Хакеры, взломавшие зарплатную систему МВД, оставили почту для связи

Недели две назад, пришло письмо из налоговой инспекции, для обычного пользователя все красиво и верно. Такая же шляпа с шифрованием файлов всех.
При анализе данных письмо шло из Бразилии с их хостов и адресов.
Самое поразительное, что файл с самим вирусным сообщением был залит именно на сайт nalog.ru. Ссылка после массовой рассылки прожила несколько часов.
Администрация nalog.ru следы подтирала в течении пары часов. То есть по факту взлом был их информационных систем, оттуда и утекла клиентская бд.

Продуманная схема, тут не только социальная инженерия, но и правильные данные получателя, не стреляли по воробьям.
Бухгалтер, он человек маленький, даже проверив все данные, скачав в файл с сайта налоговой инспекции, как не верить?

Про особенности атаки, проактивная защита не обратит шифрование, не заблокирует действие,из теневой копии ничего не дернешь и не восстановишь.
Отсутствие админских прав и вообще любых прав пользователя не спасет.

Цитата (Kent595616 @ 19.10.2016 - 18:10)

Хакеры, взломавшие зарплатную систему МВД, оставили почту для связи

Блять, вот нахуя такое репостить? При чем тут хакеры (!), взлом (!) зарплатной системы и связь! Связь тут при чем?!

Афганский вирус, блядь. "Квалификация наших программистов еще не очень, поэтому удалите ваши файлы сами". Ну почти один-в-один.

Админы делятся на два типа, одни делают бекапы, а другие будут делать))))

Не, ну получилось у посонов. А слабо им госдуру хакнуть?

Цитата (spy2spy @ 20.10.2016 - 11:03)

Отсутствие админских прав и вообще любых прав пользователя не спасет.

Поясни свою точку зрения.

Цитата (Scrembler @ 19.10.2016 - 18:13)

Цитата главбух Управления запустила на компьютер вирус, уничтоживший все файлы, в том числе бухгалтерскую программу "Парус". К файлу с вирусом прилагалась инструкция, как получить программу дешифровки. Надо было в отдел К эту хрень прислать, может тогда шевелится начнут и найдут этих гондонов-шифровальщиков...

Ты шоооо?Энтим низззяяя,они очень заняты поисками пиратского софта и расхитителями произведений Донцовой

Самая большая уязвимость в самой защищенной системе - пользователь

Пару раз такой вирус встречал. Один кстати поймал в живом виде и направил в касперского и доктора веба. На удивление они его не знали...
У него есть одна особенность, он шифрует только данные на локальных дисках. Понимаете к чему я?)
Это сообщение отредактировал nike13 - 20 окт 2016 в 11:48

Цитата (obolonsky @ 20.10.2016 - 10:22)

Резервные копии/ антивирусы не панацея...

Резервные копии - как раз универсальное средство от подобных проблем.

Цитата (spy2spy @ 20.10.2016 - 11:03)

При анализе данных письмо шло из Бразилии с их хостов и адресов. Самое поразительное, что файл с самим вирусным сообщением был залит именно на сайт nalog.ru. Ссылка после массовой рассылки прожила несколько часов. Администрация nalog.ru следы подтирала в течении пары часов. То есть по факту взлом был их информационных систем, оттуда и утекла клиентская бд.

Нашим приходило письмо от арбитражного суда. С адреса arbitr.it.
Ну откуда им знать, что это не российский домен. Они иногда даже отчетность налоговую на nalog.kz сдают. Не получается, как правило, но они очень стараются.

У меня знакомая так себе на ноуте все DOC'и похерила (*.docx). Все зашифровалось. Как я не бился, ни хера не вышло восстановить.

Тоже пришел якобы счет в архиве. В архиве PDF лежала, а к PDF скрипт прикручен, на Flash исполнен. И пизда...

Цитата (nike13 @ 20.10.2016 - 13:47)

Пару раз такой вирус встречал. Один кстати поймал в живом виде и направил в касперского и доктора веба. На удивление они его не знали... У него есть одна особенность, он шифрует только данные на локальных дисках. Понимаете к чему я?)

На сетке все хранить или в ёблаке

Цитата (Scimirok @ 20.10.2016 - 11:35)

Самая большая уязвимость в самой защищенной системе - пользователь

Значит, пользователя надо сажать в клетку ограничивать в правах по самые )

всем кому приходила эта вирусня, рекомендация пересылать это МВД-шникам всех ведомств..

может хоть так они шевелиться начнут..

Изза таких ушлепков сделал скрины для народа чтоб не попадались! Делюсь!

