История сайта

Зашифровал файлы на компьютере…

Банальная ситуация — письмо в почте с информацией о изменении реквизитов нашего контрагента, под этим сообщением ссылка на архив со скриптом шифровальщиком, естественно запуск этого скрипта прямо из архива, и в результате на рабочем столе сообщение о том, что все файлы зашифрованы. Но еще не все потеряно, скачайте браузер ТОР, зайдите на наш сайт, там узнаете как все можно раскодировать, только это стоит денег.

Естественно секретарь сразу звонит системному администратору с просьбой помочь, а помогать уже и не кому… Осталось только постараться не допустить шифрования остальных компьютеров в организации шифровальщиком, на случай если это письмо не единично…
Я сразу отзвонился в бухгалтерию, финансовый отдел, отдел снабжения, с мыслями что комп секретаря не содержит особо важной информации, а вот если зашифруют финансиста, или главбуха… Будет совсем капец!
И во время звонка в фин отдел, я узнаю что у них такое-же письмо, и они его не могут открыть… А открыть надо, потому как реквизиты поменялись…
Бросаю секретаря, бегу в фин отдел — оказалось что у них с компьютером ничего не случилось, просто файл открылся иероглифами… Проверил компьютер — все нормально, никакой лишней активности нету… Сказал чтобы письмо удалили, и если еще кому придет — не открывали его!

Возвращаюсь к секретарю, пытаюсь понять что и как работает — звонок от главбуха — «Я открыла письмо, и на рабочем столе все файлы побелели. Что делать?»…
Бегу к главбуху, оказалось что она так-же попала как и секретарь, только нету сообщения на рабочем столе, о зашифрованных документах… Пытаюсь понять какой процесс шифрует документы, что-бы его остановить, и так-же не вижу посторонней активности, но все файлы уже получили расширение  VAULT.

После того, как весь офис напугался и притих, все поняли что шуточки закончились, и всю информацию можно потерять, появилась возможность спокойно разобраться как такое могло произойти, и как это победить а произошло следующее:

  1. Некто (злоумышленники), взломали почту одной из организаций с которыми мы сотрудничаем, и украли базу контактов. Затем на собственном домене создали ящик, и назвавшись именем взломанной организации, разослали по украденной базе письмо с текстом что до сих пор ждут оплату, а реквизиты поменялись, и возможно деньги ушли по старым реквизитам, а ниже ссылка на архив со скриптом.
  2. Естественно обычному пользователю нет разницы скрипт в архиве, или документ, написано же — «реквизиты», значит надо запустить.
  3. Потом уже, я узнал что еще двое запускали этот скрипт, вернее так- два компа зашифровались, два открыли иероглифы, а на одном IE просто не дал скачать этот скрипт, потому что домен уже был в базе этого браузера как вредоносный.

Мне стало интересно почему какие-то машины зашифровались, а какие-то нет? Оказалось что разница в антивирусах, на двух был купленный Symantec на остальных бесплатная версия AVG, так вот там, где стоял купленный Symantec шифрование произошло а AVG запретил выполнение скрипта. В результате, пообщавшись с главбухом, стало понятно что она может пожертвовать зашифрованной информацией, и было решено переставить систему полностью, с удалением из компьютера всей информации… Досадно, обидно, жалко потерянного времени, ибо локально были какие-то справки, наработки, выписки, шаблоны, а все особо нужное хранилось в сети.

Таким образом два компьютера стали девственно пустыми, но на этом я не успокоился, и стал выяснять на кого зарегистрирован вредоносный домен (cmailc.com) — оказалось что зарегистрирован он через https://www.reg.ru/, 2015-05-18, (а уже 20 го они устроили рассылку), в качестве регистратора указан человек под именем Stepan Gavrilov, зарегистрирован в Москве по адресу — Geroev Sevastopolia str, 14-2, у него московский телефон — +74954336427, и даже почтовый ящик (hjeckson@mail.ru) в открытом доступе. Я прекрасно понимаю что все эти данные можно было спокойно скрыть, и открытыми они остались видимо с целью одурачить, но вот адреса регистратора, и хостера не спрячешь, туда то и улетело мое обращение с просьбой пресечь деятельность жуликов. Буквально через час мне отписались из поддержки https://www.reg.ru , что заблокировали хостинг, а по домену к регистратору ушло обращение с просьбой разобраться в проблеме, и если регистратор не ответит, то домен снимут с делегирования. На следующий день я обнаружил что домен прикручен уже к timeweb.ru, и не долго собираясь — отправил обращение и к ним. В общем timeweb.ru так-же заблокировали хостинг, и в данный момент эта зараза перестала распространяться из этого места. Жалею только что не записал адрес сайта, на который меня отправлял скрипт. Но это дело можно выяснить, потому как архивчик со скриптом остался у меня в загашнике, и как станет посвободнее — обязательно запущу его на виртуальной машине, что бы разобрать по винтикам как он работает, там и посмотрю куда он отправляет пользователей… Скорее всего после запуска этого скрипта, напишу следующую статью о том, что я обнаружил.

