Ну как, никому не хочется плакать? 'WANACRY!' )

[Howk]

Собственно у нас приемка уже раза три хватала шифровальщика, гады используют социальную инженерию. Приходит на мыло или в скайп сообщение в стиле: банк такой-то, нач отдела кредитования, вы выслали некорректные копии документов, срочно просмотрите исправьте и вышлите обратно нам. Секретарша открывает и привет. И так три раза. Так даже нач. по экономике поймали, поэтому на этот раз нас здорово всполошило. Все полезли обновляться и патчить, что навредило не меньше чем "желание поплакаться". Не все после обновлений взлетели, некоторых застопорило на два дня, у некоторых слетела операционка. Вот тебе и ваннакрай)))
...я маленькая программа
мне хочется плакать
мне хочется смеяться...
https://ru.wikipedia.org/wiki/WannaCry
https://habrahabr.ru/company/tssolution/blog/328658/

[Howk]

алеж плакальщика пока не поймал никто.
так нас скоро на пингвина пересадят)))

[Ahasverus]

Меня всегда доставляли пользователи, которые хотели видеть файлы по-микрософтофски (без расширений)...
И эта полезная программы отучит этих поклонников злого(потому как ОСь - Злая) интерфейсу зырить по-злому...

[Миномётчик]

Линукс не разумеет ваши проблемы.

[Аристотель]

Меня всегда доставляли пользователи, которые хотели видеть файлы по-микрософтофски (без расширений)...
И эта полезная программы отучит этих поклонников злого(потому как ОСь - Злая) интерфейсу зырить по-злому...

Не в пользователях дело, а в тупорылых сисадминах, устраивающихся по завязкам на работу и не умеющих обеспечить элементарную компьютерную безопасность и настроить почтовые клиенты должным образом.

[warwick]

а в тупорылых сисадминах, устраивающихся по завязкам на работу

Но посторонних брать не хотят, якобы у фирмы "секреты"... Нам говорят, кто-то свой, по знакомству нужен... Платить нормально нужно и нормально относиться, не по проинципу " я начальник, ты дурак", "мы тут технику подешевле купили, сделай что-нибудь"...

[TIR]

гады используют социальную инженерию.

Похоже "гады" этот как раз те кто ведётся и кто отвечает за ИБ в данном учреждении. А может просто неучи.

Секретарша открывает и привет. И так три раза.

IQ вашей секретарши наверное только на чай хватает приготовить... Увольняйте её нахрен.

Все полезли обновляться и патчить

Т.е. до этого ничего не обновлялось и не патчилось? Молодцы!
Нужно премию этим хакерам дать, за то что они за сущие копейки решили всерьёз взяться за массовое сознание и отношение к ИБ. Надеюсь не последняя эпидемия и не последний урок для стада.

[TIR]

Меня всегда доставляли пользователи, которые хотели видеть файлы по-микрософтофски (без расширений)...

Наивный человек, вы полагаете что видеть расширения вам чем-то поможет?

[Howk]

Делается все как всегда на отбибись то бишь. Через руки секретарей и бухгалтеров проходит много документации, поэтому послания с шифровальщиками теряются в общей массе, они ничем из нее не выделяются.
До этого угу. У меня обновление тоже было отключено. Периодически раз в год или около того централизованно заливались обновления и все.

[TIR]

Через руки секретарей и бухгалтеров проходит много документации, поэтому послания с шифровальщиками теряются в общей массе, они ничем из нее не выделяются.

Должно через мозги проходить. Иначе таких людей нужно увольнять.
Дело не в вирусах. Они же всю инфу сольют абы-куда. И по любому поддельному письму сделку оформят. Они что, сумасшедшие?

[Кречет-М]

Изначально написано TIR:
IQ вашей секретарши наверное только на чай хватает приготовить... Увольняйте её нахрен.
...урок для стада

ну-ну.

[Кречет-М]

Изначально написано Howk:
Собственно у нас приемка уже раза три хватала шифровальщика, гады используют социальную инженерию. Приходит на мыло или в скайп сообщение в стиле: банк такой-то, нач отдела кредитования, вы выслали некорректные копии документов, срочно просмотрите исправьте и вышлите обратно нам. Секретарша открывает и привет. И так три раза.

Самое смешное что некоторые сисадмины получают в таких случаях премии.

[TIR]

ну-ну.

Ну можно ещё сисадмина уволить Считаете что уволить стоит ТОЛЬКО его? Возможно.

