильтрам каким то.

      Комментарий


      • #4
        коллеги, у нас есть и СБ, и инструкции пользователям, и тренинги, и проверки знаний инструкций. и большая часть писем была пользователями правильно удалена.
        в нашем конкретном случае письмо пришло от нормального адреса, с вменяемым текстом, внутри архива scr, но со значком PDF. название достаточно длинное - расширение пользователь тупо не увидел/не обратил внимания.

        т.е., если я правильно понял, то пока все надеются на здравомыслие пользователей.
        Я словно лист на ветру, посмотри как я лечу...

        Комментарий


        • #5
          Сообщение от Mc`Sim Посмотреть сообщение
          коллеги, у нас есть и СБ, и инструкции пользователям, и тренинги, и проверки знаний инструкций. и большая часть писем была пользователями правильно удалена.
          в нашем конкретном случае письмо пришло от нормального адреса, с вменяемым текстом, внутри архива scr, но со значком PDF. название достаточно длинное - расширение пользователь тупо не увидел/не обратил внимания.

          т.е., если я правильно понял, то пока все надеются на здравомыслие пользователей.
          После крайнего случая с заражением мы пожертвовали автоматическими обновлениями прикладного ПО - в настройках антивируса запретили запускать файлы из каталогов Temp. Обычно всё, что скачивается из Интернета, запускается оттуда.
          Это дополнительная работа для ИТ, т.к. им приходится ходить и руками обновлять, но результат есть - за несколько лет ни одной реализованной атаки.

          Комментарий


          • #6
            Могу глобально посоветовать. Ограничьте интернет, используйте Linux.

            Комментарий


            • #7
              Сообщение от Berckut Посмотреть сообщение
              После крайнего случая с заражением мы пожертвовали автоматическими обновлениями прикладного ПО - в настройках антивируса запретили запускать файлы из каталогов Temp. Обычно всё, что скачивается из Интернета, запускается оттуда.
              Это дополнительная работа для ИТ, т.к. им приходится ходить и руками обновлять, но результат есть - за несколько лет ни одной реализованной атаки.
              На мой взгляд это самое оптимальное решение, да, конечно, для ИТ-подразделений дополнительная суета, однако, если на кону стоит непрерывность деятельности и репутация организации, Руководство будет на стороне ИБ. Конкретно в отношении данного случая можно дополнить предложенное Berkut'ом решение:
              1) попытаться запретить запуск (открытие) вложений писем из почтовых клиентов;
              2) сохранение вложений только в строго отведенный каталог (типа карантина). Как у Bercut'a каталог Temp. Хорошо бы организовать некоторый ресурс типа "песочницы" с ограниченным функционалом (выход в сеть - откуда вирус и подтягивает тело) где и будут открываться (запускаться) такие файлы и одновременно мониторить появилась активность по поиску сети или нет, если да то блокировка песочницы и всех активностей такого файла до выяснения всех обстоятельств;
              3) проверка антивирусными средствами (желательно, но в организациях БС РФ не всегда реализуемо - мониторинг данного промежуточного "каталога-карантина" разными средствами антивирусной защиты);
              4) дополнительный инструктаж пользователей.

              Комментарий


              • #8
                Сообщение от Mc`Sim Посмотреть сообщение
                т.е., если я правильно понял, то пока все надеются на здравомыслие пользователей.
                Говорят некоторые работодатели даже увольняют не здравомыслящих. ))) Но это не работает на уровне топов, (

                Проанализируйте потоки информации (откуда попадают к вам файлы с вирусами, в основном - это почта и браузер) и используя стандартные средства Windows и антивирусного ПО заблокируйте возможность запуска таких файлов из данного ПО:
                http://habrahabr.ru/post/97594/
                http://habrahabr.ru/company/kaspersky/blog/137304/
                http://habrahabr.ru/post/241081/<br ...ics/241751.php

                Что-то аналогичное предложил Berckut, но только temp не решение проблемы.

