понедельник, 2 ноября 2015 г.

Трояны-шифровальщики. Vault и другие. Как защититься?

Уж сколько раз твердили миру ... а воз, как говорится, и ныне там. Сегодня мне позвонили коллеги с до боли знакомой и не менее печальной историей, мол, подхватили вирус, который зашифровал все наши файлы. Что можно сделать? Естественно, первым ответом было - можно поздравить вас. Шансы восстановления ваших файлов близки к нулю, при отсутствии резервных копий и т.п. Кто-то может поспорить со мной, мол, можно потратить время на исследование вредоноса, попробовать разобраться что же именно произошло и т.п., все это конечно можно, и в очень небольшом проценте случаев, когда удается понять логику работы шифровальщика и приватный ключ, которым зашифрованы ваши файлы каким-то чудом окажется на HDD вашего ПК - расшифровать информацию все же можно. Но шанс заполучить с ПК на котором поработал шифровальщик приватный ключ - ничтожно мал. Ради интереса я решил посмотреть что же они подхватили ... Вредоносом в данном случае оказался Vault ... по классификации антивирусных вендоров - это скорее всего что-то другое, но в данном случае название Vault обусловлено расширением .vault с которым вредонос оставляет зараженные файлы на диске. Ниже я приведу несколько полезных ссылок, с которыми ради интереса нужно ознакомиться:


Или перечитать полностью. Итак, какова же схема распространения этой гадости? На адрес электронной почты потенциальной жертвы приходит письмо, содержащее текст составленный с применением методов социальной инженерии. Т.е. текст, прочтя который пользователь наверняка захочет посмотреть вложенный архив. Например, это может быть требование предоставить какие-то документы, сообщение о встречной налоговой проверке, просьба погасить долг или срочно принять какие-то меры, например, сообщение может содержать вполне серьезный текст общий смысл которого сводится к "бла-бла-бла, вы нам должны, мы подаем на вас в суд, с актами сверки взаиморасчетов и т.п. вы можете ознакомиться во вложении". Иногда даже (сам лично свидетелем не был, но читал не одну такую историю) ... в компании раздается звонок, мол, бла-бла-бла, мы представляем организацию такую-то, направили на ваш адрес электронной почты документы, бухгалтеру необходимо срочно с ними ознакомиться, посмотрите это важно ... И ничего не подозревающий менеджер открывает письмо, видит там архив, открывает письмо, видит там файл "Акт приема-передачи и оригинал договора <что-то-там-очень-длинноооооое>.js" ... открывает его ... и всё.

А всё дело в том, что в компаниях, в которых произошло подобное люди вообще не слышали об информационной безопасности, не проводили соответствующий инструктаж среди сотрудников, не имеют квалифицированных IT кадров ... вообщем, это обычные компании и обычные пользователи (как везде). Если вы не читали ссылки выше, то вкратце объясню что же происходит при открытии файла .js ... .js - это JScript Script File, т.е. фактически пакетный сценарий. По-умолчанию в Windows файл .js ассоциирован с Microsoft (R) Windows Based Script Host, т.е. %SystemRoot%\System32\WScript.exe. После двойного клика по JS-файлу выполняется скрипт, который может сделать на вашем ПК что угодно с правами текущего пользователя. Например, у вас установлена 1С в файловом режиме, т.е. БД хранится в *.dbf файлах. Никто не мешает скрипту от имени пользователя взять и зашифровать их или просто удалить. Что именно произойдет - ограничивается лишь фантазией автора вредоносного скрипта. В случае с шифровальщиком Vault, если не вдаваться в подробности, скачивается утилита GnuPG, которая по определенному злоумышленником алгоритму (здесь под алгоритмом понимается выбор расположения и типов файлов, которые подлежат шифрованию) шифрует все ваши документы и т.п. (подробности по ссылке выше). При этом ключ шифрования генерируется на вашем ПК и потом бесследно удаляется с помощью специальных средств, чтобы восстановить его было невозможно. Чтобы понять как происходит непосредственно шифрование, можно прочитать что-то типа вот этого - Инструменты шифрования с открытым ключом или этого - Основы GnuPG с примерами использовани в Linux ч.1 (ссылки просто нашел навскидку).

