Личный опыт общения с ransomware (программами-вымогателями) на примере чуть более 200 компов развешанных по разным городам и весям. (не для специалистов)
Общая часть
Что такое рансомварь, объяснять не надо. Последнее время различного рода вымогатели как с цепи сорвались, но вообще-то история это довольно древняя. Я лично столкнулся с этим лет пять назад и больше иметь такого опыта не желаю, но учитывая насколько дырявая система вынь исключать ничего нельзя к сожалению.
Не даром за несколько месяцев до текущих событий наши западные «партнеры» озвучили «утерю» руткитов к винде и лине. То есть, ружье было повешено на стену и оно выстрелило. Приношу искренние соболезнования всем у кого погибли какие-то важные данные, конечно в этом есть вина IT-отдела, оно и понятно, но я хочу изложить и точку зрения IT небольшой компании, как это происходило лично у нас.
В первую очередь этот текст не для IT-специалистов, а для всех остальных, никакой технической конкретики не будет, потому, что я не безопасник, а скорее спец по БД, безопасностью и архитектурой сети, а так же бекапами и прочим выносом мозга типа NAT у нас ведает другой человек и я этому несказанно рад.
Как все начиналось
Наша контора занимается оптовой торговлей всякого ширпотреба, мы не очень большие, но и не очень маленькие, так середнячки, возникли в бурные 90 и до сих пор несем на себе отпечаток тех славных времен. Я работаю в конторе где-то с 2010, так что самого угара не застал, но следы его вижу до сих пор повсюду, я не хочу сказать ничего плохого про нашу контору, просто мы так живем, думаю многие живут так же.
Начнем с оборудования, сказать что это кошмар, это вообще ничего не сказать, термин зоопарк опишет ситуацию в очень розовом свете. Начать с того, что у нас самые разношерстные компы, тройки, слава богу, после известного казуса мы выжили, а вот SX четверки есть, пеньки ну и что поновее, к этому оборудованию подключены разного рода устройства которые стали мастодонтами еще в 2000, всякие сканеры, немыслимые принтеры чеков и черт знает что еще, релизы драйверов на это оборудование есть хорошо если от 2000 годов.
Кроме этого у «наших» торговых есть ноутбуки которые им выдают компании дистрибьюторы, мы вообще ничего на этих ноутбуках трогать не можем от слова совсем, то есть любому дистрибьютору плевать на нашу безопасность с высокой колокольни, а работать они хотят с нашими ресурсами, генеральный им отказать не может.
Разбираться каждый раз с этими му… прекраснодушными через генерального, заболит афедрон, а по другому торговые нас просто игнорируют, малейшие ограничения это такой визг и ор, что геи-правозащитники кажутся радужными немыми котятками, а все IT-специалисты ценят тишину, поверьте на слово, а торговые могут создать очень большой шум если захотят. Разумеется ни о какой AD в данных условиях речь даже не идет.
Для того что бы в этом аду соблюсти хоть какие-то приличия было решено воздвигнуть терминальный сервер и все ресурсы перевести на него, а на своих машинах пусть пользователи делают, что хотят. Мы продавили установку антивируса (сначала кажется DRWEB, потом Каспера, потому что бухгалтерия за что-то невзлюбила DRWEB, но это отдельная захватывающая история, так что теперь у нас в конторе еще и зоопарк антивирусов) на конечные машины и чувствовали себя практически в полной безопасности, наивные.
Апофигей
Терминалы хороши тем, что у пользователя там нет никаких прав от слова вообще, то есть, он может только то что ему позволил администратор, за то уж администратор на терминале это БОГ, он может ВСЕ, в том числе и положить сервер. Разумеется мы не планировали давать кому либо прав администратора, трижды прекраснодушные идиоты.
Первой ласточкой в нашем раю была касса, сейчас уже ситуация с драйверам для касс нормальна, но в те недавние годы, этим драйверам зачем-то нужен был администратор на сервере. И мы скрепя сердце разрешили пользователю кассы быть администратором, чтобы она могла бить чеки из терминалов, какая это была прекрасная и осторожная женщина, никаких бед мы от нее не видели, потом купили другую кассу с нормальными драйверами отняли у кассы администратора, и вздохнули с облечением.