[Кречет-М]

Ок, начнём с секретарши. Что должна делать секретарша при получении вредоносного письма?
Допустим даже простой вариант, что это исполняемый файл приехал на почту.
Существуют разные фокусы, включая "БлаговидноеИмя.doc . . . . . . . . . . . . . . . . . .exe", чтобы было не особенно разумно полагаться на секретаршу - даже продвинутую.
А есть и сложные варианты, типа - https://xakep.ru/2017/04/10/ole2link-0day/
Где не только от секретарши вообще ничего не зависит, но и где не каждый сисадмин способен сообразить как защищаться - не говоря уж о том чтоб не полениться таковую защиту настроить, сохранив при этом систему в юзабельном состоянии.

[Кречет-М]

Изначально написано TIR:
Ну можно ещё сисадмина уволить

А смысл?..

[TIR]

Ок, начнём с секретарши. Что должна делать секретарша при получении вредоносного письма?

Наверное не открывать его? Уведомить сисадмина о подозрительном письме, посмотреть адрес отправителя, позвонить отправителю. Не открывать же всё подряд.

Существуют разные фокусы, включая "БлаговидноеИмя.doc . . . . . . . . . . . . . . . . . .exe", чтобы было не особенно разумно полагаться на секретаршу - даже продвинутую.

Вредоносы распространяются именно в файлах .doc. В макросах. И исполняются автоматически при открытии файла при стандартных настройках.

но и где не каждый сисадмин способен сообразить как защищаться -

Тогда это не сисадмин. ИБ конторы - обязанность сисадмина.
Он должен инструктировать персонал, настраивать права доступа, организовать DLP.
После первого такого инцидента я бы требовал работать с почтой только через вирт машины. Отключил бы макросы и т.д. Лично не сталкивался с задачей настройки безопасной корпоративной почты, но если уделить этому ХОТЯ БЫ один день. Или два дня - можно мама не горюй наставить хакерам преград.
Этого сделано сисадмином не было, а дура продолжала покорно открывать файлы, не созваниваясь с отправителем и зная что машина может полететь.
Возможно она ХОТЕЛА чтобы комп лёг и она отдохнула от работы?

А смысл?..

Взять эрудированного и не ленивого.

[badydoc]

Во первых макросы почти не используют. Используют имеенно подмену расширения. Во вторых макросы эти при стандартных настройках - отключены со времен 2007 офиса.

[TIR]

Во первых макросы почти не используют. Используют имеенно подмену расширения.

Подмена расширения это школьный стиль. Ну батники и экзешники слать под видом ворда это же детский сад. Насколько я помню, уже много лет используются именно различные уязвимости, так что даже опытный пользователь не сможет обнаружить неладное. По той же ссылке ломается без макросов и без смены расширения, просто вкладывается вредоносный OLE-объект, на который достаточно случайно навести курсор. Та же история была и с мессенджерами. Не надо было скачивать какой-то экзешник и запускать его. Достаточно было просто открыть картинку или, хуже того, она загружалась сама для предпросмотра. Уж подробностей не помню, но времена когда бдительность могла уберечь ушли. Сейчас бьют именно по уязвимостям предусмотреть которые невозможно, часто достаточно просто пройти по ссылке чтобы подхватить малварь.
"Распространение различной малвари с помощью вредоносных файлов Office (чаще всего их роль играют документы Word) – это давно проверенная злоумышленниками тактика. Как правило, такие атаки включают в себя элемент социальной инженерии и используют макросы VBA в документе.
Теперь независимый эксперт Рубен Дэниел Додж (Ruben Daniel Dodge), а также специалисты компании SentinelOne, предупреждают о появлении новой техники атак, которая использует файлы PowerPoint и выглядит опаснее уже привычных уловок с макросами.
Исследователи сообщают, что вредоносные файлы распространяются через спамерские письма с темами вида RE:Purchase orders #69812 или Fwd:Confirmation. Внутри таких посланий можно обнаружить вложения с именами order&prsn.ppsx, order.ppsx и invoice.ppsx. Иногда файлы бывают запакованы в ZIP-архивы.
Файл вредоносной презентации содержит всего один слайд, и его можно увидеть на иллюстрации ниже. Надпись, которая также является ссылкой, гласит: «Загрузка… Пожалуйста, подождите».
Так как никакой загрузки, разумеется, не происходит, пользователь наверняка захочет если не кликнуть по ссылке, то хотя бы навести на нее курсор, а это спровоцирует попытку выполнения кода PowerShell."
Всего-лишь слайдик поверпоинтовский, казалось бы...

