локация г. Санкт-Петербург и область

Бесплатная консультация: 8 812 407 18 86

 
настройка серверов в питере
 
 
 

Главная   /   Полезная информация   /   Осторожно мошенники!

Осторожно мошенники!

Как избежать заражения вирусами шифровальщиками Иногда приходится сталкиваться с ситуациями, когда не совсем понятно, как смогло произойти то или иное событие на компьютере пользователя или сервере компании. Руководители звонят, начинают обрисовывать ситуацию, и по мере рассказа приходит понимание, что безопасности и резервных копий много не бывает.

Как говорится, все пользователи делятся на тех, кто уже делает резервные копии информации, и тех, кто будет делать эти копии.

Возвращаюсь к наболевшему. В этот раз столкнулся с ситуацией, когда пользователь, в очередной раз скачав какую-то лабуду из инета, подхватил заразу в виде:

«Внимание!
Ваши данные заархивированы с паролем, использование их невозможно.
Для получения пароля к архиву от вас требуется оплата 19000р на Bitcoin кошелек (инструкции по оплате вам будут выданы после вашего обращения).
При согласии напишите на почту rob1111stewar@hotmail.com  , указав в обращении IP адрес вашего сервера (внешний, его можно узнать, открыв сайт 2ip.ru).
IP адрес необходим для выдачи вам вашего персонального пароля от архивов. Также вам будут даны подробные рекомендации по устранению недостатков в безопасности сервера, во избежании подобных ситуаций в будущем.»

Началось все с того, что, придя утром на работу, Директор не смог войти в свою учетную запись на терминальном сервере. Появлялось следующее сообщение: 

(Ваша учетная запись отключена. Обратитесь к системному администратору)

При том другие учетки (менеджеров, работников склада и бухгалтеров) работали без проблем. Но посыпались жалобы, что пользователи не могут войти в 1С.


Начинаем разбираться в сложившейся ситуации…
Пробую со своего компа подключиться по internet к серверу под учетной записью Администратора: аналогичная ситуация - запись отключена. Получается, что доступ к административной части сервера заблокирован так, как единственная админская запись отключена. Интересно…

Проблема не велика, включить сложностей не составляет. Загружаемся в безопасном режиме, вводим пароль от администратора и затем в командной строке набираем:

net user Администратор /active:yes

Перезагружаемся. Пробуем подключиться , logon прошел без проблем. Выясняем дальше, что же произошло? Сразу оговорюсь, на терминалке антивируса не было.

Проверяю резервное копирование. Захожу в Систему архивации данных Windows Server вижу, что резервные копии выполнялись, последняя была 2.08.2016 в 21-00.


Уфф, выдохнул. Подумал, что даже, если что-то произошло, восстановлю из резервной копии, все заработает. Начинаю проверять дальше, пробую восстановление, вылетает ошибка:


Проверяю диск для бэкапов, а он чист, как будто только что с завода и вчера установлен. Попытки восстановить информацию с помощью RStudio или EASEUS Data Recovery Wizard Pro успехом не увенчались.

Ладно, может 1С запускается с ошибкой

(Отсутствует файл базы данных)
Из-за того, что каким-то образом сбились права на папки, лезу в папку и нахожу там очередную «странность», файл 1Cv8.1CD весит всего 800 кб. Опаньки, базы на 5 Гб и несколько лет работы НЕТ!

Сообщаю о случившемся руководству. Базу надо откуда-то брать, как вариант - возможно директор проявил дополнительную бдительность и копировал базу себе... (В последствии так оно и оказалось, были потеряны лишь несколько дней работы)

Запускаем антивирусную проверку, начинаем изучать логи сервера.
Касперский Virus Removal Tool

После сканирования антивирус выдает следующую картину

На диске, где хранится база, находится архив 1CBase.rar с парольной защитой. Там же лежит много файлов "ВАЖНО!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!.txt".
Изучив материал на virusinfo.info и forum.kasperskyclub.ru, понимаю, что  на подборку пароля к архиву перебором уйдут недели и вряд ли получится, а создавать отдельную тему и просить помощи у знатоков с вышеупомянутых форумов смысла нет.

Итог:
Базу восстановили с небольшой потерей. Денег платить не стали.
Как я думаю, все это произошло:
1.Сотрудник под пользователем admin заразил сервак целым букетом проблем. Заражение прилетело из инета с архивом DUBrute v.21 + Nmap 5.51 + 2 VNC Scanners.rar Cканировал этот файл на VirusTotal, результат:


2.Злоумышленник  получил пароли от учетной записи admin и Администратор, и пошло - поехало. Дальше дело техники.
3.Надо сказать, что пароли были простые. Сервер смотрел в инет стандартным rdp портом. Антивируса не было.

В настоящее время по максимуму постарались предотвратить подобную ситуацию в будущем. Будем верить, что такого больше не произойдет.

Перечень услуг компании "АйсСервис":

С нами уже работают:

ООО "АйсСервис"
Россия, 105215 Санкт-Петербург,
Заневский пр. д. 23, лит. А
8 812 407-18-86
info@lavrovintegra.ru

Чтобы связаться с нами просто заполните форму:

 

*мы уважаем Вашу конфиденциальность и не передаем Ваши данные третьим лицам