Теперь вернемся к нашему Vault'у ... почему сценарий запустился, всем понятно. По нему кликнул пользователь, далее отработал wscript.exe и выполнил то, что было в сценарии. Если у пользователя на ПК был установлен антивирус, то с большей долей вероятности он пропустил все это. Почему? Во-первых потому что "вирусописатели" (а вернее скриптописатели, потому как на самом деле никакого вируса нет, есть вполне легальная утилита для шифрования и есть скрипт, который злоумышленники написали и заставили вас самих запустить процесс шифрования на ПК) постоянно видоизменяют тот самый скрипт (.js) ... Одни версии этого скрипта добавляются антивирусными вендорами в вирусную базу (кстати, вспомните, сколько раз вы отправляли подобного рода скрипты антивирусным вендорам? Вот лично вы? Ноль? Вот поэтому подобная зараза и получает распространение, пока не примет стихийный характер и ее не заметят. Но к тому времени как данный конкретный скрипт будет внесен в вирусную базу вашего антивируса успеет выйти уже новая его версия, которая опять же не будет определяться антивирусами) ... Так вот, получается что утилита шифрования легальна и антивирус не будет определять ее. А скрипты, с помощью которых запускается процесс шифрования меняются довольно часто, поэтому шанс что тот скрипт который прислали под видом документации, сканов и т.п. будет в антивирусной базе вашего антивируса не так уж и велик.

Что же делать? Первое - это человеческий фактор. Проведите инструктаж среди сотрудников. Что нельзя, ни в коем случае нельзя открывать подозрительные письма пришедшие с незнакомых адресов. Проявлять бдительность ... Вот раньше были даже плакаты: "Не болтай у телефона! Болтун - находка для шпиона!" ... Теперь все это звучит несколько на иной лад. Не открывай все подряд из интернета, даже если это важно, срочно и т.п. Письма с незнакомых адресов - уже сами по себе подозрительны. Даже если письмо пришло со знакомого адреса или от компании с которой вы работаете, или, якобы, от местной налоговой и т.п. Даже если адрес в поле отправителя вполне настоящий - помните, что подделать его может даже школьник. Так что то, что письмо пришло от якобы знакомого вам человека или организации - еще ни о чем не говорит. Второе ... на что стоит обратить внимание сотрудников. Никакие сканы документов, акты сверки и прочие - не могут быть в файле с расширением .exe, .scr, .js и т.п. Никакие ... Если сотрудник этого не понимает ... в самой мягкой форме, стоит задаться вопросом - а безопасно ли вообще доверять ему ПК? Также стоит обратить внимание на размер архива и другие признаки. Никакие сканы документов к примеру не могут занимать 99 Kb в архиве ... а файл договора не может иметь иконку скрипта и расширение .js ... и уж тем более не может занимать 20 Kb ... Обратите внимание. Так выглядит файл .js в архиве:


Во-первых явно видна иконка файла. Даже если иконку заменят, как например, для случая с exe-файлами, все равно видно расширение файла (в данном случае .js) и тип файла JScript Script File. Файл скрипта в любом случае не может содержать документ, изображение и т.п. Если вам присылают такое - смело удаляйте или отправляйте в антивирусную лабораторию производителя вашего антивируса. Лучше потратить несколько часов на инструктаж сотрудников с последующей проверкой уровня компьютерной грамотности (например, разослать своим сотрудникам небольшой тест, а-ля - определите самостоятельно какие из этих писем на ваш взгляд могут являться вредоносными и объясните почему), чем потом пожинать плоды ... На одном из форумов антивирусных вендоров видел крик души человека, мол, "если вы поможете расшифровать файлы, так и быть куплю ваш антивирус ... помогите, там были все фото детей" ... Жалко, но пожалуй его я оставлю без комментариев, т.к. думать надо до, а не после ... :( Точно также думают и большинство руководителей компаний ... а зачем нам вкладываться в IT или зачем платить системному администратору деньги ... ну вот как раз за этим ... 

