Внимание! Вирусы-вымогатели.

В последнее время значительно возросла угроза заражения компьютеров вирусами-шифровальщиками. В ряде компаний уже возникли такие проблемы. Их суть в том, что после заражения компьютера они шифруют все документы, а это тысячи документов Word (текстовые, графические, базы данных, проектные файлы Autocad и так далее), доступные как на компьютере, так и по сети. После этого вирус требует выкуп, обещая дать ключ для расшифровки данных. Шифрование стойкое (AES-RSA) и расшифровке файлы не поддаются. И хоть впоследствии вирус уничтожается, но часть информации безвозвратно теряется.
Основной путь распространения вирусов — электронная почта. Ни одна антивирусная программа не обеспечивает 100% защиты!
Надежный способ не заразить компьютер — не открывать письма с вирусом.
Увы, несмотря на правила, многие игнорируют простейшие меры соблюдения информационной безопасности и их совершенно необдуманные действия и любопытство к таким письмам становятся причиной серьезных проблем.
Признаки вредоносных писем:
•суть письма не связана с вашей деятельностью (какие-то факсы, счета, предупреждения, кредитные карты, и т.д.);в адресе письма — не Ваш адрес; либо давно неиспользуемый Вами адресв адресатах, кроме Вас, есть другие получатели, отправитель вам неизвестен, письмо на иностранном языке вместе с остальными признаками, имитация писем от ГосОрганов (например, от Высшего Арбитражного Суда РФ — «возбуждено дело», ФССП — по взысканию, штрафам, и т.п.). Не обращайте внимания на гербы и т.п. Имеются ссылки неизвестно куда, обычно по ним самим пользователем и скачивается вирус. Имеются вложения — архивы ZIP или RAR. Внутри вложение с расширением не документа (scr, com, exe и пр.).
Их нельзя запускать! Во вложении могут быть и зараженные документы (PDF, DOC и т.п.)!
В этом случае обращайте внимание на остальные признаки! Не открывать вложения и не запускать файлы в письмах с вредоносными признаками — даже если очень хочется!
•В случае сомнений обязательно обращаться в техническую поддержку Строго запрещено отключать/удалять корпоративный антивирус на своем ПК, в том числе переносном.
•На переносных ПК следить за работой антивируса, обновлять антивирусные сигнатуры (базы) при каждом подключении к КСПД или Интернет.
•Перед подключением переносного ПК к корпоративной сети после работы в других сетях полностью проверить его на вирусы!
ПОМНИТЕ: нескольких щелчков мышки достаточно, чтобы парализовать работу части компании, потерять важную информацию нескольких подразделений, создать массе сотрудников множество лишней работы. Все это так или иначе выливается во временные и финансовые потери компаний.
Не разумнее ли перед тем, как открыть подозрительное письмо/щелкнуть ссылку/запустить файл, подумать об этом?

Материал: Sagamor
Настоящий материал самостоятельно опубликован в нашем сообществе пользователем Sagamor на основании действующей редакции Пользовательского Соглашения. Если вы считаете, что такая публикация нарушает ваши авторские и/или смежные права, вам необходимо сообщить об этом администрации сайта на EMAIL abuse@newru.org с указанием адреса (URL) страницы, содержащей спорный материал. Нарушение будет в кратчайшие сроки устранено, виновные наказаны.

комментариев 19

  1. Mr.aerix:

    а теперь заходим на ithappens, читаем и понимаем, что данное предупреждение не имеет смысла. ибо понимающий и так делать не будет, а офисно-бухгалтерскому планктону пофигу на любые увещевания.

  2. Sagamor:

    Там, где в компании админ поумней, выбивает у руководства средства на дополнительные, отвязанные от сети, ресурсы для хранения данных и регулярно их перезаписывает. Одно дело восстановить файлы за 3дня, неделю, и А там, где руководство зажимает гроши на это дело, то неприятности рано или поздно случаются.