И вот тут-то случилась катастрофа. Есть на свете такое место — бухгалтерия, это администраторы конторы, они могут ВСЕ и уж если чего решили, то выпьют обязательно, сопротивляться их мягкому обаянию бесполезно. Чего уж, можно поругаться вежливо с генеральным, но посраться с бухгалтерией,- это настоящая БОЛЬШАЯ глупость. Такого себе даже генеральный позволить не может.
Все началось совершенно невинно, как впрочем и все катастрофы. Бухгалтера захотели консультант+ в терминалы, потому что де они ездиют по разным городам, а консультант стоит только в головном офисе (даже сетевую версию не покупали из экономии), а оне видели где-то на стороне как консультант замечательно работает в терминалах, тем более, что менеджер консультанта убедил их, что поставить консультант на сервер плевое дело, надеюсь за это ему будет уготовано отдельное место в аду.
Не чуя беды мы поставили этот злощастный конс на терминалы. Бухи очень оценили удобство, еще бы, раньше им надо было переться к одному компу, а теперь они могли работать с любого, причем по факту версия стала сетевой, она лишь не позволяла двум людям работать одновременно, а так полный фарш. Постепенно и филиалы в других городах оценили конс в терминалах стал пользоваться популярностью. Одна беда без администратора он не мог обновляться, мы всячески сопротивлялись давать пользователям конса администраторов.
Однако, эти … из конторы консультанта видимо замахались тягать к нам обновления, и напели в бухгалтерии как прекрасно все обновляется онлайн. Ну вы понели. Мы криком кричали, что это недопустимо на боевом сервере, наши крики не были услышаны, генеральный выслушал нашего начальника и посоветовал ему поставить антивирус на боевой сервер, тут уже завыла вся контора, потому, что антивирус жутко тормозил терминалы, его пришлось отключить.
Катастрофа
Ну что тут сказать. Не смотря на то, что у нас на шарах запрещено, сохранять архивы, скрипты и любые исполняемые файлы, в нашем аду это наименьшее из зол как все не стонали, но уж эту малость мы продавили. Оказывается, в выни есть любопытная дырочка, скрипт можно писать внутри ярлыка, естественно мы об этом ведать не ведали знать не знали.
Я до сих пор не знаю сознательная это была диверсия или кто-то из нашего «зоопарка» постарался. На шару был выложен такой ярлык, ЧСХ ни каспер, ни доктор веб, его не обнаружили, они стали его видеть где-то через неделю, я сам лично проверял.
И какая-то гнида под консультантом запустила этот ярлык на терминальнике.
Конспирология
А вот дальше начался ад. У нас пользователи на «своих» компах вольны делать все что им вздумается, многие открывают папки для внешнего доступа мы с этим ничего сделать не можем, по вышеописанным причинам. Так вот стали шифроваться такие открытые ресурсы, ну и естественно общественные шары.
Мы неделю бились проверили все конечные компы, нашли наконец этого шифровальщика, сначала он даже не ловился ни чем, но проблем это не решило, атаки повторялись в сети творился настоящий бардак. Терминальник стоял как влитой на нем не было зашифровано НИ ОДНОГО файла, шар на нем не было, наконец, мы совершенно измучившись ловлей черных кошек в темных комнатах, запустили тотальную антивирусную проверку, и нашли гнездо зверя, вылечили терминальник. В запале мы его проверили всеми доступными антивирусами и антималваре, нас заверили что все прекрасно, зверь убит, мы вздохнули с облегчением, болваны.
На следующий день, наш терминальник, не позволил пользователям зайти в терминалы, пароль администратора оказался поменян. Как выяснилось позже, все программное обеспечение на нем было уничтожено, а взамен были установлены инструменты для майнинга биткоинов. Мы пришли в полное озверение, снесли терминальних к хренам и поставили за ново, очевидно на нем стоял какой-то руткит который не ловился антивирусами.
Поскольку остальные наши сервера были серьезно защищены, злодей не смог им сделать ровным счетом ничего, хотя конечно пытался. Поведение вируса говорило о том что он выбирал цели в сети не самостоятельно, им управляли удаленно, поэтому в своем «гнезде» он совершенно не свинячил, и только когда люди поняли, что мы их раскусили, они сломали нам сервак окончательно. За то потом наш начальник пошел к генерльному и мы нашли наконец укорот на бухгалтерию и даже немного отбили руки «дистрибьюторам», но это уже не такая поучительная история, хотя и намного более приятная.
