Собственно у нас приемка уже раза три хватала шифровальщика, гады используют социальную инженерию. Приходит на мыло или в скайп сообщение в стиле: банк такой-то, нач отдела кредитования, вы выслали некорректные копии документов, срочно просмотрите исправьте и вышлите обратно нам. Секретарша открывает и привет. И так три раза. Так даже нач. по экономике поймали, поэтому на этот раз нас здорово всполошило. Все полезли обновляться и патчить, что навредило не меньше чем "желание поплакаться". Не все после обновлений взлетели, некоторых застопорило на два дня, у некоторых слетела операционка. Вот тебе и ваннакрай)))
...я маленькая программа
мне хочется плакать
мне хочется смеяться...
https://ru.wikipedia.org/wiki/WannaCry
https://habrahabr.ru/company/tssolution/blog/328658/
алеж плакальщика пока не поймал никто.
так нас скоро на пингвина пересадят)))
Меня всегда доставляли пользователи, которые хотели видеть файлы по-микрософтофски (без расширений)...
И эта полезная программы отучит этих поклонников злого(потому как ОСь - Злая) интерфейсу зырить по-злому...
Меня всегда доставляли пользователи, которые хотели видеть файлы по-микрософтофски (без расширений).Вы всерьез думаете, что включив отображение расширений файлов рядовые юзеры будут обращать на это внимание ? :-))
Меня всегда доставляли пользователи, которые хотели видеть файлы по-микрософтофски (без расширений)...Не в пользователях дело, а в тупорылых сисадминах, устраивающихся по завязкам на работу и не умеющих обеспечить элементарную компьютерную безопасность и настроить почтовые клиенты должным образом.И эта полезная программы отучит этих поклонников злого(потому как ОСь - Злая) интерфейсу зырить по-злому...
а в тупорылых сисадминах, устраивающихся по завязкам на работу
Но посторонних брать не хотят, якобы у фирмы "секреты"... Нам говорят, кто-то свой, по знакомству нужен... Платить нормально нужно и нормально относиться, не по проинципу " я начальник, ты дурак", "мы тут технику подешевле купили, сделай что-нибудь"...
HowkПохоже "гады" этот как раз те кто ведётся и кто отвечает за ИБ в данном учреждении. А может просто неучи.
гады используют социальную инженерию.
HowkIQ вашей секретарши наверное только на чай хватает приготовить... Увольняйте её нахрен.
Секретарша открывает и привет. И так три раза.
HowkТ.е. до этого ничего не обновлялось и не патчилось? Молодцы!
Все полезли обновляться и патчить
Нужно премию этим хакерам дать, за то что они за сущие копейки решили всерьёз взяться за массовое сознание и отношение к ИБ. Надеюсь не последняя эпидемия и не последний урок для стада.
AhasverusНаивный человек, вы полагаете что видеть расширения вам чем-то поможет?
Меня всегда доставляли пользователи, которые хотели видеть файлы по-микрософтофски (без расширений)...
Делается все как всегда на отбибись то бишь. Через руки секретарей и бухгалтеров проходит много документации, поэтому послания с шифровальщиками теряются в общей массе, они ничем из нее не выделяются.
До этого угу. У меня обновление тоже было отключено. Периодически раз в год или около того централизованно заливались обновления и все.
HowkДолжно через мозги проходить. Иначе таких людей нужно увольнять.
Через руки секретарей и бухгалтеров проходит много документации, поэтому послания с шифровальщиками теряются в общей массе, они ничем из нее не выделяются.
Дело не в вирусах. Они же всю инфу сольют абы-куда. И по любому поддельному письму сделку оформят. Они что, сумасшедшие?
TIR
IQ вашей секретарши наверное только на чай хватает приготовить... Увольняйте её нахрен.
...урок для стада
ну-ну.
Howk
Собственно у нас приемка уже раза три хватала шифровальщика, гады используют социальную инженерию. Приходит на мыло или в скайп сообщение в стиле: банк такой-то, нач отдела кредитования, вы выслали некорректные копии документов, срочно просмотрите исправьте и вышлите обратно нам. Секретарша открывает и привет. И так три раза.
Самое смешное что некоторые сисадмины получают в таких случаях премии.
Кречет-МНу можно ещё сисадмина уволить 😊 Считаете что уволить стоит ТОЛЬКО его? Возможно.
