пятница, 9 декабря 2016 г.

Осторожно: НОВЫЙ ВИРУС!

Библиотекарям и системным администраторам!
Здравствуйте, уважаемые коллеги!
Делаю репост очень важной информации, которую мы получили от нашей областной библиотеки им. М. Горького (Л. А. Ульевой, блог БиблиоПчелка)  

Нижеприведенный текст написан весьма грамотным и профессиональным человеком, П.Б. Ждановичем, системным администратором Волгоградской Горьковки и заслуживает внимания.
К сожалению, на "эти грабли" ряд учреждений уже "наступили".
Надеюсь, остальным данное письмо позволит избежать плачевных последствий и не стать жертвами мошенников. А системным администраторам таким образом организовать свою работу, чтобы можно было оперативно восстановить данные.
"Касается всех.
Особенно пользователей Windows. Вне зависимости от использования антивирусов.
В последнее время поднялась новая эпидемия «шифровальщиков». На мой взгляд, это самая серьезная угроза для пользователей сегодня.

Вкратце: вирус шифрует любые файлы, до которых может дотянуться, кроме системных. При этом операционная система остается работоспособной. Шифруются файлы на локальных дисках, сетевых дисках, съемных дисках. Имена файлов также шифруются. По окончании «работы» вирус оставляет жертве требование о выкупе и контактный e-mail. 

Дальнейшие контакты с хозяином вируса приводят к тому, что с жертвы требуют выкуп (сейчас около 30000 руб), который должен быть выплачен, используя средства анонимизации (сеть Tor или подобное). Однако очень велика вероятность (20-40%) что жертву «кинут», и ключ для расшифровки она не получит.
Лично я дважды за менее чем две недели лично наблюдал последствия этой атаки в разных местах.
В одном из случаев обращались в Лабораторию Касперского, которая 24.11.2016 ответила так:
_________________
***, здравствуйте!
Анализ предоставленных Вами файлов показал, что файлы зашифрованы модификацией Trojan-Ransom.Win32.Shade.
Данная модификация трояна использует обновлённые криптографически стойкие алгоритмы, расшифровка, к сожалению, пока не возможна.
[…]
Для защиты рабочих станций от шифровальщиков-вымогателей мы рекомендуем использовать:
Kaspersky Endpoint Security 10 SP1 (http://support.kaspersky.ru/kes10wks#downloads)
Обязательно с включенным модулем проактивной защиты - Мониторинг системы.
Если у Вас не осталось больше вопросов, данное обращение будет закрыто.
Спасибо и хорошего Вам дня!
_______________
Есть ли какой-то «волшебный» способ вернуть файлы?
Нет. Но вы найдете много предложений в Интернете. Они говорят: «у нас свои способы». Так вот, чудес не бывает. Вам могут попытаться восстановить остатки старых файлов, которые остаются на диске после того, как вирус, шифруя их, создает на этом же диске новые файлы, а старые удаляет. Но восстановлено будет немного. Так получается, что чем позже был создан файл, который теперь удален, тем быстрее его место будет занято вновь создаваемыми файлами. Так что новые файлы, по моим наблюдениям, перезаписываются на диске первыми. Наверное, таким образом алгоритм записи на диск оптимизирован по быстродействию.

Как становятся жертвой шифровальщика?
Вирус передается почтовым путём. Во всяком случае, пока. Человек получает письмо, которое заставляет его испытать волнение, вследствие чего у него падает критичность, и он открывает ссылку или вложение, содержащееся в нём. Очень часто это служебное письмо. Вас пугают, что по решению суда такого-то от такого-то числа за вами числится недоимка по договору такому-то. Необходимо срочно устранить нарушение, на вас наложены штрафные санкции. Материалы дела находятся по этой ссылке. Подписано советником юстиции третьего ранга Пупкиным В.В. Или приходит заказанный вами (якобы) каталог косметики. На всякий род занятий существует свой вид социальной инженерии. Преподавателю, например, может прийти ссылка на выполненную курсовую или дипломную.
Дальше пользователь своими руками запускает процесс, открывая файл в архиве.
В будущем, я не сомневаюсь, появятся и другие способы доставки вредоносного кода.