И да, не ответил на главный вопрос — как защититься от вируса — шифровальщика? Ответ — только бэкапами, больше никак! Мне крупно повезло что бесплатная версия антивируса AVG остановила выполнение этого скрипта, и я не уверен что при следующей модификации этого скрипта, его этот антивирус остановит. Надо быть внимательнее, и если в архиве не известный значок, не такой как обычно, то лучше лишний раз спросить у человека, понимающего что можно смотреть, а что лучше не трогать…

Добавить комментарий

Ваш e-mail не будет опубликован. Обязательные поля помечены *


*

Реклама от гугла
Новости Белогорья Недавние статьи</div> </div><div class="art-blockcontent"> <ul> <li> <a href="http://vapankov.ru/?p=44961">Два пьяных водителя попались за рулём одной и той же «семёрки» за ночь</a> </li> <li> <a href="http://vapankov.ru/?p=44962">Под новый год россияне заняли в МФО на 12,6 % больше денег, чем осенью</a> </li> <li> <a href="http://vapankov.ru/?p=44963">Индексация выплат, загранпаспорт в МФЦ и новые кредиты – с 1 февраля в России</a> </li> <li> <a href="http://vapankov.ru/?p=44964">100-летие со дня образования Ленинского комсомола отметят в Белгороде</a> </li> <li> <a href="http://vapankov.ru/?p=44965">Артём Семейкин не прибыл на первый сбор «Энергомаша»</a> </li> </ul> </div> </div><div id="meta-2" class="art-block widget widget_meta clearfix"> <div class="art-blockheader"> <div class="t">Мета</div> </div><div class="art-blockcontent"> <ul> <li><a href="http://vapankov.ru/wp-login.php?action=register">Регистрация</a></li> <li><a href="http://vapankov.ru/wp-login.php">Войти</a></li> <li><a href="http://vapankov.ru/?feed=rss2"><abbr title="Really Simple Syndication">RSS</abbr> записей</a></li> <li><a href="http://vapankov.ru/?feed=comments-rss2"><abbr title="Really Simple Syndication">RSS</abbr> комментариев</a></li> <li><a href="https://ru.wordpress.org/" title="Сайт работает на WordPress — современной персональной платформе для публикаций.">WordPress.org</a></li> </ul> </div> </div> </div> </div> </div> </div><footer class="art-footer clearfix"><p><a href="http://vapankov.ru/?feed=rss2" class="art-rss-tag-icon" title="Сайт Василия Панкова RSS Feed" style="float: left; line-height: 0px;"></a></p> <a href="#">Link1</a> | <a href="#">Link2</a> | <a href="#">Link3</a></p> <p>Copyright © 2011 - 2018гг. All Rights Reserved.</p> <!--LiveInternet counter--><script type="text/javascript"><!-- document.write("<a href='http://www.liveinternet.ru/click' "+ "target=_blank><img src='//counter.yadro.ru/hit?t16.3;r"+ escape(document.referrer)+((typeof(screen)=="undefined")?"": ";s"+screen.width+"*"+screen.height+"*"+(screen.colorDepth? screen.colorDepth:screen.pixelDepth))+";u"+escape(document.URL)+ ";"+Math.random()+ "' alt='' title='LiveInternet: показано число просмотров за 24"+ " часа, посетителей за 24 часа и за сегодня' "+ "border='0' width='88' height='31'><\/a>") //--></script><!--/LiveInternet--> <!-- Yandex.Metrika informer --> <a href="https://metrika.yandex.ru/stat/?id=25737512&from=informer" target="_blank" rel="nofollow"><img src="//bs.yandex.ru/informer/25737512/3_1_B8BBFFFF_989BF0FF_0_pageviews" style="width:88px; height:31px; border:0;" alt="Яндекс.Метрика" title="Яндекс.Метрика: данные за сегодня (просмотры, визиты и уникальные посетители)" onclick="try{Ya.Metrika.informer({i:this,id:25737512,lang:'ru'});return false}catch(e){}"/></a> <!-- /Yandex.Metrika informer --> <!-- Yandex.Metrika counter --> <script type="text/javascript"> (function (d, w, c) { (w[c] = w[c] || []).push(function() { try { w.yaCounter25737512 = new Ya.Metrika({id:25737512, clickmap:true, trackLinks:true, accurateTrackBounce:true}); } catch(e) { } }); var n = d.getElementsByTagName("script")[0], s = d.createElement("script"), f = function () { n.parentNode.insertBefore(s, n); }; s.type = "text/javascript"; s.async = true; s.src = (d.location.protocol == "https:" ? "https:" : "http:") + "//mc.yandex.ru/metrika/watch.js"; if (w.opera == "[object Opera]") { d.addEventListener("DOMContentLoaded", f, false); } else { f(); } })(document, window, "yandex_metrika_callbacks"); </script> <noscript><div><img src="//mc.yandex.ru/watch/25737512" style="position:absolute; left:-9999px;" alt="" /></div></noscript> <!