"Кибер Остапы" кошмарят воткинский бизнес
Предыдущая рабочая неделя, для нашего сообщества прошла под эгидой наблюдения и активного сопереживания на фоне проблемы, возникшей на рабочем месте у одной из активных пользователей «Паутины»…Что собственно произошло? Вечером в понедельник 21 июля, сервер предприятия Х был атакован неким вирусом-трояном и уже на утро вторника все базы 1С бухгалтерии были зашифрованы «кибер-вредителями» и соответственно оказались не работоспособными… Работа «встала»…
Если кому интересны технические детали, то визуально, помимо отказа самой 1С, проблема определялась добавлением к расширению всех поражённых файлов следующей строки:
.c******@gmail_com_idХХХ После заражения, на рабочем столе инфицированной машины, хакерами были заменены обои, на которых появилось объяснение в стиле:
"Дорогие друзья, вашим драгоценным файлам, в принципе «хана». Но при вашем деятельном участии, можно кончено и без таких жертв обойтись… Приглашаем к продуктивному для обоих сторон диалогу, начало которому будет положено при обращении по адресу c******@gmail_com»"
(к сожалению скрин сообщения не сохранился, просто передаю суть)…
Что произошло далее? Началась кипучая работа на двух фронтах… На техническом «поле боя» в срочном порядке были заменены все пароли для доступа на сервер (это правильно и обязательно), и не строя надежд на гипотетическую расшифровку, началась замена поврежденных файлов, пусть и чуть устаревшими, но зато рабочими копиями из архива… Эти действия помогли восстановить работу предприятия…
Но, думаю, большинству читателей более интересна другая сторона «войны»… А именно диалог с виртуальными «захватчиками», которых обозавём «Кибер Остапами» (в дальнейшем КО), в который незамедлительно и с озорным энтузиазмом вкупе с иронией, вступила, ничуть не загрустившая от произошедшего, коллега (назовём её просто — Т)…
Так что же им нужно, этим КО, и как себя с ними вести? С любезного позволения Т, публикую её полную, практически без купюр, недельную переписку с вымогателями (лексика и грамматика сохранены полностью), которые на удивление оказались невероятно общительными и готовыми к компромиссам, ребятами…
К слову сказать, эпопея эта ещё не закончена, с нетерпением ждём результатов наступившей недели… А пока, пусть каждый сам сделает надлежащие выводы…
Вторник 22 июля
Т:
Здравствуйте, C*****.
я по поводу расшифровки файлов 1с
КО:
Дорогие наши друзья,
я очень рада что вы обратились именно к нам…
госпошлина за расшифровку составляет всего каких-то 40000 руб.,
и принимается на киви кошелек, созданный только под ваш платёж.
Оплату вы всегда можете произвести в любом терминале где пополняют мобильные телефоны.
как пополнить киви кошелёк можете посмотреть тут:
yandex.ru/video/search?text=как%20пополнить%20киви%20кошелек&safety=1
Далее вы присылаете ваш ip адрес смотрите его тут:
www.myip.ru/ru-RU/index.php
или тут
2ip.ru/
и ваш “id” он в конце каждого зашифрованного файла.
получаете анлокер (расшифровщик) для вашего бронированного танка ;-) “компьютера, сервера или что там у вас ……”
распаковываете -> запускаете анлокер -> и забываете про эти досадные неприятности.
В сымые кратчайшие сроки (в зависимости от количества зашифрованных файлов) анлокер самостоятельно отработает (расшифрует)
все ваши драгоценные файлы и базы, так как каждый файл переписывает сам себя несколько раз подряд случайным алгоритмом затирая исходник.
Если анлокер будет передан третьим лицам (выложите на форумах, антивирусных сайтах или где то ещё),
все ваши файлы вместе с сервером будут уничтожены ;-)
Даже если вы их перенесёте в безопасное, как вам кажется место.
Поверьте останетесь без файлов и без денег.
Софт полностью заметёт за собой следы и само удалится из вашей системы через пятнадцать дней.
Мы бесплатно расшифруем несколько ваших файлов, что бы вы убедились что дешифратор у нас есть, возможно, будет и у вас.
