Перед самым Новым годом в компании, где я работаю системным администратором случилось то, во что я не верил вопреки большому количеству статей и описаниям реальных случаев из жизни - в гости таки зашел вирус-шифровальщик. По информации про разные вирусы "Петя" и "Не-Петя" все нужные действия были проведены, так что была некая уверенность в том, что "враг не пройдет" - так вот оказалось не всё так радужно и спокойно.
 |
| Картинка для привлечения внимания |
Начиналось всё достаточно необычно - спокойный рабочий день в декабре, конец года, всё тихо и спокойно, как вдруг на рабочем столе появляется сообщение корпоративного антивируса: "С сервера ххх обнаружена подозрительно высокая сетевая активность, он отключен на 600 секунд" - стандартная политика в таких случаях. Сразу возникает мысль: какая такая повышенная сетевая активность с далеко не самого основного сервера - нечему там быть настолько активным. Так как сервер виртуальный - подключиться получилось только через гипервизор, после чего удивление стало сильнее - в системе активен пользователь "Администратор", причем очень даже активен - если завершить его работу, через минуту он снова возвращается с той же степенью активности, основная часть активности - процесс AOL.exe. От локального администатора на серверах ничего не запускается, т.е. некий вирус таки пришел в гости. Антивирусное сканирование сервера довольно быстро прибило зловреда, быстрое сканирование показало, что больше угроз нет, после чего пришло время разбираться, что и где пострадало, а за те максимум 10-15 минут, что зловред успел хулиганить пострадало довольно много. В общем случае - вместо файла например, file.txt появляется файл file.txt.{Benjamin_Jack2811@aol.com}AOL с зашифрованным содержимым, в каждой папке с зашифрованными файлами появляется файл how_to_back_files.html со следующим содержимым:
 |
| Весёлая картинка |
Как говорится, вечер перестал быть томным. При быстром анализе серверов обнаружено еще 4 сервера, на которых шифровальщик уже успел порезвиться, к счастью - ни файлы, ни рабочие базы данных не пострадали, шифровались в основном файлы в профиле пользователя Администратор и файлы на несистемных дисках.
Все пострадавшие сервера были успешно развернуты из резервных копий по состоянию на предыдущую ночь, по итогам были еще сильнее закручены гайки с безопасностью - отключено подключение по удаленным рабочим столам с пробросом портов - только через VPN, ужесточена политика безопасности и политика паролей, написана информация для пользователей не открывать всё подряд из почты. Кроме того - в очередной раз проверена реализация резервного копирования.
Что особенно приятно - на работу компании атака шифровальщика не повлияла никак, простоев и потери данных не было совсем, возможно, было некоторое подтормаживание работы сети на время восстановления из резервной копии неосновных серверов.
0 коммент. :
Отправить комментарий