Вирусы-шифровальщики

03.08.16

Администрирование - Информационная безопасность

+39
>
  • Объект групповой политики
  • ФайлДоПослеШифрования
В последнее время набирает популярность разновидность таких вирусов, как шифровальщики. Очень часто объектами шифрования становятся и файлы баз 1С. Надеюсь эта краткая инструкция для ваших сотрудников поможет не допустить необратимого шифрования ваших файлов.

Небольшое лирическое отступление

Статья потихоньку превращается в своего рода «Курс молодого бойца» по борьбе с такой напастью, как «Вирусы-шифровальщики». Статья не преследует целей рекламы каких бы то ни было продуктов. Не утверждает, что описанные в статье методы являются 100% гарантией защиты. Все решения по настройке ОС, выборе антивирусного ПО - целиком и полностью зависит только от вас!

Принцип действия

В большинстве случаев вирус приходит по электронной почте в виде вложения от незнакомого вам человека, или же от имени банка или другой крупной организации, имя которой вам уже скорее всего известно. Письма эти приходят с заголовком вида: «Акт-сверки…», «Карточка предприятия…», «Ваша задолженность перед банком…», «Проверка регистрационных данных» и прочее. В письме содержатся вложения с документами, якобы подтверждающими факт, указанный в заголовке письма. При открытии этого вложения происходит моментальный запуск вируса-шифровальщика, который незаметно зашифрует все ваши документы, видео, изображения на всех дисках и восстановить их уже будет невозможно. Увидеть это будет легко - все файлы, которые имели до этого значки, станут с иконками неизвестного типа файлов.

Пример файла до и после работы вируса-шифровальщика 

Рис. 1. Пример файла до и после работы вируса-шифровальщика

Как определить?

Вложения этих писем чаще всего бывают в архивах .zip, .rar, .7z, .cab (в настройках многих антивирусов по умолчанию отключена проверка архивов). И уже внутри этих архивов находятся на первый взгляд безобидные документы.

Если в настройках системы отключена функция отображения расширения файлов, то вы увидите лишь файлы вида «Документ.doc» или «Акт.xls» или что-то подобное. Если же включить отображение расширения файлов, то сразу будет видно, что на самом деле это не документы, а исполняемые программы или скрипты, так как имена файлов будут немного другого вида, например, «Документ.doc.exe» или «Акт.xls.js». При открытии таких файлов происходит не открытие документа, а запуск вируса-шифровальщика.

Краткий список «опасных» расширений файлов – т.е. если вы достоверно точно не знаете, что вам прислали, то вероятнее всего за ним спрятан вирус-шифровальщик: .exe, .com, .js, .wbs, .hta, .bat, .cmd

Для того, чтобы включить отображение расширений файлов, необходимо…

… если у вас Windows 8/Windows 8.1

Наверху открытого окна перейти на вкладку «Вид» и установить галочку напротив «Расширения имен файлов»

… если у вас Windows 7

На клавиатуре нажать левый Alt. Наверху появится главное меню. В нем открыть меню «Сервис – Параметры папок». В открывшемся окне перейти на вкладку «Вид». В списке дополнительных параметров почти в самом низу снять галочку напротив «Скрывать расширения для зарегистрированных типов файлов».

… если у вас Windows XP

Все аналогично Windows 7 за исключением нажатия кнопки Alt для вызова главного меню. Оно обычно всегда отображается в Windows XP.

Как не допустить заражения

Конечно же никогда не открывать вложения в письмах от незнакомых вам людей. Всегда можно уточнить, ответив на письмо, кто он (отправитель) такой, и откуда он узнал адрес вашей электронной почты.

Если же желание открыть вложения у вас не убавилось – обязательно проверьте расширения вложенных файлов. Если они заканчиваются на указанные выше «опасные» расширения файлов – ни в коем случае не открывайте их. Проше попросить отправителя выслать файлы в другом формате. Помните, в большинстве случаев отправитель даже не подозревает, что от его имени отправлялись файлы вируса-шифровальщика, и скорее всего он ответит вам, что ничего вам не отправлял и знать вас – не знает.

Более-менее адекватное антивирусное ПО, которое ловит эти вирусы-шифровальщики, это, пожалуй, Kaspersky Internet Security. Список антивирусов, известных мне, которые точно не прошли проверки и не заблокировали этот вирус - это Avast! и Microsoft Endpoint Protection.

