Всем привет, много лет занимаюсь сисадминством, после сдека решил написать пост на эту тему. Стабильно раз в пару недель приходят клиенты с этой проблемой, кому-то будет полезно знать как не попасть как сдек )

1. Звонок из налоговой

Бухгалтеру позвонили с налоговой и попросили в срочном порядке заполнить какой-то статистический отчет. Бухгалтер открывает письмо, внутри екселька. Запускает эксельку, антивирус ругается, отключает антивирус, письмо же из налоговой. Внутри пустая табличка, через 10 минут комп ребутится, вылазит окно шифровальщика.

2. Письмо re:

Так происходит большинство заражений. Сотрудник получает электронное письмо, которое выглядит как ответ на его письмо с прикрепленным файлом типа “дополнительная информация в приложении.”
Рассылки массовые, работают на самых самых дремучих юзеров, которые куда можно и нельзя.

3. Открытый RDP ("удалёнка") у бухгалтера

Главный бухгалтер - главный кандидат на удалённый доступ. "Лучше всего", конечно, выставить сервер с 1С напрямую в интернет, с паролем "12345". Как-то мы на первом визите-аудите прям показали клиенту, как "ломают" их сервер по журналу Windows, они были обескуражены.

4. Ускоряльщики скачивания (и прочий "мусорный" софт)

Что делает на работе скучающий сотрудник? Правильно, качает кинцо/игрушки (зачёркнуто - смотрит порнушки). А если торренты закрыты, то исследует интернет на предмет интересного. Находит скачивальщики типа ufiller (или тысяч аналогов), качается софт, запускается, через 10 минут - перезагрузка и - "вышлите $200 на биткойн-кошелёк". Кстати, знаю истории, кто высылал и присылали ключи. Знаю, кто высылал и не присылали. А мы один раз расшифровали данные, потратив 7 000 рублей.

5. Поддельные веб-страницы

Сотрудник перешёл по ссылке на сайт, очень похожий на оригинал. Тут вариаций масса: копии госуслуг, копия веб телеграм, ватсап, копии озона, wildberries и других популярных ресурсов.

Что нужно сделать, чтобы не встрять с шифровальщиком?
- работать в Linux (хаха)
- иметь бэкапы.
- бэкапы должны быть в облаке
- бэкапы должны уметь восстанавливаться.

Кстати, про восстанавливаться есть одна чудная история, далеко не все проверяют а можно ли восстановить бэкап. Интересен такой контент?

Года три назад работала моя контора со СДЭКом, заключили договор и нужно было отправить 20 ноутбуков из одного филиала в другой. Оформили заказ, через пару часов приехал курьер, подписал документы, забрал ноуты и уехал. А через час приехал НАСТОЯЩИЙ курьер СДЕКа.

У мошенников, очевидно, был, либо наводчик, либо прямой доступ в систему. Сработали оперативно буквально за несколько часов. Фальшивый курьер был в форме сдека и имел при себе фирменные бланки для отправок. Разве что машины не было, "курьер" сказал что припарковался далеко и унес все в руках, по камерам куда-то за угол, а дальше его след потерялся. Девочку с рецепшена, отдавшую технику на 30к долларов мошеннику, потом еще неделю откачивали от стресса.

Я понимаю что сдэк редиски и сливают данные, что их сб никуда не годится и тд и тп.

Просто хотелось бы задать вопрос тем самым "кулхацкерам", к которым отношение в инфополе колеблется от "гля какие" до " а чо такого? а вот сдэк..."

-Господа Великие Хакеры, а вы не могли бы просто ебать друг друга в жопу на своих конференциях и в своем даркнете, и не торогать простых граждан, которые ждут подарки детям, у которых малый бизнес горит, которым просто не пришло уже оплаченное или личное имущество.

И никакие вы не робингуды, вы обычные обиженные на жизнь малолетние долбоебы, которым случайно посчастливилось поджечь сарай, чему и радуетесь.

Ну а если вы отработали корпоративный заказ конкурентов, то вы еще и преступники...

Но пидорами вы стали при любой мотивации

А может и не было никаких хакеров. Я в силу определенных обстоятельств в конце 2018 устроился в колл- центр СДЭК. Конец сентября - начало октября не работало ничего. Объяснялось это якобы переходом на новую ЭК-5 (программа "Экспресс-курьер"). Продолжалось это дней 10. Я сидел на линии и отвечал: - "Перезвоните по вашему отправлению через 1-2 часа, или с вами свяжется оператор.", прекрасно понимая, что никто ни с кем не свяжется, ни старая ни новая ЭК просто не работала, ситуация один в один. Списать собственные ошибки на хакеров, да это святое, прикрыть свою жопу (может своим айтишникам зарплату не выдали, обидели чем, вот они вам и устроили). Да, тогда в 2018 примерно через 10 дней все восстановили.

