Личный опыт общения с ransomware (программами-вымогателями) на примере чуть более 200 компов развешанных по разным городам и весям. (не для специалистов)
Общая часть
Что такое рансомварь, объяснять не надо. Последнее время различного рода вымогатели как с цепи сорвались, но вообще-то история это довольно древняя. Я лично столкнулся с этим лет пять назад и больше иметь такого опыта не желаю, но учитывая насколько дырявая система вынь исключать ничего нельзя к сожалению.
Не даром за несколько месяцев до текущих событий наши западные «партнеры» озвучили «утерю» руткитов к винде и лине. То есть, ружье было повешено на стену и оно выстрелило. Приношу искренние соболезнования всем у кого погибли какие-то важные данные, конечно в этом есть вина IT-отдела, оно и понятно, но я хочу изложить и точку зрения IT небольшой компании, как это происходило лично у нас.
В первую очередь этот текст не для IT-специалистов, а для всех остальных, никакой технической конкретики не будет, потому, что я не безопасник, а скорее спец по БД, безопасностью и архитектурой сети, а так же бекапами и прочим выносом мозга типа NAT у нас ведает другой человек и я этому несказанно рад.
Как все начиналось
Наша контора занимается оптовой торговлей всякого ширпотреба, мы не очень большие, но и не очень маленькие, так середнячки, возникли в бурные 90 и до сих пор несем на себе отпечаток тех славных времен. Я работаю в конторе где-то с 2010, так что самого угара не застал, но следы его вижу до сих пор повсюду, я не хочу сказать ничего плохого про нашу контору, просто мы так живем, думаю многие живут так же.
Начнем с оборудования, сказать что это кошмар, это вообще ничего не сказать, термин зоопарк опишет ситуацию в очень розовом свете. Начать с того, что у нас самые разношерстные компы, тройки, слава богу, после известного казуса мы выжили, а вот SX четверки есть, пеньки ну и что поновее, к этому оборудованию подключены разного рода устройства которые стали мастодонтами еще в 2000, всякие сканеры, немыслимые принтеры чеков и черт знает что еще, релизы драйверов на это оборудование есть хорошо если от 2000 годов.
Кроме этого у «наших» торговых есть ноутбуки которые им выдают компании дистрибьюторы, мы вообще ничего на этих ноутбуках трогать не можем от слова совсем, то есть любому дистрибьютору плевать на нашу безопасность с высокой колокольни, а работать они хотят с нашими ресурсами, генеральный им отказать не может.
Разбираться каждый раз с этими му… прекраснодушными через генерального, заболит афедрон, а по другому торговые нас просто игнорируют, малейшие ограничения это такой визг и ор, что геи-правозащитники кажутся радужными немыми котятками, а все IT-специалисты ценят тишину, поверьте на слово, а торговые могут создать очень большой шум если захотят. Разумеется ни о какой AD в данных условиях речь даже не идет.
Для того что бы в этом аду соблюсти хоть какие-то приличия было решено воздвигнуть терминальный сервер и все ресурсы перевести на него, а на своих машинах пусть пользователи делают, что хотят. Мы продавили установку антивируса (сначала кажется DRWEB, потом Каспера, потому что бухгалтерия за что-то невзлюбила DRWEB, но это отдельная захватывающая история, так что теперь у нас в конторе еще и зоопарк антивирусов) на конечные машины и чувствовали себя практически в полной безопасности, наивные.
Апофигей
Терминалы хороши тем, что у пользователя там нет никаких прав от слова вообще, то есть, он может только то что ему позволил администратор, за то уж администратор на терминале это БОГ, он может ВСЕ, в том числе и положить сервер. Разумеется мы не планировали давать кому либо прав администратора, трижды прекраснодушные идиоты.
Первой ласточкой в нашем раю была касса, сейчас уже ситуация с драйверам для касс нормальна, но в те недавние годы, этим драйверам зачем-то нужен был администратор на сервере. И мы скрепя сердце разрешили пользователю кассы быть администратором, чтобы она могла бить чеки из терминалов, какая это была прекрасная и осторожная женщина, никаких бед мы от нее не видели, потом купили другую кассу с нормальными драйверами отняли у кассы администратора, и вздохнули с облечением.
И вот тут-то случилась катастрофа. Есть на свете такое место — бухгалтерия, это администраторы конторы, они могут ВСЕ и уж если чего решили, то выпьют обязательно, сопротивляться их мягкому обаянию бесполезно. Чего уж, можно поругаться вежливо с генеральным, но посраться с бухгалтерией,- это настоящая БОЛЬШАЯ глупость. Такого себе даже генеральный позволить не может.