  3. Osman:

    Да хрен там чо сделаешь. Антивири это не перехватывают. Файлы doc могут выглядеть вполне пристойно. Какого только дерьма не присылают с просторов Родины всякие.. нужные люди. Иногда не знаешь — чем это вообще открыть-то.
    Копии дАкументов? Ну, только так если.
    Жаву отрубить еще. Открыл я как-то такой doc-файл. Почитал листинг, почесал репу, вырубил нафиг. А за соседним компом открыли с включенным JRE.. Накирнулсо тот комп и файлопомойка.

    • Proper:

      Файлопомойку надо бекапить каждый день.

      Если большой объем — делить на две части, в одну скидывать документы, которые уже не подлежат изменениям, давать туда доступ только на чтение. Там, понятное дело, можно бекапить реже.

      Еще более правильный подход — работа с документами только на терминальном сервере, который полностью отрезан от интернета. Сливать туда скачанные документы — только через специалиста, после проверки.

      • Sagamor:

        Примерно так и делал в своё время. Машина работающая в инете с почтовым сервисом отрезается от остальной сети. Работает, назначенный приказом чел по определённому безопасному алгоритму.

        • Андрей:

          Это на сколько человек?
          Назначенный чел проверяет документы, пришедшие по электронной почте? Как потом эти документы попадают внутрь сети?

          • Proper:

            Нет, можно делать проще. Народ получает почту на компы, нужные им в будущем в документохранилище файлы складывает в свою папочку на общей открытой файлопомойке «К переносу». Ночью все пользовательские файлы там автоматически проверяются и переносятся в специальный сегмент на изолированную машину, на которой утром сисадмин просматривает всю эту муру, и то, что безопасно, оставляет. Затем оставленное копируется в файлохранилище, к которому имеет доступ только терминальный сервер.

            Идея в том, что человек, заразив свой комп, максимум может убить этот свой комп плюс одну СВОЮ папку в файлопомойке «К переносу», которая каждую ночь очищается — то есть там по-любому ничего существенного нету. Никакого доступа машин друг к другу иначе чем через терминальный сервер нет, доступа к персональным папкам «к переносу» тоже нет. Для экстренного обмена могут быть сделаны общие папки по отделам, которые тоже временные и ночью чистятся (их содержимое уносится в закрытый раздел, откуда его может достать только сисадмин, а через пару недель просто удаляется за ненадобностью).

            Весь внутриконторский документооборот идет на терминальном сервере в сегменте, полностью отрезанном от интернета. Пользователь сам туда ничего внести не может — только через описанную процедуру, ну и руками, набивая тексты и работая с корпоративными базами. При необходимости оперативных рассылок (скажем, надо утром рассылать конрагентам прайсы через сеть) — это решается через почтовый гейт, который может отправлять почту из изолированного сегмента, но не может принимать.

            В общем, такого рода параноические системы почти невскрываемы, особенно если не знать их структуры и не готовить атаку конкретно на них.

            • Sagamor:

              Именно так. Разработка процедуры «защита от дурака» с учётом имеющихся технических ресурсов, плюс администратор толковый.

            • Андрей:

              Да, закрыто основательно.
              Остается вопрос о количестве документов. Если под сотню, то минус два часа из жизни админа и возможные ошибки при переутомлении. Скорее всего это время после окончания работы. Смущает наличие ручного труда.

              • Sagamor:

                В наркоконтроле у меня было порядка 130 писем спама в день. До того, а автосалоне, парень который сидел на связях с поставщиками, тратил в день 1.5-2 часа в день на просмотр почты. И среди всякого спама, хлама были нужные ему письма. Жаловался каждый день. Не всегда компьютеризация означает быстрое решение вопросов. В ЦБ до введения ежедневных (через спутник) отчётов, «дверь на клюшку» закрывалась в 17.30 минут. Теперь сидит куча спецов по многим направлениям до 22.00-23.00 каждый день.
                Прогресс однако.

          • Sagamor:

            Им необязательно попадать в сеть в некоторых организациях. Распечатываются и регистрируются. И никаких вирусов при ознакомлении..)))