Два

Цитата (BattlePorQ @ 20.10.2016 - 11:57)

Цитата (Scimirok @ 20.10.2016 - 11:35) Самая большая уязвимость в самой защищенной системе - пользователь Значит, пользователя надо сажать в клетку ограничивать в правах по самые )

Проблема в том что шифруются документы которые не ограничеш в правах! А для баз таки да удаленный рабстол с ограничениями прав! И База данных на выделенном сервере! Хотя появился шифровальщик структуры 1с, и некоторые умудряются обработку эту запустить через 1с((( и соответственно все что можно шифруется в нутри 1с! а не файлы 1с

Цитата (Formated @ 19.10.2016 - 18:14)

Бухгалтерам не объяснить! Они все равно будут открывать такие письма.

У меня матушка 34-го года выпуска , но на компутере втыкает . Как я тебя понимаю !!!

Цитата (MironovKP @ 20.10.2016 - 11:22)

Цитата (spy2spy @ 20.10.2016 - 11:03) Отсутствие админских прав и вообще любых прав пользователя не спасет. Поясни свою точку зрения.

Процессы запускаются от двух уровней
1. Уровень системный (Системные учетные записи) скомпрометировать системные учетные записи проблематично, последнее что приходит на память это падение служб печати и доступ до саб.процессов - и цикличная перезагрузка удаленного хоста после возникновения ошибки.
2. Уровень пользовательский. Тут два варианта либо он администратор, либо пользователь - то есть прав на запуск системных задач не имеет.
Так вот данный вирус файл который качали с nalog.ru был заархивирован (RAR) при разархивации (антивирус молчит это не вирус, а сценарий) получали файл doc (xls) или docm (xlsm) (макрос - тут офис - спросит разблокируем полученное содержимое?) А вот с doc и вшитым в него vbs сценарием, он ничего не спросит. Открытие запросит - вызов winword (офиса) и из под этого процесса, все файлы по маске и будут зашифрованы. Процесс исполнения - относится к приложению microsofta, админские права не нужны. То есть даже обычный пользователь без права администратора может стать жертвой. Так и было.

для опенофиса - ничего такого не произошло.

Казанского линейного управления МВД России по Республике Татарстан - не существует в природе.

Есть Казанское ЛУ МВД России на транспорте, небольшое структурное подразделение УТ МВД России по ПФО. Начальник сидит на ж.д. вокзале в Казани, остальные по одиночке и группами в подвалах прилегающих железнодорожный станций Горьковской и Куйбышевской ж.д., аэропорту и речном порту. Бухгалтер вполне может быть один, работает на спижженом или списанном у РЖД компе, вообще без защиты и пользуется обычной, не служебной, электропочтой.

https://xn--n1abkdd.xn--b1aew.xn--p1ai/kont...ya/item/704740/
Это сообщение отредактировал hhurik - 20 окт 2016 в 12:12

Цитата (JamesRyan @ 20.10.2016 - 11:55)

Цитата (nike13 @ 20.10.2016 - 13:47) Пару раз такой вирус встречал. Один кстати поймал в живом виде и направил в касперского и доктора веба. На удивление они его не знали... У него есть одна особенность, он шифрует только данные на локальных дисках.  Понимаете к чему я?) На сетке все хранить или в ёблаке

У мен и на сетевых дисках шифровалось! Но только диски которые подключины! Благо сеть не сканирует на открытые шары!

Цитата (imaex @ 20.10.2016 - 11:03)

Цитата (Kent595616 @ 19.10.2016 - 18:10) Хакеры, взломавшие зарплатную систему МВД, оставили почту для связи Блять, вот нахуя такое репостить? При чем тут хакеры (!), взлом (!) зарплатной системы и связь! Связь тут при чем?! .

Для тех кто не видел в живую как это выглядит, после шифрования, вирус меняет заставку рабочего стола на свою, на котором написано мыло для связи, а связаться ты может с любого другого компа

З.Ы, Наш бух ловил типа такого


Это сообщение отредактировал Scrembler - 20 окт 2016 в 12:18

бэкапы, урезание прав, социальная инженерия,
а может отдел к копнуть ? чем они там занимаются, или пока депутатам и недимону с министрами всё не зашифруют, никто нихуя не пошевелится ?

хотя о чем это я , файлы игрушек наверно не шифруют

Цитата (Niruksorp @ 20.10.2016 - 12:01)

Изза таких ушлепков сделал скрины для народа чтоб не попадались! Делюсь!

Тут надо на почтовом сервере блокировать ярлыки в письмах и js скрипты.
Или правило настраивать "Подозрительное" сразу в корзину. Пусть лучше перешлют дважды, чем устроят эпидемию и ботнет.
Встречал моменты, когда, при viev в майкрасофтовских почтовиках скрипт уже запускался.
Это сообщение отредактировал spy2spy - 20 окт 2016 в 12:29

Цитата (Niruksorp @ 20.10.2016 - 12:05)

Проблема в том что шифруются документы которые не ограничеш в правах!

Ну, всё равно дальше, чем данному конкретному пользователю разрешено, оно не уползёт. И лёгким движением восстанавливается из бэкапа.