Здесь мы плавно подошли к сфере IT. Во-первых если ваше предприятие / организация имеет штатного системного администратора или обслуживается на аутсорсе не потрудитесь задать им вопрос, каким образом осуществляется в вашей компании защита от троянов-шифровальщиков. Какие меры приняты? Если скажут - ну ... это ... у нас ... антивирус ... Все станет понятно. Антивируса недостаточно. И такого системного администратора тоже ... Давайте попробуем в двух словах разобраться, что можно сделать.

Самое простое, в случае с .js - это даже не настраивать групповые политики ограничения запуска программ и т.п., а просто сделать на всех ПК в организации тем или иным образом ассоциацию js файлов и других скриптов с блокнотом. Пользователь открывает .js ... и видит его содержимое в блокноте. Всё, вреда ноль. Во-вторых настроить групповые политики ограниченного использования программ ... как это сделать в Windows 7 можно прочитать например здесь - Настройка групповых политик ограниченного использования программ в Windows 7. В том же XP, который еще у многих, это также делается "проще пареной репы". Запретил запуск %userprofile%\Local Settings\Temp\Rar*\*.js и все, из архива WinRar .js уже никто не запустит, запретил *.js - не запустят вообще ниоткуда. Пользователям это и не нужно. Как все это проверить ... создайте в блокноте файл с единственной строчкой: WScript.Echo("Привет!"); и сохраните его как test.js ... теперь попробуйте запустить его с рабочего стола. Если у вас появилось окно WSH с надписью "Привет!", значит с большой долей вероятности кто-нибудь из ваших сотрудников запустит шифровальщик. Если же вы увидели что-то вроде:


Значит все нормально. Как дополнительная мера - практически все пользуются WinRar (редко у кого установлен 7-zip по-умолчанию или какой-либо другой архиватор), но мало кто задумывался что все придумали до нас. Если в настройках того же WinRar на всех ПК в компании установить такую опцию:


То запустить исполняемый файл непосредственно из архива, как и делает большинство, не удастся. Совокупность всех описанных методов в сочетании с ограничением прав пользователей и наличием антивирусного ПО снизят возможные риски к минимуму. Если же вы сами системный администратор, но, к примеру, в подшефной вам фирме используется сеть без доменов и все пользователи имеют права локального администратора (тут не будем говорить о том что правильно, а что нет), да еще и ПК больше 10 - никто не мешает вам написать bat'ник автоматизирующий весь этот процесс и запустить на всех машинах.

Ну например, настраиваем тот же WinRar:

reg add HKEY_CURRENT_USER\Software\WinRAR\Extraction /v UseExclNames /t REG_DWORD /d 1 /f
reg add HKEY_CURRENT_USER\Software\WinRAR\Extraction /v ExclNames /t REG_SZ /d "*.exe *.com *.pif *.scr *.bat *.cmd *.lnk *.js *.vbs" /f

При этом никто не мешает предусмотреть все варианты, т.е. с 32-х и с 64-битными системами, с Windows XP и Windows 7 и старше и т.п. Потратив час на такой bat'ник, впоследствии можно избавить себя от многих проблем. 

Ну и конечно же ... не стоит забывать о регулярном резервном копировании. Желательно при этом, если оно будет производиться автоматически и на ресурс недоступный по SMB и уж тем более не подключенный у пользователей как буква диска и т.п. Можно использовать внутренний FTP сервер компании, сетевое хранилище, облако и т.п. На этом пожалуй все на сегодня ... спасибо за внимание ;)

5 комментариев :

  1. Распишите подробнее как запретить открытие js файлов в windows 7 и ХР

    ОтветитьУдалить
    Ответы
    1. С помощью групповых политик ограниченного использования программ. В посте все есть, включая и ссылку на статью с примерами.

      Удалить
  2. ой, а у вас JPEG!

    делайте скриншоты в PNG, это же не фотографии!

    ОтветитьУдалить
  3. Спасибо, прошу еще 10 минут потратьте на создание bat-ника для людей которые не очень в этом понимают

    ОтветитьУдалить
  4. как батник написать, что бы в домене на XP запретить запуск js

    ОтветитьУдалить