[Кречет-М]

Изначально написано TIR:
ИБ конторы - обязанность сисадмина. Он должен инструктировать персонал, настраивать права доступа, организовать DLP...
Лично не сталкивался с задачей настройки безопасной корпоративной почты, но если уделить этому ХОТЯ БЫ один день...
Взять эрудированного и не ленивого.

Вы наверное очень талантливый человек. Для меня то о чём вы пишете как об элементарном - довольно сложные задачи.
Взять хоть предложение нанять нового сисадмина...
Я наверное смог бы отфильтровать сисадминов-двоечников от сисадминов-хорошистов, но при этом не так уж уверен, что смогу отличить троечника от хорошиста или хорошиста от отличника. Причём это когда речь идет только о виндовых сисадминах - а это именно мой бэкграунд. С сисадминами иного профиля будет намного тяжелее.
Очевидно, что чем дальше человек от некоторой профессии - тем сложнее ему будет оценить соответствующего специалиста.
Как можно ожидать, что очередная гипотетическая попытка нанять сисадмина у данной организации - окажется более успешной, а не наоборот?

[Кречет-М]

Изначально написано TIR:
Наверное не открывать его? Уведомить сисадмина о подозрительном письме.

Это ответ на вопрос, что делать с подозрительными письмами, а не с вредоносными.
И если на постоянной основе уведомлять сисадмина о мало-мальски подозрительных письмах - то я не позавидую такому админу.
А с вредоносным письмом проблема та, что оно может быть _не подозрительным_.

Изначально написано TIR:
После первого такого инцидента я бы требовал работать с почтой только через вирт машины.

Очевидно что если мы рассматриваем вариант с уязвимостью в основных офисных программах - то в песочнице должна работать не только почта, но и сам офис.
Кроме того, с виртуальными машинами возникают как минимум следующие проблемы:
- им нужно больше аппаратных ресурсов
- возможно нужны дополнительные лицензии
- всю эту виртуальную кухню нужно настроить таким образом, чтобы пользователь мог открывать/редактировать в виртуалке различные файлы, в т.ч. с сетевых ресурсов, и при этом в случае атаки ущерб не вышел бы за пределы ВМ, и чтобы не только сисадмин мог разобраться как этим всем пользоваться.
Понятно что в теории всё можно решить, а практически издержки могут быть неприемлемыми.

[TIR]

Для меня то о чём вы пишете как об элементарном - довольно сложные задачи.

Смотря в каком объеме их проработать
Можно ведь даже элементарным инструктажом и правилами ограничиться. Можно внедрить готовое проприетарное ПО для этих целей, можно в конце-концов КУПИТЬ услуги конторы занимающейся DLP или нанять ИБ-специалиста для аудита.
Путей много. Если есть желание работать то с задачей теоретически и кухарка справится. А в данном случае не заметно это желание. 3 раза затянуть вирус это уже слишком.

Как можно ожидать, что очередная гипотетическая попытка нанять сисадмина у данной организации - окажется более успешной, а не наоборот?

Очень просто. Если оганизация не способна нанимать хороших специалистов - значит у неё проблемы с кадровой политикой. А значит стоит банкротиться и идти по домам.

если на постоянной основе уведомлять сисадмина о мало-мальски подозрительных письмах - то я не позавидую такому админу.

Зависит от штата, траффика, кол-ва подозрительных писем По-хорошему он должен был после 1-2 обращения придумать алгоритм для реагирования и наклеить секретарше на монитор.

А с вредоносным письмом проблема та, что оно может быть _не подозрительным_.

Похоже описан не тот случай когда зараза пришла от реальных деловых партнеров.

банк такой-то, нач отдела кредитования, вы выслали некорректные копии документов, срочно просмотрите исправьте и вышлите обратно нам

По-моему тут явная соц. инженерия. А не случайное заражение деловой переписки.

- им нужно больше аппаратных ресурсов

Смотря каким Есть технологии напрямую обращающиеся к процессору и имеющие почти одинаковое быстродействие. Аппаратная поддержка вирт машин почти везде сейчас включается. Искать список лень. Тем более речь идёт о клиенте а не сервере, который почти всегда в простое.