ну-ну.
Ок, начнём с секретарши. Что должна делать секретарша при получении вредоносного письма?
Допустим даже простой вариант, что это исполняемый файл приехал на почту.
Существуют разные фокусы, включая "БлаговидноеИмя.doc . . . . . . . . . . . . . . . . . .exe", чтобы было не особенно разумно полагаться на секретаршу - даже продвинутую.
А есть и сложные варианты, типа - https://xakep.ru/2017/04/10/ole2link-0day/
Где не только от секретарши вообще ничего не зависит, но и где не каждый сисадмин способен сообразить как защищаться - не говоря уж о том чтоб не полениться таковую защиту настроить, сохранив при этом систему в юзабельном состоянии.
TIR
Ну можно ещё сисадмина уволить
А смысл?..
Кречет-МНаверное не открывать его? Уведомить сисадмина о подозрительном письме, посмотреть адрес отправителя, позвонить отправителю. Не открывать же всё подряд.
Ок, начнём с секретарши. Что должна делать секретарша при получении вредоносного письма?
Кречет-МВредоносы распространяются именно в файлах .doc. В макросах. И исполняются автоматически при открытии файла при стандартных настройках.
Существуют разные фокусы, включая "БлаговидноеИмя.doc . . . . . . . . . . . . . . . . . .exe", чтобы было не особенно разумно полагаться на секретаршу - даже продвинутую.
Кречет-МТогда это не сисадмин. ИБ конторы - обязанность сисадмина.
но и где не каждый сисадмин способен сообразить как защищаться -
Он должен инструктировать персонал, настраивать права доступа, организовать DLP.
После первого такого инцидента я бы требовал работать с почтой только через вирт машины. Отключил бы макросы и т.д. Лично не сталкивался с задачей настройки безопасной корпоративной почты, но если уделить этому ХОТЯ БЫ один день. Или два дня - можно мама не горюй наставить хакерам преград.
Этого сделано сисадмином не было, а дура продолжала покорно открывать файлы, не созваниваясь с отправителем и зная что машина может полететь.
Возможно она ХОТЕЛА чтобы комп лёг и она отдохнула от работы? 😊
Кречет-МВзять эрудированного и не ленивого.
А смысл?..
Во первых макросы почти не используют. Используют имеенно подмену расширения. Во вторых макросы эти при стандартных настройках - отключены со времен 2007 офиса.
badydocПодмена расширения это школьный стиль. Ну батники и экзешники слать под видом ворда это же детский сад. Насколько я помню, уже много лет используются именно различные уязвимости, так что даже опытный пользователь не сможет обнаружить неладное. По той же ссылке ломается без макросов и без смены расширения, просто вкладывается вредоносный OLE-объект, на который достаточно случайно навести курсор. Та же история была и с мессенджерами. Не надо было скачивать какой-то экзешник и запускать его. Достаточно было просто открыть картинку или, хуже того, она загружалась сама для предпросмотра. Уж подробностей не помню, но времена когда бдительность могла уберечь ушли. Сейчас бьют именно по уязвимостям предусмотреть которые невозможно, часто достаточно просто пройти по ссылке чтобы подхватить малварь.
Во первых макросы почти не используют. Используют имеенно подмену расширения.
"Распространение различной малвари с помощью вредоносных файлов Office (чаще всего их роль играют документы Word) – это давно проверенная злоумышленниками тактика. Как правило, такие атаки включают в себя элемент социальной инженерии и используют макросы VBA в документе.
Теперь независимый эксперт Рубен Дэниел Додж (Ruben Daniel Dodge), а также специалисты компании SentinelOne, предупреждают о появлении новой техники атак, которая использует файлы PowerPoint и выглядит опаснее уже привычных уловок с макросами.
Исследователи сообщают, что вредоносные файлы распространяются через спамерские письма с темами вида RE:Purchase orders #69812 или Fwd:Confirmation. Внутри таких посланий можно обнаружить вложения с именами order&prsn.ppsx, order.ppsx и invoice.ppsx. Иногда файлы бывают запакованы в ZIP-архивы.
Файл вредоносной презентации содержит всего один слайд, и его можно увидеть на иллюстрации ниже. Надпись, которая также является ссылкой, гласит: «Загрузка… Пожалуйста, подождите».