Произведём по требованию небольшую бесплатную консультацию по защите информации, и в 99 % случаев такого больше не повторится.
Наша почта живёт 2-5 дней потом её заблокируют, скорее всего (из-за огромного наплыва жалоб) и вы остановитесь без ваших файлов.
Надумаете пишите, несколько реквизитов для оплаты ещё есть следущие появятся завтра — послезавтра.
Удачи вам в бизнесе и всего самого доброго.
Реквизиты для оплаты выдавать?
Т:
это очень дорого для меня, половина оборота
КО:
Выслушаю ваши актуальные предложения....
Т:
5000
КО:
5000 ну не серьёзно.
Спустя некоторое время
КО:
20000 более интересней
Т:
2000?
КО:
ага с 0
Через минуту
КО:
20.000 руб.
Т:
вы что, ребятки, я не потяну столько
это полторы моей зарплаты, мы же не столичные
7.500 ?
КО:
да мы тоже не столичные.
Спустя пять минут…
КО:
15000 моё последнее предложение.
реквизиты на оплату выдавать или нет?
КО:
а с вас всего 15000 прошу. жду вашего ответа.
КО:
25000 хорошая скидка, так по 40000 собираю.
T:
10000 мое последнее слово и высылайте реквизиты
KO:
киви кошелёк 9********2
оплатите в течении часа.
как пополнить киви кошелёк можете посмотреть тут:
yandex.ru/video/search?text=как%20пополнить%20киви%20кошелек&safety=1
для общей информации:
Дорогие наши друзья,
я очень рада что вы обратились именно к нам…
госпошлина за расшифровку составляет всего каких-то 40000 руб.,
и принимается на киви кошелек, созданный только под ваш платёж.
Оплату вы всегда можете произвести в любом терминале где пополняют мобильные телефоны.
как пополнить киви кошелёк можете посмотреть тут:
yandex.ru/video/search?text=как%20пополнить%20киви%20кошелек&safety=1
Далее вы присылаете ваш ip адрес смотрите его тут:
www.myip.ru/ru-RU/index.php
или тут
2ip.ru/
и ваш “id” он в конце каждого зашифрованного файла.
получаете анлокер (расшифровщик) для вашего бронированного танка ;-) “компьютера, сервера или что там у вас ……”
распаковываете -> запускаете анлокер -> и забываете про эти досадные неприятности.
В сымые кратчайшие сроки (в зависимости от количества зашифрованных файлов) анлокер самостоятельно отработает (расшифрует)
все ваши драгоценные файлы и базы, так как каждый файл переписывает сам себя несколько раз подряд случайным алгоритмом затирая исходник.
Если анлокер будет передан третьим лицам (выложите на форумах, антивирусных сайтах или где то ещё),
все ваши файлы вместе с сервером будут уничтожены ;-)
Даже если вы их перенесёте в безопасное, как вам кажется место.
Поверьте останетесь без файлов и без денег.
Софт полностью заметёт за собой следы и само удалится из вашей системы через пятнадцать дней.
Мы бесплатно расшифруем несколько ваших файлов, что бы вы убедились что дешифратор у нас есть, возможно, будет и у вас.
Произведём по требованию небольшую бесплатную консультацию по защите информации, и в 99 % случаев такого больше не повторится.
Наша почта живёт 2-5 дней потом её заблокируют, скорее всего (из-за огромного наплыва жалоб) и вы остановитесь без ваших файлов.
Надумаете пишите, несколько реквизитов для оплаты ещё есть следущие появятся завтра — послезавтра.
Удачи вам в бизнесе и всего самого доброго.
Реквизиты для оплаты выдавать?
(Реплика Занозы – т.е. кибер-хулиганы высылают реквизиты, с наивным нетерпением ожидая червонца, и в том же письме вымогают 40 тыщ. спрашивая, нужны ли реквизиты… Поразительная логика)…
КО:
Произведём по требованию небольшую бесплатную консультацию по защите информации, и в 99 % случаев такого больше не повторится.
T:
а если оплачу а вы снова меня взломаете? как мне жить дальше то?
