Ну как, никому не хочется плакать? 'WANACRY!' )
Собственно у нас приемка уже раза три хватала шифровальщика, гады используют социальную инженерию. Приходит на мыло или в скайп сообщение в стиле: банк такой-то, нач отдела кредитования, вы выслали некорректные копии документов, срочно просмотрите исправьте и вышлите обратно нам. Секретарша открывает и привет. И так три раза. Так даже нач. по экономике поймали, поэтому на этот раз нас здорово всполошило. Все полезли обновляться и патчить, что навредило не меньше чем "желание поплакаться". Не все после обновлений взлетели, некоторых застопорило на два дня, у некоторых слетела операционка. Вот тебе и ваннакрай)))
...я маленькая программа
мне хочется плакать
мне хочется смеяться...
https://ru.wikipedia.org/wiki/WannaCry
https://habrahabr.ru/company/tssolution/blog/328658/
...я маленькая программа
мне хочется плакать
мне хочется смеяться...
https://ru.wikipedia.org/wiki/WannaCry
https://habrahabr.ru/company/tssolution/blog/328658/
алеж плакальщика пока не поймал никто.
так нас скоро на пингвина пересадят)))
так нас скоро на пингвина пересадят)))
Меня всегда доставляли пользователи, которые хотели видеть файлы по-микрософтофски (без расширений)...
И эта полезная программы отучит этих поклонников злого(потому как ОСь - Злая) интерфейсу зырить по-злому...
И эта полезная программы отучит этих поклонников злого(потому как ОСь - Злая) интерфейсу зырить по-злому...
-
- Капитан
- Сообщения: 11125
- Зарегистрирован: 31 янв 2015, 02:21
Линукс не разумеет ваши проблемы.
-
- Прапорщик
- Сообщения: 1987
- Зарегистрирован: 02 окт 2007, 13:39
Не в пользователях дело, а в тупорылых сисадминах, устраивающихся по завязкам на работу и не умеющих обеспечить элементарную компьютерную безопасность и настроить почтовые клиенты должным образом.Меня всегда доставляли пользователи, которые хотели видеть файлы по-микрософтофски (без расширений)...
И эта полезная программы отучит этих поклонников злого(потому как ОСь - Злая) интерфейсу зырить по-злому...
Но посторонних брать не хотят, якобы у фирмы "секреты"... Нам говорят, кто-то свой, по знакомству нужен... Платить нормально нужно и нормально относиться, не по проинципу " я начальник, ты дурак", "мы тут технику подешевле купили, сделай что-нибудь"...а в тупорылых сисадминах, устраивающихся по завязкам на работу
Похоже "гады" этот как раз те кто ведётся и кто отвечает за ИБ в данном учреждении. А может просто неучи.Howk писал(а): гады используют социальную инженерию.
IQ вашей секретарши наверное только на чай хватает приготовить... Увольняйте её нахрен.Howk писал(а): Секретарша открывает и привет. И так три раза.
Т.е. до этого ничего не обновлялось и не патчилось? Молодцы!Howk писал(а): Все полезли обновляться и патчить
Нужно премию этим хакерам дать, за то что они за сущие копейки решили всерьёз взяться за массовое сознание и отношение к ИБ. Надеюсь не последняя эпидемия и не последний урок для стада.
Наивный человек, вы полагаете что видеть расширения вам чем-то поможет?Ahasverus писал(а): Меня всегда доставляли пользователи, которые хотели видеть файлы по-микрософтофски (без расширений)...
Делается все как всегда на отбибись то бишь. Через руки секретарей и бухгалтеров проходит много документации, поэтому послания с шифровальщиками теряются в общей массе, они ничем из нее не выделяются.
До этого угу. У меня обновление тоже было отключено. Периодически раз в год или около того централизованно заливались обновления и все.
До этого угу. У меня обновление тоже было отключено. Периодически раз в год или около того централизованно заливались обновления и все.