возможно нужны дополнительные лицензии

Возможно и нет

всю эту виртуальную кухню нужно настроить таким образом, чтобы пользователь мог открывать/редактировать в виртуалке различные файлы, в т.ч. с сетевых ресурсов, и при этом в случае атаки ущерб не вышел бы за пределы ВМ

Это задача сисадмина. Я думаю это не сложно реализовать. Обмен ВМ с реальной машиной и сетью - тривиальная задача.

Понятно что в теории всё можно решить, а практически издержки могут быть неприемлемыми.

Три раза шифровать бухгалтерию - что ещё может быть хуже?

[Кречет-М]

Путей много. Если есть желание работать то с задачей теоретически и кухарка справится.
...
Очень просто. Если оганизация не способна нанимать хороших специалистов - значит у неё проблемы с кадровой политикой. А значит стоит банкротиться и идти по домам.
...
Есть технологии напрямую обращающиеся к процессору и имеющие почти одинаковое быстродействие. Аппаратная поддержка вирт машин почти везде сейчас включается. Искать список лень.
...
Это задача сисадмина. Я думаю это не сложно реализовать. Обмен ВМ с реальной машиной и сетью - тривиальная задача.

Такое чувство, когда не очень понятно, троллят меня или нет...

[TIR]

У ВМ нет аппаратной поддержки? ВМ машина не может обмениваться данными с реальной системой? Или вы не в курсе? В чём же троллинг?

[Howk]

Сисадмины занимаются ИБ факультативно, на них парк ПВМ оргтехники и корп железа, плюс специфиски софт. Инструктируют не открывать, регулярно через мессенджеры, но это не помогает, т.к. допустим секретарь на входящей документации в отдел может и не знать с какими банками по городу отдел имеет дело (только коммерчческих в городе несколько десятков штук), плюс областные центры-столицы. Тем более не в курсе с кем допустим рекламные агенты имеют дело. Обычно она или пересылает, или открывает печатает и приносит после того как зарегистрирует. Ну а тот кто шлет он не идиот, выглядит письмо правдоподобно, в массиве из порядка сотни не спама за день оно просто теряется.
Рекомендация "подозрительное не открывать" - она смешная. Ладно какой техник или ремонтник, у него постоянные каналы, поставщики деталей склад, начальство да и все. А у коммерсов постоянно все меняется, начальству и снабжению постоянно пургу шлют, то предложения, то вакансии то так взаимодействие. Отследи тут.
Сейчас вон вторая волна пошла -
Петя не вымогатель, Петя стиратель...
Очень приятно, Petya, точнее ExPetr!
Здесь был не Петя?

https://www.gazeta.ru/tech/201...yer.shtml#page3

[Howk]

У вас все еще есть данные?
Тогда мы идем к Вам! )))

[Кречет-М]

Изначально написано TIR:
У ВМ нет аппаратной поддержки? ВМ машина не может обмениваться данными с реальной системой? Или вы не в курсе? В чём же троллинг?

Ну то есть оперативная память у нас настолько бесплатная, что мы про неё даже и не вспоминаем на фоне VT-x? Really?
И сделать "Обмен ВМ с реальной машиной и сетью" - это прямо настолько "тривиальная задача"(с), что вот прям никаких пояснений не требуется, каким тривиальным способом мы откроем доступ виртуалке в сеть - и при этом защитим сеть от запущенного в виртуалке вредоносного ПО?
(не говоря уж про другие сценарии типа "документ на флешке" и про юзабилити и поддержку всего этого балагана.)
В общем, лучше бы это был троллинг, потому что сейчас это выглядит как Даннинг-Крюгер эффект у одного из нас.

[Кречет-М]

Изначально написано Howk:
Очень приятно, Petya, точнее ExPetr!

Очень даже красивая штука - в плане использованных способов распространения.
P.S.
А в маркетинговом плане получилось не супер, небось выгоднее было б напрямую деньги/биткойны воровать
P.P.S.
Что-то у меня не заработал под XP...

[Миномётчик]

Изначально написано Кречет-М:
P.P.S. Что-то у меня не заработал под XP...

Не обновились вы вовремя. Я, после перехода в стан пингвинов, вообще забыл, что есть вирусы.

[Аристотель]

Я, после перехода в стан пингвинов, вообще забыл, что есть вирусы.

Аналогично! Супруга, прочитав про все эти последние эпидерсии, плотоядно посматривает на мой линукс)))))) Ибо активно работает в инете.