В любом случае 100% защиты от антивируса ждать не стоит. Так как живут вирусы 2-3 дня, и после добавления их в базу антивирусов, код их переписывается.

update 28.04.2015: Так же есть технология теневого копирования в ОС Windows 7, которая позволяет откатить файл до рабочего состояния. Вопрос только в размерах вашего жесткого диска и свободного места на нем.

update 21.08.2015: Недавно столкнулся с очередным "заражением" - файлы пользователя были зашифрованы. Сценарий - полностью идентичен. В архиве находился сценарий под видом документа Excel. Мы пойдем другим путем, решил я, и открыл оснастку Управления групповой политикой в домене (сразу уточню - я программист, системное администрирование - побочный род деятельности, поэтому реализовал задачу как смог).

Актуально для сети с использованием домена Active DirectoryПерехожу в объекты групповой политики и создаю новый объект "Запрет выполнения скриптов". Перехожу в конфигурацию пользователя - Настройки - Параметры панели управления - Параметры папок.

Добавляю 3 объекта для расширений hta, js, vbs с сопоставлением notepad.exe. Назначаю нужным группам пользователей созданный объект групповой политики. После перезагрузки все скрипты по умолчанию открываются через Блокнот и, как следствите, кроме недопонимания пользователя, не вызывают никаких других непоправимых последствий.

update 04.02.2016: Сегодня случилось очередное ЧП локального формата. Менеджеру по продажам пришло письмо с манящим заголовком Карточка предприятия с одноименным архивом .rar во вложении. И даже несмотря на то, что никаких карточек ни от какого клиента он не ждал - архив открыл. И увидев внутри Карточка предприятия.exe - не задумываясь его запустил... Встроенный в ОС Защитник Windows видимо не ожидал такой наглости злоумышленников и... спокойно пропустил запуск .exe файла из этого архива. Результат само собой на лицо - все файлы пользователя оказались зараженными.

Ограничивать политиками список разрешенных программ конечно дело неблагодарное, поэтому решил пойти другим путем... Возможно для многих будет приятной неожиданностью, но Касперский выпустил наконец бесплатную версию антивируса, с сильно урезанным функционалом... но и оставшегося хватает для большинства рабочих мест. Вот как-раз его и удалось протестировать на клиенте. Само собой расшифровать зашифрованное никакому продукту не по силам, интересен был лишь факт блокировки шифровальщика (по моему скромному опыту - Avast! с этой задачей не справляется, может что-то изменилось уже - но доверия к этому антивирусу уже нет).

Итак, после установки и запуска без изменения настроек Kaspersky Free - вообще никак не отреагировал на запуск .exe файла вируса-шифровальщика, что конечно-же обескуражило - надежды не оправдались :( Однако, решил поиграться с настройками и, только после того, как выставил высокий уровень защиты для файлового антивируса, добился желаемого результата - файл с вирусом-шифровальщиком был заблокирован в момент запуска!

Насколько надежна далее будет эта версия антивируса от Касперского - покажет конечно же время.

вирусы шифровальщики инструкция

+39

См. также

AUTO VPN (portable)

Информационная безопасность Платные (руб)

Автоматизация подключения пользователей к удаленному рабочему месту или сети посредством создания автоматического VPN (L2TP или L2TP/IPSEC и т.д.) подключения без ввода настроек пользователем (с возможностью скрытия этих настроек от пользователя). Программа автоматически выполняет подключение к VPN серверу и после успешного коннекта , если необходимо, подключение к серверу удаленных рабочих столов (RDP).

1200 руб.

24.03.2020    14464    22    32    

33

Настройка аутентификации в 1С с использованием стандарта RFC 7519 (JWT)

Информационная безопасность Платформа 1С v8.3 Бесплатно (free)

Рассмотрим в статье более подробную и последовательную настройку аутентификации в 1С с использованием распространенной технологии JWT, которая пришла в программу в платформе версии 8.3.21.1302.

27.02.2024    3020    PROSTO-1C    9    

31

Device flow аутентификация, или туда и обратно

Информационная безопасность Платформа 1С v8.3 Абонемент ($m)

Интеграционные решения стали неотъемлемой частью нашей жизни. Правилом хорошего тона в современных приложениях является не давать интегратору доступ к чувствительным данным. Device flow позволяет аутентифицировать пользователя, не показывая приложению чувствительные данные (например: логин и пароль)<br> Рассмотрим Device flow аутентификацию, в приложении, на примере OpenID провайдера Yandex.