Так как никакой загрузки, разумеется, не происходит, пользователь наверняка захочет если не кликнуть по ссылке, то хотя бы навести на нее курсор, а это спровоцирует попытку выполнения кода PowerShell."
Всего-лишь слайдик поверпоинтовский, казалось бы...
TIR
ИБ конторы - обязанность сисадмина. Он должен инструктировать персонал, настраивать права доступа, организовать DLP...
Лично не сталкивался с задачей настройки безопасной корпоративной почты, но если уделить этому ХОТЯ БЫ один день...
Взять эрудированного и не ленивого.
Вы наверное очень талантливый человек. Для меня то о чём вы пишете как об элементарном - довольно сложные задачи.
Взять хоть предложение нанять нового сисадмина...
Я наверное смог бы отфильтровать сисадминов-двоечников от сисадминов-хорошистов, но при этом не так уж уверен, что смогу отличить троечника от хорошиста или хорошиста от отличника. Причём это когда речь идет только о виндовых сисадминах - а это именно мой бэкграунд. С сисадминами иного профиля будет намного тяжелее.
Очевидно, что чем дальше человек от некоторой профессии - тем сложнее ему будет оценить соответствующего специалиста.
Как можно ожидать, что очередная гипотетическая попытка нанять сисадмина у данной организации - окажется более успешной, а не наоборот?
TIR
Наверное не открывать его? Уведомить сисадмина о подозрительном письме.
Это ответ на вопрос, что делать с подозрительными письмами, а не с вредоносными. 😊
И если на постоянной основе уведомлять сисадмина о мало-мальски подозрительных письмах - то я не позавидую такому админу.
А с вредоносным письмом проблема та, что оно может быть _не подозрительным_.
TIR
После первого такого инцидента я бы требовал работать с почтой только через вирт машины.
Очевидно что если мы рассматриваем вариант с уязвимостью в основных офисных программах - то в песочнице должна работать не только почта, но и сам офис.
Кроме того, с виртуальными машинами возникают как минимум следующие проблемы:
- им нужно больше аппаратных ресурсов
- возможно нужны дополнительные лицензии
- всю эту виртуальную кухню нужно настроить таким образом, чтобы пользователь мог открывать/редактировать в виртуалке различные файлы, в т.ч. с сетевых ресурсов, и при этом в случае атаки ущерб не вышел бы за пределы ВМ, и чтобы не только сисадмин мог разобраться как этим всем пользоваться.
Понятно что в теории всё можно решить, а практически издержки могут быть неприемлемыми.
Кречет-МСмотря в каком объеме их проработать 😛
Для меня то о чём вы пишете как об элементарном - довольно сложные задачи.
Можно ведь даже элементарным инструктажом и правилами ограничиться. Можно внедрить готовое проприетарное ПО для этих целей, можно в конце-концов КУПИТЬ услуги конторы занимающейся DLP или нанять ИБ-специалиста для аудита.
Путей много. Если есть желание работать то с задачей теоретически и кухарка справится. А в данном случае не заметно это желание. 3 раза затянуть вирус это уже слишком.
Кречет-МОчень просто. Если оганизация не способна нанимать хороших специалистов - значит у неё проблемы с кадровой политикой. А значит стоит банкротиться и идти по домам.
Как можно ожидать, что очередная гипотетическая попытка нанять сисадмина у данной организации - окажется более успешной, а не наоборот?
Кречет-МЗависит от штата, траффика, кол-ва подозрительных писем 😊 По-хорошему он должен был после 1-2 обращения придумать алгоритм для реагирования и наклеить секретарше на монитор.
если на постоянной основе уведомлять сисадмина о мало-мальски подозрительных письмах - то я не позавидую такому админу.
Кречет-МПохоже описан не тот случай когда зараза пришла от реальных деловых партнеров.
А с вредоносным письмом проблема та, что оно может быть _не подозрительным_.
HowkПо-моему тут явная соц. инженерия. А не случайное заражение деловой переписки.
банк такой-то, нач отдела кредитования, вы выслали некорректные копии документов, срочно просмотрите исправьте и вышлите обратно нам
Кречет-МСмотря каким 😊 Есть технологии напрямую обращающиеся к процессору и имеющие почти одинаковое быстродействие. Аппаратная поддержка вирт машин почти везде сейчас включается. Искать список лень. Тем более речь идёт о клиенте а не сервере, который почти всегда в простое.
