четверг, 30 октября 2014 г.

Вирус шифровальщик-вымогатель .CoDe

Сегодня на работе краем уха слышал как ИТ - администраторы пытались разобраться с вирусом и последствиями его деятельности. Поэтому в данном посте хотелось бы рассказать, что ИТ - администраторам удалось выяснить о вирусе, чтобы пользователи и администраторы имели малейшее представление о нем, и своевременно смогли среагировать.

Внимание! Все названия файлов выдуманы для примера.

Все начилось с того, что в ИТ - отдел пришло обращение, в котором говорилось что в общей сетевой папке на сервере, в которой многие пользователи правят общие файлы Excel и Word, вместо файлов, например file.xlsx и file.docx, появились файлы file.xlsx и file.docx, но с расширением .CoDe, т.е. эти файлы имели имена file.xlsx.CoDe и file.docx.CoDe. При попытке открыть данные файлы в excel или word в файлах отображалось случайный набор символов в непонятной кодировке. Сразу же ИТ - администраторы сошлись в мнение, что это проделки вируса. В Гугле было найдены несколько упоминаний о данном вирусе. Данный вирус на зараженном компьютере зашифровывает файлы excel, word, pdf, изображения и к этим файлам добавляет расширение .CoDe. и на системном диске C: создает папку c названием wiNtmp с файлами вируса. В каждой папке с зашифрованными файлами создается текстовый файл с названием [%username%]_Файлы зашифрованы.txt и с текстом требования денег, где [%username%] - имя пользователя от которого был запущен вирус. Дальше по этому имени пользователя было найдено сетевое имя зараженного компьютера, ну и в последствии сам компьютер с вирусом. Если бы в название файла [%username%]_Файлы зашифрованы.txt не было имени пользователя, то поиск зараженного компьютера было бы затруднительно, т.к. с общей сетевой папкой на сервере работает много пользователей и пришлось бы искать его на всех компьютерах. Что нужно запомнить о данном вирусе:

1. Данный вирус прислан по электронной почте как вложение с письмом, с неизвестного адреса. Так что внимательно относитесь к приходящим письмам и не открывайте вложения с неизвестных адресов.

2. У пользователя были права администратора, таким образом вирус был успешно запущен, по незнанию, на выполнение. Поэтому ни в коем случае не давайте права администратора пользователю.

3. Так как у пользователя были подключены сетевые диски и были разрешения на чтение и запись файлов на сетевом ресурсе, то вирус заразил не только локальные файлы пользователя, но и файлы на сервере.

4. Антивирус Касперского с последними обновлениями баз не смог спасти от провала, так как ничего не обнаружил. Антивирус это не гарант защиты.

5. На поиски зараженного компьютера было потрачено много времени, поэтому был отключен от сети очень поздно. За это время вирус зашифровал большое количество пользовательских файлов и общедоступных сетевых.

6. Так как данные на сервере периодически резервируются, общие пользовательские файлы удалось вытащить из бэкапа. Локальные файлы пользователя зараженного компьютера, думаю, так и останутся зашифрованными. Так что выполняйте бэкапы так часто, на сколько это возможно.