Все началось совершенно невинно, как впрочем и все катастрофы. Бухгалтера захотели консультант+ в терминалы, потому что де они ездиют по разным городам, а консультант стоит только в головном офисе (даже сетевую версию не покупали из экономии), а оне видели где-то на стороне как консультант замечательно работает в терминалах, тем более, что менеджер консультанта убедил их, что поставить консультант на сервер плевое дело, надеюсь за это ему будет уготовано отдельное место в аду.
Не чуя беды мы поставили этот злощастный конс на терминалы. Бухи очень оценили удобство, еще бы, раньше им надо было переться к одному компу, а теперь они могли работать с любого, причем по факту версия стала сетевой, она лишь не позволяла двум людям работать одновременно, а так полный фарш. Постепенно и филиалы в других городах оценили конс в терминалах стал пользоваться популярностью. Одна беда без администратора он не мог обновляться, мы всячески сопротивлялись давать пользователям конса администраторов.
Однако, эти … из конторы консультанта видимо замахались тягать к нам обновления, и напели в бухгалтерии как прекрасно все обновляется онлайн. Ну вы понели. Мы криком кричали, что это недопустимо на боевом сервере, наши крики не были услышаны, генеральный выслушал нашего начальника и посоветовал ему поставить антивирус на боевой сервер, тут уже завыла вся контора, потому, что антивирус жутко тормозил терминалы, его пришлось отключить.
Катастрофа
Ну что тут сказать. Не смотря на то, что у нас на шарах запрещено, сохранять архивы, скрипты и любые исполняемые файлы, в нашем аду это наименьшее из зол как все не стонали, но уж эту малость мы продавили. Оказывается, в выни есть любопытная дырочка, скрипт можно писать внутри ярлыка, естественно мы об этом ведать не ведали знать не знали.
Я до сих пор не знаю сознательная это была диверсия или кто-то из нашего «зоопарка» постарался. На шару был выложен такой ярлык, ЧСХ ни каспер, ни доктор веб, его не обнаружили, они стали его видеть где-то через неделю, я сам лично проверял.
И какая-то гнида под консультантом запустила этот ярлык на терминальнике.
Конспирология
А вот дальше начался ад. У нас пользователи на «своих» компах вольны делать все что им вздумается, многие открывают папки для внешнего доступа мы с этим ничего сделать не можем, по вышеописанным причинам. Так вот стали шифроваться такие открытые ресурсы, ну и естественно общественные шары.
Мы неделю бились проверили все конечные компы, нашли наконец этого шифровальщика, сначала он даже не ловился ни чем, но проблем это не решило, атаки повторялись в сети творился настоящий бардак. Терминальник стоял как влитой на нем не было зашифровано НИ ОДНОГО файла, шар на нем не было, наконец, мы совершенно измучившись ловлей черных кошек в темных комнатах, запустили тотальную антивирусную проверку, и нашли гнездо зверя, вылечили терминальник. В запале мы его проверили всеми доступными антивирусами и антималваре, нас заверили что все прекрасно, зверь убит, мы вздохнули с облегчением, болваны.
На следующий день, наш терминальник, не позволил пользователям зайти в терминалы, пароль администратора оказался поменян. Как выяснилось позже, все программное обеспечение на нем было уничтожено, а взамен были установлены инструменты для майнинга биткоинов. Мы пришли в полное озверение, снесли терминальних к хренам и поставили за ново, очевидно на нем стоял какой-то руткит который не ловился антивирусами.
Поскольку остальные наши сервера были серьезно защищены, злодей не смог им сделать ровным счетом ничего, хотя конечно пытался. Поведение вируса говорило о том что он выбирал цели в сети не самостоятельно, им управляли удаленно, поэтому в своем «гнезде» он совершенно не свинячил, и только когда люди поняли, что мы их раскусили, они сломали нам сервак окончательно. За то потом наш начальник пошел к генерльному и мы нашли наконец укорот на бухгалтерию и даже немного отбили руки «дистрибьюторам», но это уже не такая поучительная история, хотя и намного более приятная.
Мораль
Во-первых текущая атака, это спланированная акция, все произошло не потому что кто-то чего-то запустил. В Роснефти? Не смешите мои тапочки, их вскрыли как консервную банку, атака наверняка была скоординирована со многих направлений и где-то добрые ангелы прорвались, потому что никакая сеть не может быть защищена абсолютно, прорвались изучили ситуацию и вмазали, по крайней мере таково мое ИМХО. На кого была направлена эта атака сказать сложно, добились ли атакующие успеха тоже сказать сложно. Все что мы наблюдаем это дымовая завеса призванная отвлечь наше внимание от настоящих действий ИМХО.