Должно через мозги проходить. Иначе таких людей нужно увольнять.Howk писал(а): Через руки секретарей и бухгалтеров проходит много документации, поэтому послания с шифровальщиками теряются в общей массе, они ничем из нее не выделяются.
Дело не в вирусах. Они же всю инфу сольют абы-куда. И по любому поддельному письму сделку оформят. Они что, сумасшедшие?
Изначально написано TIR:
IQ вашей секретарши наверное только на чай хватает приготовить... Увольняйте её нахрен.
...урок для стада
ну-ну.
Изначально написано Howk:
Собственно у нас приемка уже раза три хватала шифровальщика, гады используют социальную инженерию. Приходит на мыло или в скайп сообщение в стиле: банк такой-то, нач отдела кредитования, вы выслали некорректные копии документов, срочно просмотрите исправьте и вышлите обратно нам. Секретарша открывает и привет. И так три раза.
Самое смешное что некоторые сисадмины получают в таких случаях премии.
Ну можно ещё сисадмина уволить Считаете что уволить стоит ТОЛЬКО его? Возможно.Кречет-М писал(а): ну-ну.
Ок, начнём с секретарши. Что должна делать секретарша при получении вредоносного письма?
Допустим даже простой вариант, что это исполняемый файл приехал на почту.
Существуют разные фокусы, включая "БлаговидноеИмя.doc . . . . . . . . . . . . . . . . . .exe", чтобы было не особенно разумно полагаться на секретаршу - даже продвинутую.
А есть и сложные варианты, типа - https://xakep.ru/2017/04/10/ole2link-0day/
Где не только от секретарши вообще ничего не зависит, но и где не каждый сисадмин способен сообразить как защищаться - не говоря уж о том чтоб не полениться таковую защиту настроить, сохранив при этом систему в юзабельном состоянии.
Допустим даже простой вариант, что это исполняемый файл приехал на почту.
Существуют разные фокусы, включая "БлаговидноеИмя.doc . . . . . . . . . . . . . . . . . .exe", чтобы было не особенно разумно полагаться на секретаршу - даже продвинутую.
А есть и сложные варианты, типа - https://xakep.ru/2017/04/10/ole2link-0day/
Где не только от секретарши вообще ничего не зависит, но и где не каждый сисадмин способен сообразить как защищаться - не говоря уж о том чтоб не полениться таковую защиту настроить, сохранив при этом систему в юзабельном состоянии.
Изначально написано TIR:
Ну можно ещё сисадмина уволить
А смысл?..
Наверное не открывать его? Уведомить сисадмина о подозрительном письме, посмотреть адрес отправителя, позвонить отправителю. Не открывать же всё подряд.Кречет-М писал(а): Ок, начнём с секретарши. Что должна делать секретарша при получении вредоносного письма?
Вредоносы распространяются именно в файлах .doc. В макросах. И исполняются автоматически при открытии файла при стандартных настройках.Кречет-М писал(а): Существуют разные фокусы, включая "БлаговидноеИмя.doc . . . . . . . . . . . . . . . . . .exe", чтобы было не особенно разумно полагаться на секретаршу - даже продвинутую.
Тогда это не сисадмин. ИБ конторы - обязанность сисадмина.Кречет-М писал(а): но и где не каждый сисадмин способен сообразить как защищаться -
Он должен инструктировать персонал, настраивать права доступа, организовать DLP.
После первого такого инцидента я бы требовал работать с почтой только через вирт машины. Отключил бы макросы и т.д. Лично не сталкивался с задачей настройки безопасной корпоративной почты, но если уделить этому ХОТЯ БЫ один день. Или два дня - можно мама не горюй наставить хакерам преград.
Этого сделано сисадмином не было, а дура продолжала покорно открывать файлы, не созваниваясь с отправителем и зная что машина может полететь.
Возможно она ХОТЕЛА чтобы комп лёг и она отдохнула от работы?
Взять эрудированного и не ленивого.Кречет-М писал(а): А смысл?..
