Заметки IT Менеджера

16.05.2013

.STOP или осторожно, взлом!


За последнюю неделю в Украине и России была зафиксирована череда случаев, когда компании обнаруживали зашифрованными свои данные на серверах. В основном, базы 1С. Как результат, файлы баз зашифрованы и лежат с расширением .STOP
В большинстве случаев взлом происходил по следующему сценарию:
Есть сервер, на который пользователи ходят удаленно через RDP. Этот сервер открыт снаружи для подключения.
Злоумышленники с помощью скриптов находят такие сервера, а затем, с помощью скрипта же, подбирают логин и пароль к нему.
После подбора пароля, туда происходит проникновение, причем скорее всего лично, злоумышленником локализуются важные файлы, скачивается программа криптования и данные шифруются с использованием ключа, не имеющего отношение к компу, т.е. случайного.
Скорее всего с использованием алгоритма Blowfish и данные стираются.
Затем пострадавший получает письмо в котором ему предлагается решить проблему за “скромную” сумму и даже рекомендации “как этого избежать в дальнейшем”, было что-то около 3000 грн. или аналогично в рублях. Оплата через систему Qiwi
Даже если вы вынуждены заплатить, обратитесь в Управление по борьбе с киберпреступностью или ФСБ России. Это даст шанс поймать злоумышленников.

Вот примерное содержание письма:

Здравствуйте!
Доносим до Вас не самую приятную новость, ваш компьютер был атакован опаснейшим вирусом.
Вся ваша информация (документы, базы данных, бэкапы и другие файлы) на этом компьютере была зашифрована с помощью самых криптостойких алгоритмов.
Все зашифрованные файлы имеют формат .STOP
Восстановить файлы можно только при помощи дешифратора и пароля, который, в свою очередь, знаем только мы.
Подобрать его невозможно. Переустановка ОС ничего не изменит.
Ни один системный администратор в мире не решит эту проблему не зная пароля.
Ни в коем случае не изменяйте файлы! А если решились, то сделайте резервные копии.
Напишите нам письмо на адрес razshifrovka@gmail.com (если в течение суток вам не ответят то на razshifrovka@tormail.org) для получения дальнейших инструкций.
Папка C:\Program Files\Internet Explorer не зашифрована, там вы сможете запустить браузер.
Среднее время ответа специалиста 1-12 часов.
К письму прикрепите файл «РАСШИФРОВКА.TXT».
Письма с угрозами ни к чему хорошему вас не приведут.
НЕ ЗАБУДЬТЕ: только МЫ можем расшифровать Ваши файлы!

Могут использоваться адреса: razshifrovka@hotmail.com

Как это предотвратить?
Почитать Защищаем и оптимизируем RDP
1. Переименовать административный аккаунт, создать аналогичный и заблокировать его
2. Включить повышенные требования к паролю в GP и сделать обязательной его регулярную замену
3. В зависимости от степени параноидальности включить или блокировку учетных записей после 5-й попытки наглухо или, как вариант, ограничить тремя попытками, после чего блокировать аккаунт на 1 минуту. И от брутфорса защитит и пользователям жить даст.
4. Настроить автоматическое уведомление администратора (Оперативный контроль аккаунтов пользователей и компьютеров в Active Directory)
5. Публиковать RDP через RDG, по крайней мере, не будет никакого порта кроме 443
6. Еще лучше затем это публиковать через ISA/TMG/UAG
7. Ограничить тех людей, которые могут подключаться удаленно необходимым минимумом
8. Ограничить возможное время удаленного подключения (мало кому нужен доступ ночью или на выходных)
9. Если у вас это еще не так, то переименовать все аккаунты с простыми логинами типа admin1, user2, sveta и т.д.
10. У каждого пользователя свой логин и свой, только ему известный пароль! Никаких ролевых логинов!
11. С помощью технологии RemoteApp или, хотя бы, политик и скриптов давать пользователю только запускать приложение и не давать рабочий стол!
12. Разделить сервер 1С и сервер Remote Desktop
13. Никаких админовских прав у пользователей, включая руководство и разработчиков
14. База 1С должна лежать на SQL, который находится на отдельном сервере.
15. На сервере интернет должен быть отключен, ну кроме доступа к Microsoft.

Самое главное, проследите, что у вас грамотный админ, вы ему нормально платите и прислушиваетесь к его рекомендациям.

Есть существенная вероятность того, что атаки могут происходить (а скорее всего часть и происходила) изнутри, при соблюденной части вышеприведенных мер безопасности. Для этого достаточно того, чтобы внутри периметра оказался компьютер, находящийся под внешним контролем. Т.е. или принесенный из дому, или под удаленным управлением снаружи. Мое мнение таково, любые средства удаленного управления, которые доступны пользователю, должны быть запрещены как технически, так и организационно.

Реклама

1 комментарий »

  1. Say, you got a nice article.Thanks Again. Really Great. http://ylj35dmz.tumblr.com/ — Lavalle

    комментарий от Petrinaron — 02.07.2017 @ 10:04 | Ответить


RSS feed for comments on this post. TrackBack URI

Добавить комментарий

Заполните поля или щелкните по значку, чтобы оставить свой комментарий:

Логотип WordPress.com

Для комментария используется ваша учётная запись WordPress.com. Выход / Изменить )

Фотография Twitter

Для комментария используется ваша учётная запись Twitter. Выход / Изменить )

Фотография Facebook

Для комментария используется ваша учётная запись Facebook. Выход / Изменить )

Google+ photo

Для комментария используется ваша учётная запись Google+. Выход / Изменить )

Connecting to %s

Блог на WordPress.com.

%d такие блоггеры, как: