Jump to content
Zandatsu

Вирусы-шифровальщики, и методы борьбы с ними с KES 10 [В процессе]

Recommended Posts

Приветствую!

К нам обратились безопасники вот с таким письмом:

 

В настоящее время в России участились случаи заражения компьютеров вирусом-шифровальщиком. По имеющейся у нас информации уже пострадали несколько банков и крупных организаций.

 

Вирус распространяется через электронную почту с доверенных адресов. С помощью методов социального инжиниринга распространители вынуждают пользователя запустить вложение. После заражения все ценные для пользователя файлы шифруются ассиметричным алгоритмом с ключом 1024 бит и предлагается их расшифровка за определенную плату. В настоящее время отсутствуют альтернативные способы расшифровки, кроме как обращение к владельцу вируса.

 

Перечисленные ниже меры позволяют несколько снизить возможность заражения и причинения существенного ущерба.

Для уменьшения вероятности заражения пользовательских ПК вирусом, производящим шифрование файлов стойким алгоритмом шифрования необходимо следующие:

 

1. Запретить доступ на следующие сайты: *.tw1.ru, copy.com, earthlingsfilm.com/*, lima.rivalserver.com, collapseit.com.

 

2. На ПК пользователей добавить файлы произвольного содержания в директорию %temp% (профайл пользователя) с именами: crypta.bin, crypti.bin, paycrpt.bin. - механизм работы вируса не запускается, если уже имеются данные файлы.

 

3. Рассмотреть возможность запрета запуска на ПК пользователей *.js файлов непосредственно Microsoft Windows Based Script Host (wscript.exe) или заменить ассоциацию файлов .js на notepad.exe - скрипт производит загрузку вредоносного ПО из Интернет. Данные изменения не повлияют на работу IE, но необходимо дополнительное тестирование корректности работы банковских приложений.

 

Для предотвращения шифрования файлов на файловых серверах с зараженного ПК пользователя необходимо:

 

На сервере через настройки File Server Resource Manager (FSRM) запретить запись файлов с расширениями: .gpg, .pzdc, .keybtc@gmail_com , .paycrypt@gmail_com, .unstyx@gmail_com, .uncrpt@gmail_com, .unblck@gmail_com, .paystyx@gmail_com - вирус не сможет записать шифрованную копию файла и переименовать оригинал.

 

Вопросы к ЛК: в курсе ли вирусологи из ЛК о подобных вирусах, защищает ли от них KES10 MR1, какие настройки антивируса требуется произвести чтобы уменьшить вероятность заражения АРМ (не серверов)?

 

 

Share this post


Link to post

http://support.kaspersky.ru/10905

Моя тема

Ответ по кейсу, здесь нет никакой секретной информации, как мне кажется.

По поводу внедрения функционала, блокирующего любой вид шифровальщиков

К сожалению, сроками и информацией о внедрении такого функционала мы не располагаем. 
С каждым днем разновидностей данных вирусов (шифровальщиков) становится все больше и наши специалисты делают все возможное для пресечения их действий.

И остальное

Как уже сообщалось ранее - на данный момент компонент Мониторинг системы в KES 10.2.1.23 отлавливает большинство таких вирусов.

Дополнительно мы хотим отметить, что вредоносные программы-шифровщики срабатывают уже после установки в атакованную систему и наши продукты пресекают подавляющее большинство таких заражений. 
Заражение может произойти в случае, если:
• Используется устаревшая версия продукта ( ниже Kaspersky Endpoint Security 8)
• Антивирусные базы защитного решения, установленного на атакованном компьютере, устарели;
• Установка вредоносного ПО была произведена вопреки предупреждениям защитного решения о возможной злонамеренности того или иного ПО.
• Установка вредоносного ПО была произведена в связи с тем, что пользователь сознательно выставил настройки эвристического анализа файлов на минимум.

Чтобы избежать потери данных в результате подобных атак, мы рекомендуем регулярно создавать резервные копии важных данных, следить за актуальностью антивирусных баз, соблюдать элементарные правила сетевой безопасности, которые в том числе включают в себя необходимость с повышенной внимательностью относиться к файлам, полученным от неизвестных отправителей, загруженным с подозрительных сайтов в интернете, а кроме того – установку и использование только знакомых приложений из доверенных источников, таких, как, например, сайт разработчика ПО. Особенно, если речь идет о программах, способных зашифровывать данные пользователя. Кроме того, мы не рекомендуем отключать антивирус, а также изменять без необходимости настройки его отдельных компонентов, направленных на детектирование вредоносных программ.

Share this post


Link to post

Это спасет только от определённого типа шифровальщиков, которую используют именно такую технологию заражения...

Share this post


Link to post
:

 

На сервере через настройки File Server Resource Manager (FSRM) запретить запись файлов с расширениями: .gpg, .pzdc, .keybtc@gmail_com , .paycrypt@gmail_com, .unstyx@gmail_com, .uncrpt@gmail_com, .unblck@gmail_com, .paystyx@gmail_com - вирус не сможет записать шифрованную копию файла и переименовать оригинал.[/font][/size]

про фильтр блокировщиков файлов я как то не подумал на файловых серверах.

только наверно стоит протестировать фильтры направленные на защиту данных.

т.е. например для защиты *.docx файлов настроить фильтр блокировки *.docx* и т.д. /// задумался.. буду пробовать.

хотя тут вопрос к тем кто встречался и знает механизмы действия - при такой блокировке не получится что файлы будут потеряны вообще? т.е. из-за фильтра не смогут записаться уже зашифрованные файлы, т.е. будет утерян оригинал и зашифрованный тоже не сможет записаться... :(

 

вообще в борьбе с этой заразой путь как мне кажется один - к дополнению стандартных ограничений на фильтр почтовых вложений и фильтров на proxy, ограничений прав и т.п. , глобальный - внедрение (у кого не внедрен) белого списка исполняемых файлов и скриптов и пересмотр резервного копирования (резервные внешние ЦОДЫ или облачные хранилища.. но это все требует вложений и не малых)

Edited by mvs

Share this post


Link to post
Тема переехала в этот раздел форума.

Оффтопик

так она и была тут, только ее того: moved :rolleyes: , а теперь re-moved

Share this post


Link to post
Спасибо за информацию, буду изучать. :ay:

 

 

Добрый день.

 

Подскажите пожалуйста можем ли мы поставить топик в статус Решено?

 

 

Спасибо.

Share this post


Link to post
Добрый день.

 

Подскажите пожалуйста можем ли мы поставить топик в статус Решено?

Спасибо.

Я думаю можно. В топике появились ссылки на подобные посты и статью в KB. Буду изучать и применять.

Share this post


Link to post
Тема переехала в этот раздел форума.

:bt:

Я думаю, что тема в этом разделе лучше смотрится чем в другом. :rolleyes:

Edited by Zandatsu

Share this post


Link to post

только топик пожайлуста не закрывайте, возможно появятся дельные советы или мнения форумчан.

спасибо.

Share this post


Link to post
только топик пожайлуста не закрывайте, возможно появятся дельные советы или мнения форумчан.

спасибо.

А как можно топик закрыть?

Share this post


Link to post
А как можно топик закрыть?

 

 

Топик закрывать мы не будем, просто если вы подтвердите поставим ему статус Решено.

 

Спасибо.

Share this post


Link to post

Я попробую на паре экземпляров затестить в ближайшее время решение с Контролем активности программ, пока создал правило но не применял, пока подготовлю VM

Edited by DWState

Share this post


Link to post
Я попробую на паре экземпляров затестить в ближайшее время решение с Контролем активности программ, пока создал правило но не применял, пока подготовлю VM

по сути применение правил защиты из статьи равноценно белому списку исполняемых файлов, так как необходимо все легитимное ПО и скрипты переместить в категорию доверенных приложений для контроля активности, тут проблемы могут быть у тех кто использует множество скриптов и самописного ПО, и всякие мелкое ПО (как ABC, Эра, Лира и т.д.), самораспаковывающийся архив sfx и т.д.... т.е логичней даже использовать контроль запуска программ (ваш блог на фан-клубе самое то) но к сожалению в крупных организациях - такой подход требует очень много "ручного" труда.

я правила и категории защиты создал, и пытаюсь обкатать на разных группах ПК (разработчиков, АСУТП и АСУП системах).... дело в том что такой подход усложнит и обновление мелкого софта до актуальных версий (того же WinRAR).

Для тех же у кого парк машин разношерстный и есть слабые ПК где KES использовать просто не получится - все настройки политик для KES теряют смысл.. один два таких ПК в сети и....

Share this post


Link to post
по сути применение правил защиты из статьи равноценно белому списку исполняемых файлов, так как необходимо все легитимное ПО и скрипты переместить в категорию доверенных приложений для контроля активности, тут проблемы могут быть у тех кто использует множество скриптов и самописного ПО

Да исключения всегда будут, но я буду стараться изобразить достаточно рядового пользователя каких большинство, как правило именно они то и подвергаются чаще всего заражениям.

Share this post


Link to post

Ну если на вскидку:

 

Попробовал на двух шифровщиках - из семейства contact@casinomtgox.com (от 29.07.2014) и семейства @AUSI.com (от ~ 03.09.2013)

KES 10.2.1.23 Файловый антивирус - отключен, Мониторинг системы - отключен, базы стоковые от 2013 г., Правило контроля активности программ создано.