Во первых макросы почти не используют. Используют имеенно подмену расширения. Во вторых макросы эти при стандартных настройках - отключены со времен 2007 офиса.
Подмена расширения это школьный стиль. Ну батники и экзешники слать под видом ворда это же детский сад. Насколько я помню, уже много лет используются именно различные уязвимости, так что даже опытный пользователь не сможет обнаружить неладное. По той же ссылке ломается без макросов и без смены расширения, просто вкладывается вредоносный OLE-объект, на который достаточно случайно навести курсор. Та же история была и с мессенджерами. Не надо было скачивать какой-то экзешник и запускать его. Достаточно было просто открыть картинку или, хуже того, она загружалась сама для предпросмотра. Уж подробностей не помню, но времена когда бдительность могла уберечь ушли. Сейчас бьют именно по уязвимостям предусмотреть которые невозможно, часто достаточно просто пройти по ссылке чтобы подхватить малварь.badydoc писал(а): Во первых макросы почти не используют. Используют имеенно подмену расширения.
"Распространение различной малвари с помощью вредоносных файлов Office (чаще всего их роль играют документы Word) – это давно проверенная злоумышленниками тактика. Как правило, такие атаки включают в себя элемент социальной инженерии и используют макросы VBA в документе.
Теперь независимый эксперт Рубен Дэниел Додж (Ruben Daniel Dodge), а также специалисты компании SentinelOne, предупреждают о появлении новой техники атак, которая использует файлы PowerPoint и выглядит опаснее уже привычных уловок с макросами.
Исследователи сообщают, что вредоносные файлы распространяются через спамерские письма с темами вида RE:Purchase orders #69812 или Fwd:Confirmation. Внутри таких посланий можно обнаружить вложения с именами order&prsn.ppsx, order.ppsx и invoice.ppsx. Иногда файлы бывают запакованы в ZIP-архивы.
Файл вредоносной презентации содержит всего один слайд, и его можно увидеть на иллюстрации ниже. Надпись, которая также является ссылкой, гласит: «Загрузка… Пожалуйста, подождите».
Так как никакой загрузки, разумеется, не происходит, пользователь наверняка захочет если не кликнуть по ссылке, то хотя бы навести на нее курсор, а это спровоцирует попытку выполнения кода PowerShell."
Всего-лишь слайдик поверпоинтовский, казалось бы...
Изначально написано TIR:
ИБ конторы - обязанность сисадмина. Он должен инструктировать персонал, настраивать права доступа, организовать DLP...
Лично не сталкивался с задачей настройки безопасной корпоративной почты, но если уделить этому ХОТЯ БЫ один день...
Взять эрудированного и не ленивого.
Вы наверное очень талантливый человек. Для меня то о чём вы пишете как об элементарном - довольно сложные задачи.
Взять хоть предложение нанять нового сисадмина...
Я наверное смог бы отфильтровать сисадминов-двоечников от сисадминов-хорошистов, но при этом не так уж уверен, что смогу отличить троечника от хорошиста или хорошиста от отличника. Причём это когда речь идет только о виндовых сисадминах - а это именно мой бэкграунд. С сисадминами иного профиля будет намного тяжелее.
Очевидно, что чем дальше человек от некоторой профессии - тем сложнее ему будет оценить соответствующего специалиста.
Как можно ожидать, что очередная гипотетическая попытка нанять сисадмина у данной организации - окажется более успешной, а не наоборот?
Изначально написано TIR:
Наверное не открывать его? Уведомить сисадмина о подозрительном письме.
Это ответ на вопрос, что делать с подозрительными письмами, а не с вредоносными.
И если на постоянной основе уведомлять сисадмина о мало-мальски подозрительных письмах - то я не позавидую такому админу.
А с вредоносным письмом проблема та, что оно может быть _не подозрительным_.
Изначально написано TIR:
После первого такого инцидента я бы требовал работать с почтой только через вирт машины.
Очевидно что если мы рассматриваем вариант с уязвимостью в основных офисных программах - то в песочнице должна работать не только почта, но и сам офис.