Как предохраняться?
Первый и самый эффективный способ на все времена состоит из двух частей.
1. Регулярно копировать (архивировать) свои рабочие файлы на отчуждаемый носитель. Хранить носитель отдельно. Присоединять только для резервного копирования/восстановления. Существует много бесплатных утилит с открытым исходным кодом, которые делают процесс довольно легким и приятным.

2. Есть файлы, которые большие и которых много. Это фотки и видео из отпусков или с корпоративов. Резервные копии потребуют покупки еще одного внешнего жесткого диска. Это дорого. В таком случае заметим, что файлы эти мы не изменяем каждый день, а только смотрим/слушаем. То есть, читаем их. Каталоги с такими файлами нужно сделать доступными только для чтения, отобрать у самих себя право изменять эти файлы и каталоги. Отобрать у себя привилегию быть владельцем этих папок. Переписали фото с карты — оставили всем право только читать. Убрали «полный доступ» и «изменение/удаление». Вирус, запущенный вами, работает с вашими правами (если только не найдет дыру, не закрытую обновлениями. Он не сможет вносить изменения в каталоги, закрытые для записи. В Windows это возможно только в файловой системе NTFS. Форматируйте в ней даже ваши съемные носители (флэшки).

Второй принцип – работать ежедневно под учетной записью, не входящей в группу «администраторы». Этот, чисто гигиенический принцип массово нарушается. Учетную запись администратора использовать только для задач управления компьютером. Например, чтобы изменить владельца папок, защищенных от записи (см.выше).

Третье. Держать антивирус в актуальном состоянии. Я ставлю его на третье место, так как рано или поздно с ним что-то случается. Перестает обновляться, заканчивается лицензия и т. п. Девять из десяти раз он вас выручит. На десятый у вас слетит всё, что было спасено в предыдущие девять, если вы не выполнили два первых совета.

Четвертое. Включить службу теневого копирования файлов. Это уменьшит свободное место на диске и немного замедлит скорость. Но это очень эффективное средство. Не ставлю на первое и второе место, так как админу доступно всё. В том числе и отключение этой функции.
Если вам тяжело найти и собрать в кучу все файлы, которые нужно архивировать, если вам не хватает времени освоить управление правами на файлы и папки в NTFS, я вам подскажу: вирус находит их очень эффективно, шифрует быстро и ничего не пропускает.

В Интернете просто полно советов по этой части. В любом случае, я никогда не откажу в ответе тому, кто затрудняется.
Считайте это письмом счастья. Со слезами на глазах.
Репост и дополнения приветствуются. Но одним репостом свои файлы не сохранишь. Эпидемия идет с конца ноября."
Остается добавить: "Будьте бдительны!"

Для обычных пользователей:
1. Прежде чем открыть письмо, обратите внимание на адрес отправителя! Если адресат не известен, рекомендуется удалять такие письма.
Не переходите по ссылке, указанной в письме, не распаковывайте файлы и не запускайте вложения с расширением .exe.
Таких писем приходят десятки на все эл. адреса, в том числе и корпоративные.
2. Даже если Яндекс.Почта или сервер mail.ru пишет, что файл проверен и безопасен, письмо может быть инфицировано."

С уважением Ульева Людмила Александровна
Заместитель директора по маркетингу и автоматизации
Волгоградской областной универсальной научной 
библиотеки им. М. Горького
(8442) 33-20-23

14 комментариев:

  1. Спасибо! Я так боюсь этих вирусов. Мне на рабочий компьютер уже присылали вирус якобы из МВД, что мой компьютер заблокируют, т.к. я смотрю порносайты (когда это педагогические и библиотечные блоги стали порносайтами?). Я должна заплатить 2 000 руб. Мне сказали, что это вирус и хорошо что я не нажала на это объявление.

    ОтветитьУдалить
    Ответы
    1. Ирина Михайловна, добрый вечер!
      Понимаю Вас. Мне недавно тоже повесили такой же баннер как и у Вас (МВД) на блог Библиокомпас, компьютер блокировался, приходилось принудительно выключать, а потом второй раз когда заходила через другой браузер - ничего не было. Читатели приходили жаловались, не могли попасть на блог. Но вот концовка этой истории весьма интересная: в выходные читаю волгоградские новости - в Москве задержали 40-летнего жителя Волгограда и группу его подельников, которые занимались кибермошеничеством (онлайн-банки и в т.ч. банер МВД с вымогательством денег). Как только эта информация прошла, так и баннер исчез.
      Вот такие дела, ухо нужно держать востро.
      Ирина Михайловна, спасибо за комментарий, за то, что поделились своей историей. Удачи Вам и всех благ!