Мораль
Во-первых текущая атака, это спланированная акция, все произошло не потому что кто-то чего-то запустил. В Роснефти? Не смешите мои тапочки, их вскрыли как консервную банку, атака наверняка была скоординирована со многих направлений и где-то добрые ангелы прорвались, потому что никакая сеть не может быть защищена абсолютно, прорвались изучили ситуацию и вмазали, по крайней мере таково мое ИМХО. На кого была направлена эта атака сказать сложно, добились ли атакующие успеха тоже сказать сложно. Все что мы наблюдаем это дымовая завеса призванная отвлечь наше внимание от настоящих действий ИМХО.
Во-вторых, вынь + интел, как система находится под полным контролем сами знаете кого, статьи были даже на АШ, так что повторяться не буду и пока такая ситуация сохраняется, всегда СОВЕРШЕННО СЛУЧАЙНО будут происходить подобные вещи, которые будут сваливать на бухгалтеров. То что наши «партнеры» откажутся от такого рычага влияния думать глупо, то что их удастся поймать за руку думать еще глупее. Так что, хотите приватности, переходите на отечественные системы и комплектующие, не хотите - не плачьте. Отключение интернета дает какие-то гарантии, но всегда остаются USB модемы и прочее зверье, если контора большая админу может быть сложно уследить за всеми событиями.
В-третьих, конечно IT-составляющую любой современной организации, надо продумывать очень тщательно, к сожалению с этим очень серьезные проблемы, руководство зачастую даже не подозревает насколько глубоки задницы, которые нас окружают. Думаю, что в данной области было бы неплохо ввести государственные стандарты и заставить конторы их жестко соблюдать, это бы защитило по крайней мере от дурака.
В-пятых, что касается интернета, я категорически за белые сервера, ко всему трафику что приходит мимо белых серверов надо относиться как к вредоносному, и стоны и плачи о том что это де угнетает свободу, это стоны ни о чем. Дайте белые сервера хотя бы предприятиям, чтобы все остальные коннекции можно было смело рубить на уровне диапазонов IP. Даешь белый интернет!!!)))
Так что, вот такие пироги с котятами. Надеюсь, что это просто моя всегдашняя паранойя разгулялась, все совпадения в этой статье с реальными людьми, программами или организациями безосновательны. И да в ответ специалистам от IT, на их правильные и своевременные вопросы о бардаке в конторе, все можно устроить гораздо разумнее в этом мире, я знаю, но почему это всегда хотят делать за мой счет?
Комментарии
там выни нет, в мо рф. мсвс, астра и всё.
ну да точно
Спасибо, познавательно.
Компания Symantec предложила самый простой способ защиты от вируса Petya, который сейчас распространяется по всему миру, шифруя файлы на компьютерах.
Вирус проверяет, есть ли в каталоге Windows файл perfc или perfc.dll. Если он присутствует, вирус считает, что компьютер уже заражён и прекращает работу без шифровки файлов. Создать такой файл можно в блокноте, его содержание может быть любым, даже пустым. Рекомендуется сделать этот файл доступным только для чтения, чтобы вирус не модифицировал его. Специалисты Symantec исследовали вирус Petya и пришли к выводу, что он использует хакерский инструмент Eternal Blue.
Спасибо за информацию.
Все беды от двух вещей: мелкомягких и отсутствия проекта сети.
Странно (регулярно!) видеть бизнесы (оборотом даже от 10 млн.), продолжающие думать что комп - это что-то наподобии холодильника или стиралки - включил и работает. А потом приходят с грустными глазами и начинается "ну мы же не знали", "кто бы мог подумать", "и что теперь делать", "верните мои данные", "а чо так дорого", и т.д.
Вот ей-богу не понимаю, как так можно бизнесовать.
Эххх, ну что сказать. Это вариации на темы истории мышей и кактуса. ОНОЖЕРАБОТЭТ зачем платить денег больше, тут я начальство понимаю. Пока нет нет нормативных актов, эта музыка будет вечной.
Ну да.
Потому взял в привычку начинать разговор с проекта. Не понимают - не надо, сделаю лучше тому, кто понимает. Акты актами, их можно ждать вечно, а правильно делать работу надо сейчас.