Кроме того, с виртуальными машинами возникают как минимум следующие проблемы:
- им нужно больше аппаратных ресурсов
- возможно нужны дополнительные лицензии
- всю эту виртуальную кухню нужно настроить таким образом, чтобы пользователь мог открывать/редактировать в виртуалке различные файлы, в т.ч. с сетевых ресурсов, и при этом в случае атаки ущерб не вышел бы за пределы ВМ, и чтобы не только сисадмин мог разобраться как этим всем пользоваться.
Понятно что в теории всё можно решить, а практически издержки могут быть неприемлемыми.
Смотря в каком объеме их проработатьКречет-М писал(а): Для меня то о чём вы пишете как об элементарном - довольно сложные задачи.
Можно ведь даже элементарным инструктажом и правилами ограничиться. Можно внедрить готовое проприетарное ПО для этих целей, можно в конце-концов КУПИТЬ услуги конторы занимающейся DLP или нанять ИБ-специалиста для аудита.
Путей много. Если есть желание работать то с задачей теоретически и кухарка справится. А в данном случае не заметно это желание. 3 раза затянуть вирус это уже слишком.
Очень просто. Если оганизация не способна нанимать хороших специалистов - значит у неё проблемы с кадровой политикой. А значит стоит банкротиться и идти по домам.Кречет-М писал(а): Как можно ожидать, что очередная гипотетическая попытка нанять сисадмина у данной организации - окажется более успешной, а не наоборот?
Зависит от штата, траффика, кол-ва подозрительных писем По-хорошему он должен был после 1-2 обращения придумать алгоритм для реагирования и наклеить секретарше на монитор.Кречет-М писал(а): если на постоянной основе уведомлять сисадмина о мало-мальски подозрительных письмах - то я не позавидую такому админу.
Похоже описан не тот случай когда зараза пришла от реальных деловых партнеров.Кречет-М писал(а): А с вредоносным письмом проблема та, что оно может быть _не подозрительным_.
По-моему тут явная соц. инженерия. А не случайное заражение деловой переписки.Howk писал(а): банк такой-то, нач отдела кредитования, вы выслали некорректные копии документов, срочно просмотрите исправьте и вышлите обратно нам
Смотря каким Есть технологии напрямую обращающиеся к процессору и имеющие почти одинаковое быстродействие. Аппаратная поддержка вирт машин почти везде сейчас включается. Искать список лень. Тем более речь идёт о клиенте а не сервере, который почти всегда в простое.Кречет-М писал(а): - им нужно больше аппаратных ресурсов
Возможно и нетКречет-М писал(а): возможно нужны дополнительные лицензии
Это задача сисадмина. Я думаю это не сложно реализовать. Обмен ВМ с реальной машиной и сетью - тривиальная задача.Кречет-М писал(а): всю эту виртуальную кухню нужно настроить таким образом, чтобы пользователь мог открывать/редактировать в виртуалке различные файлы, в т.ч. с сетевых ресурсов, и при этом в случае атаки ущерб не вышел бы за пределы ВМ
Три раза шифровать бухгалтерию - что ещё может быть хуже?Кречет-М писал(а): Понятно что в теории всё можно решить, а практически издержки могут быть неприемлемыми.
Такое чувство, когда не очень понятно, троллят меня или нет...Путей много. Если есть желание работать то с задачей теоретически и кухарка справится.
...
Очень просто. Если оганизация не способна нанимать хороших специалистов - значит у неё проблемы с кадровой политикой. А значит стоит банкротиться и идти по домам.
...
Есть технологии напрямую обращающиеся к процессору и имеющие почти одинаковое быстродействие. Аппаратная поддержка вирт машин почти везде сейчас включается. Искать список лень.
...
Это задача сисадмина. Я думаю это не сложно реализовать. Обмен ВМ с реальной машиной и сетью - тривиальная задача.