-- /Yandex.Metrika counter --></footer> </div> <p class="art-page-footer"> <span id="art-footnote-links">Designed by Василий.</span> </p> </div> <div id="wp-footer"> <script type='text/javascript' src='http://vapankov.ru/wp-content/plugins/si-captcha-for-wordpress/captcha/si_captcha.js?ver=1.0'></script> <script type="text/javascript"> //<![CDATA[ var si_captcha_styles = "\ <!-- begin SI CAPTCHA Anti-Spam - comment form style -->\ <style type='text/css'>\ div#captchaImgDiv { display:block; }\ .captchaSizeDivSmall { width:175px; height:45px; padding-top:10px; }\ .captchaSizeDivLarge { width:250px; height:60px; padding-top:10px; }\ img#si_image_com,#si_image_reg,#si_image_log,#si_image_side_login { border-style:none; margin:0; padding-right:5px; float:left; }\ .captchaImgRefresh { border-style:none; margin:0; vertical-align:bottom; }\ div#captchaInputDiv { display:block; padding-top:15px; padding-bottom:5px; }\ label#captcha_code_label { margin:0; }\ input#captcha_code { width:65px; }\ </style>\ <!-- end SI CAPTCHA Anti-Spam - comment form style -->\ "; jQuery(document).ready(function($) { $('head').append(si_captcha_styles); }); //]]> </script> <script type='text/javascript'>jQuery(document).ready(function(){ jQuery('a.colorbox').colorbox({iframe:true, width:'80%', height:'80%'});jQuery('a.rssmi_youtube').colorbox({iframe:true, innerWidth:425, innerHeight:344})});</script><!-- Scroll Triggered Boxes v2.2.1 - https://wordpress.org/plugins/scroll-triggered-boxes/--> <div class="stb-container stb-top-left-container"> <div class="scroll-triggered-box stb stb-342 stb-top-left" id="stb-342" style="display: none;"> <div class="stb-content"> <p><strong><span style="color: #ff0000;">ВНИМАНИЕ! САНКЦИИ!</span></strong></p> <p>Санкции введены ТОЛЬКО в отношении Барака Обамы! <span style="color: #ff0000;"><strong>Бараку</strong></span> <span style="color: #ff0000;"><strong>ЗАПРЕЩЕНО посещать этот сайт!!!</strong></span></p> <p><strong><span style="color: #ff0000;">ATTENTION! SANCTIONS!</span></strong></p> <p>Sanctions were imposed ONLY in respect of Barack Obama! <span style="color: #ff0000;"><strong>Barack NOT visit this site!!!</strong></span></p> <p> </p> <p><span style="color: #0000ff;">После закрытия этого окна, оно сегодня больше не появится.</span></p> <p><span style="color: #0000ff;">After closing this window, it will not show up today.</span></p> </div> <span class="stb-close">×</span> </div> </div> <div id="stb-overlay"></div><!-- / Scroll Triggered Box --><script type='text/javascript' src='http://vapankov.ru/wp-content/plugins/akismet/_inc/form.js?ver=3.1.11'></script> <link rel='stylesheet' id='wprssmi_colorbox-css' href='http://vapankov.ru/wp-content/plugins/wp-rss-multi-importer/css/colorbox.css?ver=4.5.14' type='text/css' media='all' /> <link rel='stylesheet' id='frontend-css' href='http://vapankov.ru/wp-content/plugins/wp-rss-multi-importer/css/frontend.css?ver=4.5.14' type='text/css' media='all' /> <script type='text/javascript' src='http://vapankov.ru/wp-includes/js/comment-reply.min.js?ver=4.5.14'></script> <script type='text/javascript'> /* <![CDATA[ */ var STB_Global_Options = {"testMode":""}; var STB_Box_Options = {"342":{"id":342,"title":"\u0412\u043d\u0438\u043c\u0430\u043d\u0438\u0435 ! \u0421\u0430\u043d\u043a\u0446\u0438\u0438! Attention! Sanctions!","trigger":"percentage","triggerPercentage":0,"triggerElementSelector":"","animation":"fade","cookieTime":1,"autoHide":false,"autoShow":true,"position":"top-left","minimumScreenWidth":0,"unclosable":false}}; /* ]]> */ </script> <script type='text/javascript' src='http://vapankov.ru/wp-content/plugins/scroll-triggered-boxes/assets/js/script.min.js?ver=2.2.1'></script> <script type='text/javascript' src='http://vapankov.ru/wp-includes/js/wp-embed.min.js?ver=4.5.14'></script> <script type='text/javascript' src='http://vapankov.ru/wp-content/plugins/wp-rss-multi-importer/scripts/jquery.colorbox-min.js?ver=4.5.14'></script> <script type='text/javascript' src='http://vapankov.ru/wp-content/plugins/wp-rss-multi-importer/scripts/detect-mobile.js?ver=4.5.14'></script> <script type='text/javascript' src='http://vapankov.ru/wp-content/plugins/wp-rss-multi-importer/scripts/show-excerpt.js?ver=4.5.14'></script> <!-- 47 queries. 0,368 seconds. --> </div> </body> </html>