Беда в том, что категория "правильно", для вас и для владельца бизнеса - это совершенно разные вещи. Поэтому, если это не сделаете вы, кто-то сделает это за вас, может быть чуточку уже не так "правильно".
Бизнес понимает только оценку рисков. Надо просто руководству озвучить потенциальные риски и все. У вас новый сервак для бекапа и еще много приятных вещей)))
Если при этом у руководства будет хорошее настроение))), тогда да, в противном случае вас просто назовут паникером похлопают по спине и приведут какой нибудь дебильный пример из жизни соседней фирмы где все и так работает. Другое дело, когда вы все это озвучили и потом клюнул жаренный петух, тут да.
А как у вас обстоит дело с вифи? Тут мне один хороший чел продемонстрировал, чего он могёт из своей квартиры. Было жутко, благо хоть человек хороший, незлой.
Ну вифи у нас парольный чтоб жуки и жабы не лазили, а так да, им только дай.
Хороший чел как раз про пароли мне всё показал. Говорит, что только отключение DHCP и уникальная маска подсети может на время спасти умирающего кота.
Если только WPA. Посмотрим что он сделает с WPA2-PSK и groupkey update period минут 10 или меньше. Он не успеет сбрутфорсить пароль.
Я, как ламер, техническими тонкостями не интересовался, и могу возразить только из общих соображений: WPA2-PSK сейчас на каждом раздатчике, но шуровать по локалкам это товарищу никак не мешает.
Для хороших людей двери везде открыты, как дбадмин говорю ;).
Самое прекрасное — в профессионализьме разработчиков прошивки: парольный механизм как инвариант.
С отсутствующей опцией блокировки доступа к административной консоли по воздуху.
Клиника.
Повесить всех собак на согласовавшего закупку оборудования!
А вот к стати да, было у нас какое-то оборудование (не в этой конторе и очень давно), там консоль админскую можно было вызвать только локально, все с него плевались, как так, по сети админить нельзя, ну что за треш)). Та что, тут в очередной раз победил зленый змий;).
Немного из личного. В учебных учреждениях требуется фильтрация доступа в интернет (антитеррористические, антинаркотические и прочие мероприятия). Мне удалось пробить (в буквальном смысле) работу по белым спискам через прокси с авторизацией (списки соответственно разные и да, есть полностью открытый инет по спец логину). До этого на КАЖДОМ компе (их более 100) стояла система фильтрации (которая по большому счету не работала и временами падала) и всех все устраивало - находили способы обойти фильтры. После установки прокси и белого списка было столько криков и жалоб. Директор вызывал на ковер. В ход шли любые личные связи для отмены этого "безобразия" со стороны сотрудников. Так вот крики были ровно до момента прихода проверяющих из компетентных органов. Они не обнаружили у нас никаких нарушений (в других учреждениях все было плохо - они продолжали использовать контентную фильтрацию) и довольные ушли. Директор был счастлив. Как умеют пропесочивать руководство если увидят что учащиеся смогут получить доступ к запрещенной информации я объяснять не буду. Так что да, руководитель должен прочувствовать все на себе )). По поводу шифровальщиков - столкнулись с ними. При этом началось все с бюстгалтерии. Открыли таки вложеньице. но там что-то из разряда пионерского было. По сети себя не распространял.
Свое железо и софт надо иметь. Как правда убедить в этом остальной мир, большой вопрос...
за белые списки надо расстреливать админов.
если отключить компьютеры из розетки - то тоже "нарушений не будет"
На работе надо работать.
работа определяется нормой произведенной продукции.
а в учебных заведениях ограничивать учащихся - это шиза полная. им интернет для обучения нужен.
Вы с какой планеты? http://bit.ly/2tX9XT5
Ничто так не помогает, как назначение фаната «белых списков» *персональной* (!) *полной* (!!!) ответственности за *полноту* и актуальность составленных им списков.
С публичными порками за каждую ошибку типа false positives.
Составление списков не задача IT службы. Актуальность - да.
Замечательный подход: мы тут клёвую фичу придумали.
Правда до вопроса оценки эксплуатационных издержек не снизошли.
Но всё равно надо внедрять!
ЗЫ: Составление — может и не задача. Но за непроработку вопроса принцпиальной составимости годных список надо спрашивать с автора. И на него же вешать все заботы (и *всю* ответственность) за нагромождения костылей в процессе попытки эксплуатации.