У ВМ нет аппаратной поддержки? ВМ машина не может обмениваться данными с реальной системой? Или вы не в курсе? В чём же троллинг?
Сисадмины занимаются ИБ факультативно, на них парк ПВМ оргтехники и корп железа, плюс специфиски софт. Инструктируют не открывать, регулярно через мессенджеры, но это не помогает, т.к. допустим секретарь на входящей документации в отдел может и не знать с какими банками по городу отдел имеет дело (только коммерчческих в городе несколько десятков штук), плюс областные центры-столицы. Тем более не в курсе с кем допустим рекламные агенты имеют дело. Обычно она или пересылает, или открывает печатает и приносит после того как зарегистрирует. Ну а тот кто шлет он не идиот, выглядит письмо правдоподобно, в массиве из порядка сотни не спама за день оно просто теряется.
Рекомендация "подозрительное не открывать" - она смешная. Ладно какой техник или ремонтник, у него постоянные каналы, поставщики деталей склад, начальство да и все. А у коммерсов постоянно все меняется, начальству и снабжению постоянно пургу шлют, то предложения, то вакансии то так взаимодействие. Отследи тут.
Сейчас вон вторая волна пошла -
Петя не вымогатель, Петя стиратель...
Очень приятно, Petya, точнее ExPetr!
Здесь был не Петя?
https://www.gazeta.ru/tech/201...yer.shtml#page3
Рекомендация "подозрительное не открывать" - она смешная. Ладно какой техник или ремонтник, у него постоянные каналы, поставщики деталей склад, начальство да и все. А у коммерсов постоянно все меняется, начальству и снабжению постоянно пургу шлют, то предложения, то вакансии то так взаимодействие. Отследи тут.
Сейчас вон вторая волна пошла -
Петя не вымогатель, Петя стиратель...
Очень приятно, Petya, точнее ExPetr!
Здесь был не Петя?
https://www.gazeta.ru/tech/201...yer.shtml#page3
У вас все еще есть данные?
Тогда мы идем к Вам! )))
Тогда мы идем к Вам! )))
Изначально написано TIR:
У ВМ нет аппаратной поддержки? ВМ машина не может обмениваться данными с реальной системой? Или вы не в курсе? В чём же троллинг?
Ну то есть оперативная память у нас настолько бесплатная, что мы про неё даже и не вспоминаем на фоне VT-x? Really?
И сделать "Обмен ВМ с реальной машиной и сетью" - это прямо настолько "тривиальная задача"(с), что вот прям никаких пояснений не требуется, каким тривиальным способом мы откроем доступ виртуалке в сеть - и при этом защитим сеть от запущенного в виртуалке вредоносного ПО?
(не говоря уж про другие сценарии типа "документ на флешке" и про юзабилити и поддержку всего этого балагана.)
В общем, лучше бы это был троллинг, потому что сейчас это выглядит как Даннинг-Крюгер эффект у одного из нас.
Изначально написано Howk:
Очень приятно, Petya, точнее ExPetr!
Очень даже красивая штука - в плане использованных способов распространения.
P.S.
А в маркетинговом плане получилось не супер, небось выгоднее было б напрямую деньги/биткойны воровать
P.P.S.
Что-то у меня не заработал под XP...
-
- Капитан
- Сообщения: 11125
- Зарегистрирован: 31 янв 2015, 02:21
Не обновились вы вовремя. Я, после перехода в стан пингвинов, вообще забыл, что есть вирусы.Изначально написано Кречет-М:
P.P.S. Что-то у меня не заработал под XP...
-
- Прапорщик
- Сообщения: 1987
- Зарегистрирован: 02 окт 2007, 13:39
Аналогично! Супруга, прочитав про все эти последние эпидерсии, плотоядно посматривает на мой линукс)))))) Ибо активно работает в инете.Я, после перехода в стан пингвинов, вообще забыл, что есть вирусы.
Кто сейчас на конференции
Сейчас этот форум просматривают: нет зарегистрированных пользователей и 4 гостя