Во-вторых, вынь + интел, как система находится под полным контролем сами знаете кого, статьи были даже на АШ, так что повторяться не буду и пока такая ситуация сохраняется, всегда СОВЕРШЕННО СЛУЧАЙНО будут происходить подобные вещи, которые будут сваливать на бухгалтеров. То что наши «партнеры» откажутся от такого рычага влияния думать глупо, то что их удастся поймать за руку думать еще глупее. Так что, хотите приватности, переходите на отечественные системы и комплектующие, не хотите - не плачьте. Отключение интернета дает какие-то гарантии, но всегда остаются USB модемы и прочее зверье, если контора большая админу может быть сложно уследить за всеми событиями.
В-третьих, конечно IT-составляющую любой современной организации, надо продумывать очень тщательно, к сожалению с этим очень серьезные проблемы, руководство зачастую даже не подозревает насколько глубоки задницы, которые нас окружают. Думаю, что в данной области было бы неплохо ввести государственные стандарты и заставить конторы их жестко соблюдать, это бы защитило по крайней мере от дурака.
В-пятых, что касается интернета, я категорически за белые сервера, ко всему трафику что приходит мимо белых серверов надо относиться как к вредоносному, и стоны и плачи о том что это де угнетает свободу, это стоны ни о чем. Дайте белые сервера хотя бы предприятиям, чтобы все остальные коннекции можно было смело рубить на уровне диапазонов IP. Даешь белый интернет!!!)))
Так что, вот такие пироги с котятами. Надеюсь, что это просто моя всегдашняя паранойя разгулялась, все совпадения в этой статье с реальными людьми, программами или организациями безосновательны. И да в ответ специалистам от IT, на их правильные и своевременные вопросы о бардаке в конторе, все можно устроить гораздо разумнее в этом мире, я знаю, но почему это всегда хотят делать за мой счет?
Комментарии
ESET разработала утилиту для защиты от эксплойта EternalBlue
Что в друшлаге воду носить ИМХО.
Ссылка от 17 мая. Сейчас уже третья версия гуляет.
Вирус Petya использует хакерский инструмент Eternal Blue.
Неплохо излагаешь.
Спасибо уважаемый советник.
Спасибо, реально неплохо и понятно чукчам, как я.
В дополнение могу порекомендовать тебе запостить:
Думаю, будет что пообсуждать )
Искромётно. Отличный слог.
Хотелось бы продолжения. ..банкета.
Свят-свят. Сейчас сидим скрестив пальцы в нашем зверятнике, полный бакуп всего ценного каждые 4 часа на закрытый серв в другой подсети через вторую сетевую карту. Так что, надеюсь больше никаких продолжений.)))
Да нет.. под банкетом имел ввиду возможность знакомства с новыми литературными работами.
Аааа, это всегда пожалуйста. Как будет время - непременно.
вот! спасибо!
Спасибо. Получил удовольствие. Картинка один в один у ... знакомых.
За картинку благодарите АлексаНожа.)))
Всем спасибо!
А что посоветуется из бэкапов и соответствующих систем для маленьких предприятий?
Маленьких - значит, нет постоянных и специально обученных админов и поэтому многое приходится делать своими силами.
Инструментария же очень много - платного, и бесплатного, интересно по вашему опыту узнать примерные варианты, которые имело бы смысл подробно изучить и использовать у себя.
Была одна такая бяка у нас в сети. Хорошо легко отделались, - пошифровал только бук одного из юзверей, зато все обкакались знатно, и нам был выдан карт-бланш на резервирование всего и вся и развёртывание полноценного облака в обход всяких SMB и AD. ;-)
В общем любое руководство должно как следует обгадиться, прежде чем признает собственную некомпетентность в определённых направлениях и зачастую ему стоит дать это сделать... ;-))
Мы же не звери какие, но к счастью они сами прекрасно справляются))).
Заезжала сейчас в контору. Кажется, базу сохранили. Плюс есть бэкап на полдень вчерашнего дня. Всем в конторе переустанавливают компы. Прорвалась к генеральному:) План восстановления полутора часов работы базы ( если таки бэкап на 12 часов дня сделают рабочим). Так что. Тьфу-тьфу-тьфу, надеюсь закончится история без больших потерь. Клиентам отгружали продукцию по бумажным накладным, сейчас базу склада ГП восстановили. И бухов. Теперь нами занимаются.
Я больше всего надеюсь, что все эксели пропали кое у кого))) и можно будет этот участок работы Компании полноценно запускать в базу)) Хе-хе.
Тьфу-тьфу, Anisiya, хорошо, что хорошо кончается.
Так что, напрасно вы бурчали на своих ИТ, они у вас молодцы. Зато, теперь глядишь какую модернизацию пробьют, удачи им в их нелегком деле.
Пробьют) Уже слыхала от самого гендира.