хоть бизнес весь не закрывай(((((((
KO:
об этом я уже писал выше
(Реплика Занозы – ух ты, сначала КО писал от имени дамы, теперь по-видимому, пришлось поменять пол)
T:
консультация в каком виде будет? как я ее пойму?
KO:
если вы не дура набитая опилками то поймёте. там нет не чего сложного.
я укажу на ваши ошибки, или ошибки человека который допустил их специально***.
вы закроете доступ + произведёте несколько настроек.
сори что возможно немного грубовато зато всем понятно.
(***Реплика Занозы – а вот это ооочень интересно...)
Среда 23 июля
KO:
оплаты от вас не поступило.
моё предложение в 10000 уже не актуально.
Если поступит перевод он будет возвращён.
(Реплика Занозы – да ну? Какое благородство, куда возвращен-то? Почтовым переводом)
Четверг 24 июля
КО:
Друзья,
Вам были выданы реквизиты для оплаты расшифровщика,
Однако не оплата, не отказ от произведения оплаты от вас не поступал.
Сообщите, пожалуйста, вы собираетесь, производить оплату или нет.
Выданные вам реквизиты могут понадобится другим лицам.
Очень надеюсь получить от вас ответ по данному вопросу.
(Реплика Занозы — Выданные вам реквизиты могут понадобится другим лицам… Очередь стоит из страждущих заплатить, на всех реквизитов не хватает… Вот это высокорентабельный бизнес – браво...)
T:
Здравствуйте, Расшифровка
изъяла все деньги из бизнеса, отправила, но ошиблась цифрой
написала заявление, жду возврата
пока торговля стоит, магазин не работает из-за сбоя программы,
денег на закупку товара нет
все плохо, други мои
(Примечание – естественно никакой отправки денег не было… Захватил сам процесс переписки, интересно знать что дальше будет...)
КО:
вы позвоните в поддержку если ошибка не более 3 цифр деньги в течении часа завидут куда скажите.
(Реплика Занозы – Какая душевная забота)
Пятница 25 июля
T:Здравствуйте, Расшифровка
ой извините поздно прочитала счёт у меня заблокировали а там 50000
для разблокировки нужно всего каких-то 3000
пожалуйста вышлите мне на счет, а после разблокировки я переведу вам 20000
жду с нетерпением
(Примечание – сами понимаете, что со счётом всё в порядке… Т, фана ради, тестирует некий натурализованный вариант «Нигерийских писем»)
На этом пока всё… С нетерпением ждём развития событий… Рада выслушать ваше мнение и предложения по ситуации…
12 комментариев
Что касается раскодировки, то насколько я знаю, на данный момент самостоятельно или даже при помощи специалистов она невозможна (технические особенности продвинутого алгоритма шифрования). Остается только договариваться с вымогателями, если возмозножности вытащить из бэкапа нет.
Другой вопрос как троян попал на сервер? Через серфинг невозможно, через мыло тоже. Остаются два варианта, либо ломанули RDP, при этом админ по идее должен был видеть что его сервак брутфорсили, либо в конторе завелся крот.
что такое серфинг и почему невозможно?
для справки — сервер используется для обмена базами с магазинами, проблема в том, что некоторые отдаленные магазины пользуются модемами ОпСОС
1. Серфинг. Кто то находясь в инете залез на неправильный сайт и оттуда скачался зловред. Маловероятно, потому что в таком случае на 99% зашифровались бы файлы на определенном компе который и подхватил заразу. То что вирус просканировал сеть, нашел сервак и залез туда, мне представляется сложнореализумым решением.
2. Мыло. Кому то на мыло пришло письмо от хрен знает кого с файликом под названием типа «акт сверки», «претензия» и т.п. Этот файлик открыли а дальше все как в п.1. Поэтому опять же скорее всего не вариант. Хотя для интереса разузнай, глядишь к кому-то подобная ерунда и приходила.
3. RDP. Удаленный доступ к рабочему столу сервака с других компов. Я точно знаю что у вас в конторе данный сервис запущен (вроде через Citrix). Так вот хацкер подбирает пароль админа, заходит на сервак как к себе домой. Запускает все что ему нужно. Самый вероятный расклад.
