Encoder у клиентов…

29.10.2015

Одна из самых неприятных современных тенденций в IT – широкое распространение вредоносных программ-шифровальщиков. При проникновении в систему эти программы  изменяют данные пользователя таким образом, что открыть зашифрованный файл без предварительной дешифровки невозможно. Как правило, такие программы рано или поздно дают о себе знать напрямую – выводя пользователю сообщение о том, что данные зашифрованы, и для их восстановления нужен ключ, который можно получить, только заплатив деньги авторам вредоносной программы (их контакты обычно прилагаются). Раньше мы уже описывали подобные угрозы (см. статью Зашифрованные файлы. Проблема и методы решения), а сегодня расскажем о печальном опыте одного из наших клиентов.

В один прекрасный день офис-менеджер (назовем его Вова), придя на работу, обнаружил письмо от одного из контрагентов организации. Контрагент существующий, отправитель известный. В письме он сообщает о расхождении в бухгалтерских ведомостях, ссылаясь на приложенный к письму документ. Владимир открыл этот документ, ничего для себя интересного не нашел и, как это принято в организации, письмо было перенаправлено курирующему подобные вопросы менеджеру (пусть это будет Дима).
encoder
Дмитрий также открыл документ, прочел, ничего интересного не нашел.

Через некоторое время Вова отметил некоторую заторможенность в работе компьютера. Все стало открываться медленно, а система начала вести себя странно.

Дима же работал в терминальном режиме на сервере (и письмо было открыто там же), как и Владимир, вскоре он заметил, что что-то изменилось…

Спустя короткое время все пользователи терминального сервера отметили невозможность открыть документы с расширениями *.doc(x), *.xls(x), а также файлы некоторых других офисных форматов… Вова на своей станции тоже потерял возможность работать с ними.

Внимательный читатель, наверное, уже догадался, что сотрудники стали жертвой очередного шифровальщика. Что же именно произошло?

Правильно, пользователи открыли вложение из письма. В нем был обычный офисный документ в формате *.doc, но со специальным vba-скриптом, который незаметно подключался к серверу злоумышленников и закачивал программу-шифровальщик на ПК жертвы.

Почему так случилось?

  1. Письмо пришло из доверенного источника. Позже выяснилось, что ресурсы этого источника были взломаны аналогичным образом, но днем ранее. Прослеживать далее «порочную» цепь мы не стали
  2. Отсутствовал антивирус на файловом сервере. Но это не помешало шифровальщику «отработать» на ПК офис-менеджера с установленным и актуальным антивирусом. Просто на момент проникновения угроза отсутствовала в вирусных базах
  3. Никто ничего не заподозрил даже после открытия документа – в нем действительно содержалась близкая к теме письма текстовая информация.

Поскольку никаких резервных копий ни у кого не было – пришлось выкупать дешифровщик у злоумышленников. Процесс не самый быстрый и не самый приятный… Если кому-то интересны подробности – пишите нам на почту info@itssupport.ru, опубликуем по этому поводу отдельную статью.

 

Итак, сегодня мы узнали много нового. Вот что было сделано нами по итогам инцидента:

  1. Организована система резервного копирования. По всем правилам, с проверкой корректности восстановления, на дополнительных устройствах.
  2. Пользователям на терминальном сервере урезаны права. Теперь они имеют доступ на запись только к своим каталогам и к одному из публичных.
  3. Проведена беседа с пользователями о вреде открытия вложений из подозрительных (и не очень) писем.

Учитесь на чужих ошибках! Организуйте резервное копирование, ограничьте права пользователей до необходимого минимума, установите современный антивирус (хоть он и не панацея, но риски снизит существенно).