Это само собой. Подход ведь гибкий должен быть. Есть пользователи, которым вообще не нужен доступ в интернет. Есть те, кому достаточно ходить по белому списку. Есть те (маркетинг, например), кому нужен минимум запретов.
А для учеников не удобнее использовать одноразовую ОС (условно LiveCD)?
А смысл? Как это относится к ограничениям доступа в инет?
Я с точки зрения безопасности самой ОС. Речь то в статье о защите от вирусов. Цель ограничения доступа же в этом? Не только в этом - понятно. Но для администратора в этом - в защите от вирусов.
Я бы их давно пересадил на Linux ибо задачи там простые, но есть специфичный софт который работает только под Виндой. И пока это не отменят или не сделают его кроссплатформенным все разговоры о переходе на линукс или подобное бесполезны. Софт спускают сверху так что альтернатив ему нет.
Есть специальное ПО, которое после перезагрузки компьютера восстанавливает диск в исходное состояние. Пользователь даже под правами администратора может быть. У нас в универе так было. Преподаватели на кафедрах составляют список необходимого ПО, за ними закрепляют рабочие классы, создают образ с этим ПО, выкатывают на все машины в классе и не трогают до следующего года. Что за программа не знаю.
Скорее всего вы работали под какой либо виртуальной машиной. Один из признаков - вам сказали в какой папке(или нескольких) можно оставлять информацию, а при помещении инфы в любую другую папку, она после перезагрузки пропадает как и созданные/размещённые файлы и папки на рабочем столе или в любом другом месте...
Нет это не виртуальная машина. Это было еще до их активного распространения. Это именно какое-то дополнительное ПО, после перезагрузки на системном диске все приходит в зафиксированное ранее состояние. Свои папки у нас были на сетевых дисках.
ОС может загружаться по сети из образа. Заранее подготовленный образ со всеми установленными программами. Недостаток при одновременном запуске повышается нагрузка на сеть и время загрузки ОС увеличивается. Плюсы - после сброса питания - жизнь с чистого листа, экономия на жестких дисках.
Еще раз. ОС загружалась с диска. Было установлено специальное ПО, которое после перезагрузки компьютера возвращала диск в исходное состояние.
Каким образом? У этого специального ПО был образ диска? Который хранился где то на другом диске?
А во вторых - это сколько же времени нужно для загрузки ОС при такой схеме? Включаем - начинается процесс восстановления в исходное состояние. И потом только загрузка ОС?
Зачем если эта задача решается гораздо проще и без всякого дополнительного ПО.
хз как это работает. время загрузки большое - порядка 5 минут, но главное все работает. сомневаюсь что 10 лет назад были решения лучше
Не знаю, где как, но в Татарстане в школах (и других госучреждениях, думаю) - как раз-таки интернет работает строго через прокси - i.tatar.ru:8080, насколько я помню(доступен только из внутренней сети). Естественно, фильтрующий.
Просто у нас на контентных фильтрах в свое время кто-то хорошо поднялся. ФИЛЬТР был обязательным. Потом уже дали свободу выбора и появился проси.
Вы изобрели велосипед, к тому же кривой.
Скайднс, для школ бесплатен няп.
Решение не взлетело из-за пропусков неразрешенных запросов к поисковикам (пропустило запрос - как сделать бомбу).
ППКС
З.Ы.
Жму вашу мужественную руку, сам когда-то давно работал в образовании, лише серпентарий наверно только в театре. Белые списки,- это то что нам всем нужно, остальное фуфел.
Все это уже раньше проходили.
Ни что не ново под Луной.)))
Решается элементарно просто. В планировщик заданий добавить ежедневный (лучше - ночью) автоматический запуск обновления от имени пользователя, имеющего права локального администратора. Лучше для таких целей использовать специально созданную учётную запись, не принадлежащую конкретному человеку.
Права локальных администраторов пользователям даже на своих компьютерах не давать! Исключения - только для особо избранных, для специальных надобностей.
Там шутка в том, что обновляльщик это - сторонняя софтина. Запускать неизвестное от имени админа крайне плохая затея особливо на серваке. А товарищи из конса не хотят переписывать свой софт под новые системы.
Да ну? У вас точно не левый конс?
Вот так у нас.
Страницы