1 стартмани

27.10.2023    1700    platonov.e    1    

23

Установка 1С:Сервера взаимодействия. Заметки на полях

Информационная безопасность Платформа 1С v8.3 Конфигурации 1cv8 Бесплатно (free)

Нюансы установки 1С:Сервера взаимодействия в рабочем контуре

11.10.2023    3327    capitan    8    

45

Анализатор безопасности базы сервера 1С

Информационная безопасность Платформа 1С v8.3 Конфигурации 1cv8 Россия Абонемент ($m)

Продукты на основе решений 1С уверенной поступью захватывают рынок учётных систем в стране. Широкое распространение программ всегда порождает большой интерес к ним со стороны злоумышленников, а пользователь 1С это одна из дверей в защищённый информационный контур предприятия. Обработка позволяет быстро и комплексно оценить настройки безопасности конкретной базы и возможности пользователя этой базы на сервере. Также можно оценить некоторые аспекты сетевой безопасности предприятия со стороны сервера 1С.

5 стартмани

24.04.2023    5542    17    soulner    7    

29

Двухфакторная аутентификация в 1С через Telegram и Email

Информационная безопасность Платформа 1С v8.3 1С:ERP Управление предприятием 2 Абонемент ($m)

1С, начиная с версии платформы 8.3.21, добавили в систему возможность двойной аутентификации. Как это работает: в пользователе информационной базы появилось свойство «Аутентификация токеном доступа» (АутентификацияТокеномДоступа во встроенном языке), если установить этот признак и осуществить ряд манипуляций на встроенном языке, то появляется возможность при аутентификации отправлять HTTP запросы, которые и реализуют этот самый второй фактор. Данное расширение позволяет организовать двухфакторную аутентификацию с помощью электронной почты или мессенджера Telegram.

2 стартмани

08.12.2022    6075    33    Silenser    12    

23

Временная блокировка работы пользователя (Alt+L)

Информационная безопасность Пароли Платформа 1С v8.3 Управляемые формы Конфигурации 1cv8 Бесплатно (free)

Расширение для параноиков.

22.11.2022    3790    102    ixijixi    12    

18

История одного взлома или проверьте вашу систему на безопасность

Информационная безопасность Платформа 1С v8.3 Конфигурации 1cv8 Бесплатно (free)

От клиента клиенту, от одной системы к другой, мы вновь и вновь встречаем одни и те же проблемы и дыры в безопасности. На конференции Infostart Event 2021 Post-Apocalypse Виталий Онянов рассказал о базовых принципах безопасности информационных систем и представил чек-лист, с помощью которого вы сможете проверить свою систему на уязвимость.

26.10.2022    9384    Tavalik    46    

113
Комментарии
Подписаться на ответы Инфостарт бот Сортировка: Древо развёрнутое
Свернуть все
97. ЮлияМ 16.05.16 08:39 Сейчас в теме
Каспер пропустил da_vinci_code.. Зашифровал базы 1С 8.2. Архивов не делали.. Кто-то может сталкивался с таким шифровальщиком и есть лекарство??? Что делать?
+
98. insurgut 207 16.05.16 12:27 Сейчас в теме
(97) ЮлияМ, можно только предупредить, последствия "вылечить" можно только заплатив злоумышленникам (ни в коем случае не призываю к этому, но если вариантов нет - это единственная надежда). Вероятность того, что после оплаты они вышлют дешифратор, который к тому же отработает (часто на больших файлах они у них не работают) - примерно 50 на 50.
+
99. 65lora65 16.05.16 12:58 Сейчас в теме
(98) Добрый день! У меня такая же проблема, зашифровались базы 1 с. Так надежды никакой нет?
+
100. 65lora65 16.05.16 13:07 Сейчас в теме
(97) ЮлияМ, добрый день! Есть какие-то продвижения по расшифровке? У нас такая же ситуация по зашифровке 1С. Прибываю в шоке 2ой месяц, никто нечего не может сделать. Даже в МВД писали жалобу на кибер атаку, на что они нам ответили, что не могут нечего сделать.
+
101. Casavatar 08.06.16 22:04 Сейчас в теме
У нас 120 подведомственных учреждений, за последний год в 5-6 учреждениях данные были зашифрованы, на всех компах стоял каспер, который удалял шифровальщика после того как он сделал свое дело. Настроен каспер был практически по умолчанию (руки таким настройщикам хочется обломать), единственная действенная функция антивируса "проактивка" отключена. На сигнатурный анализ советую вообще не полагаться. Дома жене настроил srp и ограниченного пользователя, никаких неудобств, все ПО нужное установлено, при необходимости несложно провести манипуляции с временным отключением политик. На работе всем без исключения SRP, офисным работникам кроме браузера и офиса ниче не нужно. На сервере по расписанию бэкап общедоступных папок. Сам работаю на линухе и иногда в винде.
+
102. Alex3y 03.07.16 16:52 Сейчас в теме
Хорошие новости! Создатели вируса-шифровальщика TeslaCrypt принесли свои извинения, закрыли проект и выпустили универсальный мастер ключ с помощю которого можно расшифровать ранее инфицированные TeslaCrypt файлы с расширением .xxx, .ttt, .micro, .mp3, а также зашифрованные файлы без расширения.
http://itsecurity-ru.com/news/teslacrypt-closed
+
103. пользователь 12.07.16 23:12
Сообщение было скрыто модератором.
...
104. insurgut 207 13.07.16 05:41 Сейчас в теме
(103) spheros, а что по вашему мнению в нем толкового? Посмотреть как выглядит сообщение "вы попались" выведенное в одновременно и в браузере и в пэинте? Ни мер защиты, ни способов "лечения" в нем само собой нет.
+
105. пользователь 02.08.16 21:22
Сообщение было скрыто модератором.
...
106. insurgut 207 03.08.16 11:25 Сейчас в теме
(105) spheros, в принципе все рекомендации написаны мною в этой статье еще за пол года до выхода вышеуказанного видео. В самом видео ничего нового, познавательного или интересного нет - 7 минут по теме, затем реклама антивируса. Ответ на вопрос "почему пользователь запускает неизвестные файлы? да потому что он не видит их расширений!" - увы, некорректен. Неопытный пользователь, даже если включить ему отображение расширений, все равно может запустить эти файлы. Ответом тут может быть только "низкий уровень компьютерной графики, азы которой люди получают в школе".
+
110. CnupT 69 07.08.16 06:52 Сейчас в теме
В последних версиях программ резервного копирования появилась возможность изменять расширение backup'a.
Все шифровальщики работают по единой схеме: получают список файлов *.doc, *.xls - шифруют их.
Потом *.jpg, *.bmp - и опять шифруют их.
Далее уже идут *.1cd, *.dt, *.cf, *.rar, *.zip и т.п. (очередность выбирается таким образом, чтобы нанести максимальный вред пока не поймали)