- им нужно больше аппаратных ресурсов
Кречет-МВозможно и нет 😊
возможно нужны дополнительные лицензии
Кречет-МЭто задача сисадмина. Я думаю это не сложно реализовать. Обмен ВМ с реальной машиной и сетью - тривиальная задача.
всю эту виртуальную кухню нужно настроить таким образом, чтобы пользователь мог открывать/редактировать в виртуалке различные файлы, в т.ч. с сетевых ресурсов, и при этом в случае атаки ущерб не вышел бы за пределы ВМ
Кречет-МТри раза шифровать бухгалтерию - что ещё может быть хуже?
Понятно что в теории всё можно решить, а практически издержки могут быть неприемлемыми.
Путей много. Если есть желание работать то с задачей теоретически и кухарка справится.
...
Очень просто. Если оганизация не способна нанимать хороших специалистов - значит у неё проблемы с кадровой политикой. А значит стоит банкротиться и идти по домам.
...
Есть технологии напрямую обращающиеся к процессору и имеющие почти одинаковое быстродействие. Аппаратная поддержка вирт машин почти везде сейчас включается. Искать список лень.
...
Это задача сисадмина. Я думаю это не сложно реализовать. Обмен ВМ с реальной машиной и сетью - тривиальная задача.
Такое чувство, когда не очень понятно, троллят меня или нет...
😊
У ВМ нет аппаратной поддержки? ВМ машина не может обмениваться данными с реальной системой? Или вы не в курсе? В чём же троллинг?
Сисадмины занимаются ИБ факультативно, на них парк ПВМ оргтехники и корп железа, плюс специфиски софт. Инструктируют не открывать, регулярно через мессенджеры, но это не помогает, т.к. допустим секретарь на входящей документации в отдел может и не знать с какими банками по городу отдел имеет дело (только коммерчческих в городе несколько десятков штук), плюс областные центры-столицы. Тем более не в курсе с кем допустим рекламные агенты имеют дело. Обычно она или пересылает, или открывает печатает и приносит после того как зарегистрирует. Ну а тот кто шлет он не идиот, выглядит письмо правдоподобно, в массиве из порядка сотни не спама за день оно просто теряется.
Рекомендация "подозрительное не открывать" - она смешная. Ладно какой техник или ремонтник, у него постоянные каналы, поставщики деталей склад, начальство да и все. А у коммерсов постоянно все меняется, начальству и снабжению постоянно пургу шлют, то предложения, то вакансии то так взаимодействие. Отследи тут.
Сейчас вон вторая волна пошла -
Петя не вымогатель, Петя стиратель...
Очень приятно, Petya, точнее ExPetr!
Здесь был не Петя?
У вас все еще есть данные?
Тогда мы идем к Вам! )))
TIR
У ВМ нет аппаратной поддержки? ВМ машина не может обмениваться данными с реальной системой? Или вы не в курсе? В чём же троллинг?
Ну то есть оперативная память у нас настолько бесплатная, что мы про неё даже и не вспоминаем на фоне VT-x? Really?
И сделать "Обмен ВМ с реальной машиной и сетью" - это прямо настолько "тривиальная задача"(с), что вот прям никаких пояснений не требуется, каким тривиальным способом мы откроем доступ виртуалке в сеть - и при этом защитим сеть от запущенного в виртуалке вредоносного ПО?
(не говоря уж про другие сценарии типа "документ на флешке" и про юзабилити и поддержку всего этого балагана.)
В общем, лучше бы это был троллинг, потому что сейчас это выглядит как Даннинг-Крюгер эффект у одного из нас.
Howk
Очень приятно, Petya, точнее ExPetr!
Очень даже красивая штука - в плане использованных способов распространения.
P.S.
А в маркетинговом плане получилось не супер, небось выгоднее было б напрямую деньги/биткойны воровать 😊
P.P.S.
Что-то у меня не заработал под XP...
Кречет-МНе обновились вы вовремя. 😊 Я, после перехода в стан пингвинов, вообще забыл, что есть вирусы.
P.P.S. Что-то у меня не заработал под XP...
Я, после перехода в стан пингвинов, вообще забыл, что есть вирусы.Аналогично! Супруга, прочитав про все эти последние эпидерсии, плотоядно посматривает на мой линукс)))))) Ибо активно работает в инете.