4. У вас не зафильтрован снаружи прокси-сервер (Squid, как я понял). Может статься и там дыра. Но вряд ли. Вероятность минимальна.
5. У вас завелся крот. Самый легкий путь.
И что? У пользователей есть доступ к серверу с правами админа, чтобы там всякую фигню запускать? Нет конечно. Да и файлы там тянутся не выполняемые и сервак эти файлы не запускает. Думаю вообще не вариант.
Все разумеется ИМХО
Кстате, недолго ему/им осталось гулять ;) Ибо тож ламеры :)
Напиши, мне интересно.
А вот не факт что троян вообще был — скорее всего, как ты правильно заметил, имел место обычный, наверняка многодневный брутфорс сервера с целью подбора данных учётки RDP… Ну а дальше да, по сценарию, один из потомков Бэндер Бея вломился от имени админа, а может и любого другого пользователя, с правами работы в 1С папках (я думаю таких в компании Х немало) и запустил там шифратор, работу которого ни один антивирь не увидит… Шифратор поработал, напакостил и самоудалился… Вуаля…
А вот не факт… А как тебе вариант что вирус, прилетевший по мылу или из инета, вовсе и не собирался ничего сканировать или шифровать? Допустим он «присел» на инфицированную машину с целью создать простой бэкдор, для того же удалённого подключения, да хотяб тот же RDP, но только уже свой «поднять»… А далее — злоумышленник самолично-удалённо заходит на заражённый компьютер и там уже занимается чем хочет… Отключает антивирь и внедряет кейлогер, который тырит логин и пароль от учётки к примеру или файл hosts под свои цели правит, да для того же перехвата, чтобы с брутфорсом не заморачиваться…
А есть и вообще дикий вариант, но и такое читала случается — когда некие «шибко продвинутые» почту с приветом прям на сервере открывают под админским аккаунтом, а это полное и беззаговорочное «бинго» со стороны КО…
Такшта вариантов море…
Согласен. Может и такое быть. Но при таком раскладе ав мог вмешаться. Хотя допускаю.
Да ладно, че ты так сразу Ж)
Хммм, вот перечитала ещё раз комментарии в этом топике — вижу что понакидали мы кучу вумных никому не нужных фраз, щеки понадували, а что делать и как избежать — об этом ни строчки…
Попытаюсь восполнить… Что делать если это произошло? Понятия не имею, остается ждать наступления того счастливого момента когда дешифраторы придумают или, если нет бэкапа, то поторговавшись платить… Нонешные КО, соблюдают пиратский кодекс чести и файлы практически всегда восстанавливают… Если есть бэкап, то необходимо резко отключиться от инета, поменять все пароли и спокойно восстановиться…
Как избежать?
Ну во-первых — насколько я поняла, компы частников эти ребята не «бомбят», так как основная работа по взлому происходит вручную, то им оно не надо — гешефт не тот… Так что особой опасности для наших любимых папочек на рабочем столе типо «Фоточки. Геленджик 2012» нет…
Во-вторых — бэкап и ещё раз бэкап, как можно чаще, при этом архивные файлы на компьютере держать нельзя… Внешние накопители, DVD-RW и прочее всем в помощь…
В-третьих — пароли, причем у всех юзеров сети как можно длиньше и заковыристей, чтобы всерьёз озадачить «брутфорсеров»…
В-четвёртых — пинайте админов чтобы те не забывали закрывать от внешнего мира все ненужные порты, а также периодически пропатчивали свои серверные ОС, чтобы закрыть уже известные «дыры»…
Ну и в-пятых — не открывайте в письмах непонятно что и тем более не шляйтесь по непонятным сайтам… Как бы банально это не звучало и никогда не надейтесь на антивирусы…
Вроде банальные какие-то мысли и советы, но ничего другого на ум не приходит, увы…
На весьма дельное и взаимовыгодное предложение
КО ответили лаконичным
При этом пока не уточнялось куда и что он (они) перевели… Но, тем не менее, безумно радует их гуманнейший настрой и желание помочь ближнему своему, оказавшемуся в сложном материальном положении…
Боюсь, что продолжения этой истории не будет — думаю все и всё «просекли»…