Я не бурчала...я рыдала. По своей базе. Она - моё детище. Столько туда вложено меня, вы не представляете)
вот потому всё, с чем я работаю - дублируется на личной криптованной флешке.
может это и не соответствует "корпоративным нормам", зато ничего не будет утеряно
Флешки чрезвычайно ненадежны. Количество циклов перезаписи у них невысокое.
+!
У меня важняк весь вынесен на внешний винт + в двух разных облаках на всякий случай, возможно это и паранойя, но мне так спокойнее... ;-)
А по моему, так чистый здравый смысл.
" У меня важняк весь вынесен на внешний винт "
Хоспади. Ну не доходит до меня никак, почему этого не делают. Крутят миллионные суммы и .... Экономят чо ли...
Ну, жлобство-то понятно, присутствует. А самое главное - это непонимание ввиду неграмотности (IT-шной).
" А самое главное - это непонимание ввиду неграмотности (IT-шной). "
Это вульгарное невежество, однако, с примесью снобизма хозяйчика.
Но ведь это их деньги, они имеют полное право.
" Но ведь это их деньги, они имеют полное право. "
Этттт да!
А куда именно выносите, в какие сервисы?
Да пофигу, куда в общем-то. У меня шифрокопии валяются на Майл.ру и Яндексе. До этого было на гугле. Ключик вынесен на бумагу (QR-код) и на диск. На диске недельные срезы, всё в плоском виде, без шифрования, потому что диск в сейфе. ;-)
Мимоходом...
Аналогично. Только в трёх. Начал это делать, после того как комп посетили сразу и вирус и троян (что называется - повезло).
Ага. Винт ноутбучный шустрый на 7200 оборотов в usb3.0 боксе
Винт бучный на 7200 умирает от малейшего чиха... Уж поверьте, в углу стоит коробка с 30 штуками только на 7200. 5400 реже мрут, хотя в буках их 98%.
Зато какой кайф, когда всё получается! ;-)
Естессно!) Это ж самореализация самая настоящая. Не всё в жизни меряется деньгами. Деньги - это уже другая ипостась. Сначала получаешь непередаваемый кайф от того, что сделано твоей головой, твоими руками - и что оно востребовано. Причем не просто востребовано, а как горячие пирожки улетает)
Искренне сочувствую. Но нет худа без добра, как я понял особого вреда зловред не нанес, зато теперь ИТ скажет ЙЭЭЭЭЭХХХХхххх.))
А почему ЙЭЭХ?)) Может, ЙАААА!!!))) Мы сделали это!
Ну типа раззудись плечо... Засучитесь рукава))).
И что, у Вас нет хотя бы пяти последних ее копий??? Да... Даже не знаю что сказать Вам. Может и не так уж она и дорога Вам как кажется...
Интересно, вы буквы умение читать? Или первый класс начальной школы? Попробуйте прочитать мои комменты в ветке сначала.
Сколько школяров в сеть лезут - уму непостижимо. Лучше бы уроки делали.
А сама то читать могем? Прямое Ваше высказывание привел... И мысль там заложена простая, не надейся ни на кого, подсуетись сам. Так что скорее Вы "молодо-зелено" явно не понимающая смыл совета ( к стати совершенно бескорыстного , можете не благодарить) старших.
Ну, читал, все ваши рыдания по по поводу "возможно упущенной выгоды", даже отдельный пост Ваш, со всеми размазываемыми выделяемой жидкости из пазух носа по щекам. И что? Увидел лишь попытку свалить личную малообразаванность на всяких там "админов". Снимая с себя всю вину за возможную утрату своей работы... Всегда легче спихнуть вину на кого то.. (им же платят деньги, да?) Читал и за "наезд" на пользователей, которых по Вашему мнению 70 % на этом сайте (цитаты или пруфы нужны?), сам к этому классу не принадлежу.
МДА. Эбанутое создание. Что ещё можно сказать про тебя.
Мадам, выражайтесь корректнее (тут могут быть дети) - эбонитовое. Зачем ругаться-то? Русский язык велик и могуч, - способен передавать эмоции во всех оттенках оставаясь в рамках... ;-)
ЗЫ: Как совещание прошло? Со щитом или на щите?
Ну раз мы "близки", отвечу ка тебе в личку, дабы не разводить тут...уроки вежливости.
А не откроете секрет, у вас база на виндовом сервере стояла?
Не знаю. Я не IT-шник. Знаю только, что, оказывается на многих новых моноблоках, что в производственных цехах стоят, поставлен Линукс. Так что переустанавливать компы только с виндой придется.
Лучше-б под такой погром винду вовсе позаменять на Линя.
По возможности естественно... ;-)
Страницы