 

1. contact@casinomtgox.com

post-8651-1410164922_thumb.jpg

 

Из отчета видно, что вирус прописался в реестре и залез в стартап (в автозапуске присутствовал), но при попытках доступа к защищаемым файлам получил запрет нашего правила.

Share this post


Link to post

2. AUSI.com

post-8651-1410165107_thumb.jpg

 

Картина та же, попытки прописаться в автозапуск и реестр разрешены но доступ на изменение файлов блокирован.

По отношению в AUSI был вынужден отключить ФА и МС так как вирус старенький и блокировался данными компонентами не добираясь до контроля активности программ.

 

PS: Остается для меня открытым вопрос не будет ли данное правило мешать обычной работе пользователей

Edited by DWState

Share this post


Link to post
2. AUSI.com

post-8651-1410165107_thumb.jpg

 

Картина та же, попытки прописаться в автозапуск и реестр разрешены но доступ на изменение файлов блокирован.

По отношению в AUSI был вынужден отключить ФА и МС так как вирус старенький и блокировался данными компонентами не добираясь до контроля активности программ.

 

PS: Остается для меня открытым вопрос не будет ли данное правило мешать обычной работе пользователей

будет, любой sfx архив с файлами doc например или jpg - попадет под запрет, или инталлер малоизвестного ПО не сможет создать скажем ярлык :) - все надо переносить в группу доверенных приложений

а еще есть куча модулей программ мелких в которых реализован экспорт в doc, xls, и.тд. файлов.. банальное ПО сканирование многих сканеров попадет в слабые ограничение по умолчанию... т.е. нужна предварительная сортировка всех исполняемых файлов и скриптов в сети предприятия.

Edited by mvs

Share this post


Link to post

Приветствую всех! :hi:

Я задам вопрос иначе. Предположим я включил и как-то настроил контроль активности программ. Предположим он как-то работает, но иногда мешает работе каких-то уникальных приложений. Внимание вопрос: каким образом я могу максимально быстро и удобно получать информацию о том, что программа Х была ложно зарезана контролем активности программ? Как пользователь на месте у себя сможет увидеть, что антивирус зарезал некую программу и что надо бы сообщить в техподдержку о таком поведении ПО?

Edited by Zandatsu

Share this post


Link to post
Приветствую всех! :hi:

Я задам вопрос иначе. Предположим я включил и как-то настроил контроль активности программ. Предположим он как-то работает, но иногда мешает работе каких-то уникальных приложений. Внимание вопрос: каким образом я могу максимально быстро и удобно получать информацию о том, что программа Х была ложно зарезана контролем активности программ? Как пользователь на месте у себя сможет увидеть, что антивирус зарезал некую программу и что надо бы сообщить в техподдержку о таком поведении ПО?

в локальных отчетах на клиенте..

Share this post


Link to post
в локальных отчетах на клиенте..

 

Гм... Все бы ничего, но что если количество ПК будет превышать все разумные пределы? Что если до компа физически не добраться? Можно ли как-то получать такие отчеты, скажем, в почту?

Share this post


Link to post
Гм... Все бы ничего, но что если количество ПК будет превышать все разумные пределы? Что если до компа физически не добраться? Можно ли как-то получать такие отчеты, скажем, в почту?

Открываете политику для станций - идете в раздел интерфейс - там идем в уведомления - там для "Контроля активности программ" выставляете галочки "Уведомлять по почте" - ниже кнопка настройка почтовых уведомлений

Share this post


Link to post

По совету комрада DWState полез в политику, нашел там настройку почтовых уведомлений. Она немного похожа на ту, что есть на сервере в свойствах отчетов. Начал настраивать: ввел имя отправителя, получателя, сервер smtp. Нажимаю "Проверить", а она не нажимается (первый скриншот)... Гм, подумал я, а почему кнопка-то неактивна? :unsure: Ладно, ввожу в поле "Имя пользователя" логин, поле пароль не трогаю. Кнопка "Проверить" становится активной (второй скриншот). На почту падает тестовое письмо. Гм, подумал я опять, а как он смог отправить без пароля? Ну ладно, пусть будет без пароля, решил я и жму "ОК". Получаю вот это (третий скриншот)... :blink: :blink: :blink:

 

KES 10, в чем твоя проблема? :dash1: Что я делаю не так и как настроить чтобы это работало?

post-501512-1410177166_thumb.png

post-501512-1410177420_thumb.png

post-501512-1410177573_thumb.png

Edited by Zandatsu

Share this post


Link to post

Ну так что, есть у кого мысли как это вообще настраивается и почему так странно работает? Или отдельный топик на эту тему пилить?

Share this post


Link to post

×
×
  • Create New...

Important Information

We use cookies to make your experience of our websites better. By using and further navigating this website you accept this. Detailed information about the use of cookies on this website is available by clicking on more information.