                Комментарий


                • #9
                  У нас со всеми пользователями проведено обучение по этому вопросу. Еще на почтовом сервере все вложения со скриптами, запароленные архивы, архивированные скрипты, а также маскированные под другие форматы exe, com, scr удаляются. примерно раза три в неделю приходят такие письма, но пока до пользователей они не доходили.

                  Комментарий


                  • #10
                    Сообщение от vasilrib Посмотреть сообщение
                    У нас со всеми пользователями проведено обучение по этому вопросу. Еще на почтовом сервере все вложения со скриптами, запароленные архивы, архивированные скрипты, а также маскированные под другие форматы exe, com, scr удаляются. примерно раза три в неделю приходят такие письма, но пока до пользователей они не доходили.
                    Есть хорошая практика "учебных тревог" с применением социалки Они, правда, могут вызывать возмущение сотрудников

                    У обучения есть один недостаток: теоретические знания могут оставаться долго, а вот готовность применять их на практике со временем асимптотически стремится к нулю. Обрезание вложений, помимо явных неудобств, лечит только один вектор социалки, но не мешает, например, "письмам счастья", в которых пользователям предлагается залогиниться на якобы новый информационный портал организации.

                    А вот проводимая раз в год социалка на собственных сотрудников очень держит их в тонусе. Я лично из четырех таких атак фактически провалил две: один раз попался на двухходовку и один раз не попался только потому, что в момент получения письма был слишком сильно занят. Отложил переход по забавной ссылке на потом, а через пятнадцать минут бдительные коллеги уже подняли тревогу.

                    Комментарий


                    • #11
                      Сообщение от malotavr Посмотреть сообщение
                      Есть хорошая практика "учебных тревог" с применением социалки
                      пришел к такому-же мнению. сваяли свой "вирус", сейчас волна настоящего схлынет - будем народ своим проверять. Руководство поддержало обеими руками.
                      а если не секрет - какие варианты проверок применяли к Вам?


                      Сообщение от vasilrib Посмотреть сообщение
                      Еще на почтовом сервере все вложения со скриптами
                      мои админы утверждают, что встроенными средствами Exchange запретить scr в архиве в архиве нельзя. Привирают? или у Вас что-то дополнительное стоит?
                      Я словно лист на ветру, посмотри как я лечу...

                      Комментарий


                      • #12
                        Сообщение от Mc`Sim Посмотреть сообщение
                        пришел к такому-же мнению. сваяли свой "вирус", сейчас волна настоящего схлынет - будем народ своим проверять. Руководство поддержало обеими руками.
                        а если не секрет - какие варианты проверок применяли к Вам?
                        Исследование на подверженность социалке обычно содержит несколько типовых атак:
                        - письмо с некошерным аттачем;
                        - письмо с правдоподобной просьбой "сделали новый веб сайт, welcome" (ссылка ведет на внешнюю форму авторизации, куда пользователь вводит свои реальные логин и пароль);
                        - письмо-приглашение на сайт с активным содержимым (видио или флеш-ролик)

                        Уровень сложности для исследуемого зависит от отправителя письма:
                        - отправитель из похожего домена (d0men_kompanii.ru, domen_kompanii.me);
                        - фэйковый внутренний отправитель (почтовый ящик на сервере компании, созданный в результате успешного пентеста или специально для исследования);
                        - реальный почтовый ящик сотрудника компании, полученный в результате пентеста (причем в этом случае письмо делается максимально приближенным к реальности и по стилю, и по теме)

                        Я попался на комбинированном исследовании, вторым шагом которого было использование почтового ящика реального сотрудника
                        Но для компании, не специализирующейся на безопасности, достаточно ограничиться низшим уровнем сложности.
                        И, если исследование проводится периодически, лучше случайным образом разбивать сотрудников на несколько фокус-групп, к каждой их которых применяется свой тип атаки.

                        Комментарий

                        Обработка...
                        X