Т.е. достаточно изменить расширение файлов с *.dt на *.td чтобы шифровальщик их уже не нашел.
Безусловно, это ни разу не панацея, но все же возможно этот совет будет кому-то полезным:)
forseil; +1
112. insurgut 207 07.08.16 15:38 Сейчас в теме
(110) CnupT, так же делаю - на архивы расширение txt ставлю просто. Этот формат им не интересен :) Впрочем можно и js и exe. Еще лучше dll.
+
111. babikov 07.08.16 06:59 Сейчас в теме
Лекарство номер один это бекап и еще раз бекап, ну а если ваша база зашифрована сами с ней вы ничего не сделайте. Тут вариант один или платить злоумышленнику либо плакать.
+
113. insurgut 207 07.08.16 15:40 Сейчас в теме
(111) babikov, многие делают бэкапы... на диск D например. Шифровальшик с успехом все бэкапы зашифрует в этом случае. Хорошо то, что шифровальщики по локальной сети в поисках расшаренных ресурсов пока не шустрят.
+
114. Sadtorg 10.08.16 09:47 Сейчас в теме
(113) хочу вас "обрадовать". Шустрят и еще как.
Конечно, до самостоятельной навигации они дошли, но вот если на локальном зараженном ПК подключен сетевой диск, то там также "благополучно" будет зашифровано, как и на локальных дисках. Был печальный опыт. Заменили все сетевые диски на ярлыки к "шарам". Ждем очередной эпидемии... =))
+
115. denklu 07.11.16 17:39 Сейчас в теме
(114) Sadtorg, "Заменили все сетевые диски на ярлыки к "шарам"".
da_vinci_code прекрасно заглядывает во все ярлыки к "шарам" на рабочем столе. Проверено. :(
+
116. пользователь 13.12.17 13:27
Сообщение было скрыто модератором.
...
117. пользователь 13.12.17 13:37
Сообщение было скрыто модератором.
...
118. ELITE83 02.03.18 11:06 Сейчас в теме
на сегодня 99% видусов являются JS

защитится не сложно: (пошагово для домохозяек)
1) включаете отображение расширения файлов
2) создаете новый текстовый документ
3) нажимаете "переименовать" и в конце пишите .js, соглашаетесь с предупреждением о изменении расширения
4) щелкаете по нему правой кнопкой мышки - открыть с помощью и из иписка выбираете блокнот например и ставите галочка "запомнить выбор"

ГОТОВО - теперь если вам придет js вирус и вы его нажмете - то вместо запуска вируса, откроется блокнот с его внутрянкой.... :) профит, заражения НЕТ
+
119. пользователь 20.04.18 13:07
Сообщение было скрыто модератором.
...
Оставьте свое сообщение