            • Андрей:

              Однажды я почти пронёс дискетки куда не следует их проносить. Поймали на втором периметре безопасности. Шуму было мало, но первый периметр при выходе выглядел обиженным и попросил больше так не делать. Да, информацию между отделами там таскают на бумажках.

              • Sagamor:

                3 года назад уволили (не помню из какого) управления нарконтроля подполковника, за использование флешки без спецпроверок за год до пенсии. Подполковник, как правило начальник одного из отделов.
                Придурков надо наказывать, но и надо соответствующим командирам и спецам создавать условия для нормальной и безопасной работы. Насколько я знаю, ситуация в МВД и др. структурах в не том состоянии, когда можно пожинать лавры. Деньги! Огромные деньги стоит защита информации, спецпроверки, аттестация по требованиям безопасности рабочих мест и помещений, и.т.д..

  4. Sagamor:

    Давненько было, более 10 лет назад. Кто-то из моих милицейских притащил вирус на дискетке и он сожрал файлы DOC. Пятилетняя моя работа, весь документооборот, всё коту под хвост. Повезло, что мой зам еженедельно копировал всё на две коробки дискет.

  5. Tim_duke:

    Самолучший способ борьбы—использовать системы где вирусы вообще не живут. И оно таки есть, это… да-да это LINUX. Недаром все наши силовые структуры используют astralinux c простым названием «Орел» , им никакой буржуйский шпиен не страшен.

    • Андрей:

      Имхо, лучше бороться с вирусами, чем линуксом.

    • Proper:

      Это некоторая иллюзия, причем опасная. Опасная недооценкой угрозы.

      Вирусы и спамботы под Линукс есть. Их меньше — но только потому, что их пока еще куда менее интересно (в денежном смысле) писать из-за меньшей распространенности Линукса. Но они есть и благополучно живут.

      Надежно защитить комп, ходящий в Интернет, НЕВОЗМОЖНО. Можно лишь несколько повысить его стойкость — но рано или поздно его грохнут. Причем слабое звено сейчас — это не железо и не софт, слабое звено — это человек. Человек глуп, жаден, ленив — поэтому социальная инженерия будет работать всегда.

      Правильная стратегия заключается в локализации ущерба. Не в вообще предотвращении ущерба — это невозможно, как невозможно воевать без потерь, но в сокращении масштаба потерь.

      Вот вы будете смеяться — но у нас паранойя дошла до того, что реестры паролей не хранятся даже на изолированной машине, а перенесены на бумагу. Чего нет в электронном виде — то очень сложно дистанционно украсть.

  6. jb:

    отсутствие вирусов под линухами не отменяет бэкдоров в софте линукосвом. поэтому безопасность под линухами несколько преувеличена.
    по поводу вирусов в письмах — получаю их по нескольку штук в неделю несмотря на все фильтры и антиспам. один раз чёрт дёрнул — почти открыл неправильную ссылку из письма. А так да, предупреждён — вооружён. только письма обычно маскируются под счета буржуйские с доменов *.co.uk

  7. Vitalich:

    Может, я немного опоздал и статья уже в прошлом и не все ее почитают, но я все таки выложу свой небольшой опыт. Несколько месяцев, я подхватил такую же заразу-шифровальщик, зашифровал все, что можно с расширением АES256. Вы не представляете каково было мое отчаяние — «все пропало!!!», и документы и чертежи и домашние фото — все! Я даже с горя купил новый ноут. Я и по знакомым — никто ничего не знает, говорят новая хрень, как лечить не знают, никакая антивирусная прога ее не берет. Короче, начал рыть в интернете, и таких как я страдальцев много и процедура лечения, как оказалась долгой и практически безрезультатной. Но все таки нашел, видимо лаб. Касперску надоело водить людей за нос и они выложили прогу: http://support.kaspersky.ru/viruses/disinfection/10556. И — «свершилось чудо! друг спас жизнь друга!». Слава Касперскому!