Что касается ПД и безопасности. Я уволился в марте. Почти через год заказал смартфон через СДЭК. Ради интереса из дома попробовал войти в ЭК-5 и свободно зашел и отследил свой заказ. За год они не закрыли доступ уволившемуся сотруднику. А ведь там: ФИО, адреса, телефоны, стоимость и содержание заказа и т. д. Надо будет попробовать еще раз зайти, после устранения сбоя.

Как стало известно, уже третий день СДЭК лежит (не работают приложение и заморожены выдача/прием) посылок, включая пункты ПВЗ.

Сегодня тема немного прояснилась: поработала проукраинская хакерская группа, пошифровав все данные, а заодно и бэкапы компании. Пишут про возвращение в строй через 5 дней, думаю, руками восстанавливают базу.

Это полный кабздец, товарищи.

Ладно сбой, ладно шифровальщик (никто не застрахован, как говорится), но отсутствие бэкапов (либо подключение с админ правами раздела, куда кладут бэкапы?). Это уже за гранью для такой компании.

Тем более, БД клиентов уже несколько лет гуляет по сети в свободном доступе.
Тем более, знающие люди (по слухам) также обладают учетками администраторов и могут извне подключаться к их серверам….
Как говорится, доигрались….

А какую сумму им предложили за расшифровку их же данных (если предложили вообще): думать страшно…

Upd: пруф https://www.vedomosti.ru/business/news/2024/05/28/1039942-sd...
И еще куча сми

Еще в бытность сисадмином перевел все серверы в виртуальные. И в маленьких компаниях на 3 пользователя в 1С тоже. Все, проблема шифровальщиков исчезла навсегда. Как и случайно удаленных файлов , сломанной базы 1С программистом, и прочих. Потому что к хостовой машине, на которой работает виртуалка доступа нет и все бэкапы - полностью виртуальной машины на ней. За 15 лет , как все крутится на виртуальных машинах, теперь уже на своих серверах, ни у меня , ни у клиентов, кто арендует виртуальные машины, данные ни разу потеряны не были. Хоть и ловили раз 10 шифровальщиков, раз 5 стирали базы, раз 50 базы 1С ломались. Но через час уже можно работать на последней рабочей копии системы, чаще , ночной. Еще и вторая копия улетает на резервные серверы, на всякий случай, ни разу не приходилось пользоваться второй копией, все штатно стабильно работает.

Только восстановил виртуальную машину клиента. Удивительно, как совпало, раз в полгода такое случается)

Вот нам тут рассылочка приходила недавно от одного ведомства. Может оно ?

По данным (удалено мною), в настоящее время в российском сегменте сети Интернет активно распространяется программа-шифровальщик HardBit. Семейство программ-шифровальщиков HardBit активно применяется злоумышленниками для кражи данных различных компаний, их шифрования и последующего вымогательства денежных средств для их расшифровки.

Специалисты центра расследования киберинцидентов Solar JSOC CERT выпустили подробный отчёт с анализом версий шифровальщика HardBit. Известно о применении как минимум трёх версий вредоносной программы, которые отличаются друг от друга минимальным набором параметров. Версии указываются в расширениях зашифрованных файлов: .hardbit, .hardbit2 и .hardbit3.

Расшифровать файлы, зашифрованные вредоносной программой HardBit версии 1.0, без приватного ключа невозможно. Для расшифровки файлов, модифицированных шифровальщиком HardBit версий 2.0 и 3.0, эксперты Solar JSOC CERT разработали программу-декриптор. Скачать декриптор можно по ссылке: https://github.com/solar-jsoc/HardBitDecryptor/releases/tag/.... Инструкция по его применению приведена в отчёте.

В связи с высоким уровнем угрозы заражения информационных ресурсов многих компаний шифровальщиком HardBit рекомендуем ознакомиться с отчётом, опубликованным на официальном сайте компании «Ростелеком-Солар» и доступным по ссылке: https://rt-solar.ru/analytics/reports/3676/

В общем по сфере работы дошла инфа что только у нас в Заб.крае за начало недели 7 компаний впаялись в шифровальщика. Прям какая то дикая рассылка прет. И вся жопа в том что вирусня обновляется быстрее чем антивирусники успевают ее в свою базу добавить. Короче срабатывания 50 на 50. Чувакам которые хапанули шифру отьебнуло базы 1с, все публички, и тд. Кто то с горем пополам восстановил базы за прошлые месяцы,даже года. Кто то за большие бабки пытались расшифровать но я так понял бестолку. К слову мудачье что рассылает вирус просят за расшифровку 1 биток что по текущему курсу 2 ляма. Ну а умные люди всегда имеют свежий бэкап на съемном носителе. Так к чему это я. Бэкапьте пацаны. А и еще. По возможности бабушек и тетенек из бухгалтерии научите что не стоит все подряд письма открывать, особенно с архивами.

Слабое место вирусов шифровальщиков - это каталог C:\Windows
Они его не шифруют, т.к. в этом нет смысла, иначе винда не смогла бы загружаться и невозможно было бы вымогать деньги.
Так что самое важное можно хранить в C:\Windows
Проверено на личном печальном опыте, благо это была виртуалка.