      Удалить
    2. Людмила, спасибо! Я, когда увидела этот баннер страшно испугалась! Тоже, как и вы, стала пользоваться другим браузером. Если этих мошенников задержали, можно опять работать спокойно. Всего вам хорошего! Успехов в работе и в блоговедении. Будем продолжать дружить блогами!

      Удалить
    3. Ирина Михайловна, добрый вечер!
      Я добавила в конце поста еще очень важную информацию - ДЛЯ ОБЫЧНЫХ ПОЛЬЗОВАТЕЛЕЙ. БиблиоПчелка в своем блоге добавила и нам посоветовала, т.к. это очень важно. Прочитайте, пожалуйста.
      Спасибо за комментарий. Удачи и всех благ! Будем дружить блогами!

      Удалить
  2. Людмила, спасибо большое за предупреждение!

    ОтветитьУдалить
    Ответы
    1. Ирина, добрый вечер!
      Спасибо БиблиоПчелке (Людмиле Александровне Ульевой) за эту информацию, она поделилась, я сделала репост, потому что сама страдаю от вирусов (выше в комментарии описала один из примеров). Предупрежден - значит вооружен.
      Ирина, спасибо за комментарий, рада читать Вас в блоге. Всего самого позитивного и доброго!

      Удалить
  3. Здравствуйте, Людмила!Спасибо за предупреждение!На прошлой неделе мне вешали баннер, как пишут коллеги (выше). Пришлось вызывать специалиста для разблокировки. Вот так.

    ОтветитьУдалить
    Ответы
    1. Ирина, добрый вечер!
      Хорошо, что хорошо всё кончается. Несколько лет назад у моей знакомой тоже был баннер, "купились на него" - нужно было отправить небольшую сумму и якобы вышлют "ключ" для разблокировки. Она отправила, естественно, никто ничего не прислал. Пришлось вызывать мастера и перестанавливать ОС и, соответственно, заново устанавливать все программы. Влетело тогда всё это дело для моей знакомой в "копеечку". Я присутствовала при этом, видела всё своими глазами. Очень неприятная ситуация, особенно, когда с компа срочно нужна информация (планы, отчеты и т.п.)
      Беречься, беречься и еще раз беречься! Больше ничего не остается.
      Ирина, спасибо за комментарий. Будьте бдительны! Удачи Вам и всего самого доброго и позитивного!

      Удалить
  4. Я тоже получала такой баннер (МВД). Неприятненько!!! После перезагрузки все в порядке. Но на подсознании где-то засела мысль, что будет продолжение(((

    ОтветитьУдалить
    Ответы
    1. Елена, добрый вечер!
      Вы правы, очень неприятно. Сразу переживаешь за содержимое компьютера, на носу планы, отчеты, не дай Бог какая оказия случится!
      В конце поста по совету БиблиоПчелки сделала важное добавление - Для обычных пользователей. Прочитайте, пожалуйста, это важно!
      Благодарю за комментарий и внимание к блогу. Удачи Вам, добра и всех благ!

      Удалить
  5. Здравствуйте, коллеги! А я пока ничего не знаю! Как хорошо, что зашла и почитала! До жути боюсь этих вирусов!!! Поэтому лишний раз в социальные сети не захожу, и не обновляю ничего,а требуют - обновить браузер,добавить плагин...

    ОтветитьУдалить
    Ответы
    1. Людмила Федоровна, добрый вечер!
      Говорят же - кто предупрежден, тот вооружен. Будем бдительными, иначе нельзя!
      В конце поста я по совету БиблиоПчелки сделала важное добавление - ДЛЯ ОБЫЧНЫХ ПОЛЬЗОВАТЕЛЕЙ. Прочитайте, пожалуйста. Это надо всем знать.
      Благодарю за комментарий. Всего самого успешного и доброго, удачи!


      Удалить
  6. Спасибо большое Людмила! Ваши информации очень полезны.

    ОтветитьУдалить
    Ответы
    1. Оксана, добрый вечер!
      Рада, что информация востребована. Спасибо за комментарий, за то, что заглянули в гости. Всего самого позитивного и доброго!

      Удалить