Хакеры, взломавшие зарплатную систему МВД, оставили почту для связи

Недели две назад, пришло письмо из налоговой инспекции, для обычного пользователя все красиво и верно. Такая же шляпа с шифрованием файлов всех.
При анализе данных письмо шло из Бразилии с их хостов и адресов.
Самое поразительное, что файл с самим вирусным сообщением был залит именно на сайт nalog.ru. Ссылка после массовой рассылки прожила несколько часов.
Администрация nalog.ru следы подтирала в течении пары часов. То есть по факту взлом был их информационных систем, оттуда и утекла клиентская бд.

Продуманная схема, тут не только социальная инженерия, но и правильные данные получателя, не стреляли по воробьям.
Бухгалтер, он человек маленький, даже проверив все данные, скачав в файл с сайта налоговой инспекции, как не верить?

Про особенности атаки, проактивная защита не обратит шифрование, не заблокирует действие,из теневой копии ничего не дернешь и не восстановишь.
Отсутствие админских прав и вообще любых прав пользователя не спасет.

Блять, вот нахуя такое репостить? При чем тут хакеры (!), взлом (!) зарплатной системы и связь! Связь тут при чем?!

Афганский вирус, блядь. "Квалификация наших программистов еще не очень, поэтому удалите ваши файлы сами". Ну почти один-в-один.

Админы делятся на два типа, одни делают бекапы, а другие будут делать))))

Не, ну получилось у посонов. А слабо им госдуру хакнуть?

Поясни свою точку зрения.

Ты шоооо?Энтим низззяяя,они очень заняты поисками пиратского софта и расхитителями произведений Донцовой

Самая большая уязвимость в самой защищенной системе - пользователь

Пару раз такой вирус встречал. Один кстати поймал в живом виде и направил в касперского и доктора веба. На удивление они его не знали...
У него есть одна особенность, он шифрует только данные на локальных дисках. Понимаете к чему я?)

Это сообщение отредактировал nike13 - 20.10.2016 - 11:48

Резервные копии - как раз универсальное средство от подобных проблем.

Нашим приходило письмо от арбитражного суда. С адреса arbitr.it.
Ну откуда им знать, что это не российский домен. Они иногда даже отчетность налоговую на nalog.kz сдают. Не получается, как правило, но они очень стараются.

У меня знакомая так себе на ноуте все DOC'и похерила (*.docx). Все зашифровалось. Как я не бился, ни хера не вышло восстановить.

Тоже пришел якобы счет в архиве. В архиве PDF лежала, а к PDF скрипт прикручен, на Flash исполнен. И пизда...

На сетке все хранить или в ёблаке

Значит, пользователя надо сажать в клетку ограничивать в правах по самые )

всем кому приходила эта вирусня, рекомендация пересылать это МВД-шникам всех ведомств..

может хоть так они шевелиться начнут..

Изза таких ушлепков сделал скрины для народа чтоб не попадались! Делюсь!

Два

Проблема в том что шифруются документы которые не ограничеш в правах! А для баз таки да удаленный рабстол с ограничениями прав! И База данных на выделенном сервере! Хотя появился шифровальщик структуры 1с, и некоторые умудряются обработку эту запустить через 1с((( и соответственно все что можно шифруется в нутри 1с! а не файлы 1с

У меня матушка 34-го года выпуска , но на компутере втыкает . Как я тебя понимаю !!!

Процессы запускаются от двух уровней
1. Уровень системный (Системные учетные записи) скомпрометировать системные учетные записи проблематично, последнее что приходит на память это падение служб печати и доступ до саб.процессов - и цикличная перезагрузка удаленного хоста после возникновения ошибки.
2. Уровень пользовательский. Тут два варианта либо он администратор, либо пользователь - то есть прав на запуск системных задач не имеет.
Так вот данный вирус файл который качали с nalog.ru был заархивирован (RAR) при разархивации (антивирус молчит это не вирус, а сценарий) получали файл doc (xls) или docm (xlsm) (макрос - тут офис - спросит разблокируем полученное содержимое?) А вот с doc и вшитым в него vbs сценарием, он ничего не спросит. Открытие запросит - вызов winword (офиса) и из под этого процесса, все файлы по маске и будут зашифрованы. Процесс исполнения - относится к приложению microsofta, админские права не нужны. То есть даже обычный пользователь без права администратора может стать жертвой. Так и было.

для опенофиса - ничего такого не произошло.

Казанского линейного управления МВД России по Республике Татарстан - не существует в природе.

Есть Казанское ЛУ МВД России на транспорте, небольшое структурное подразделение УТ МВД России по ПФО. Начальник сидит на ж.д. вокзале в Казани, остальные по одиночке и группами в подвалах прилегающих железнодорожный станций Горьковской и Куйбышевской ж.д., аэропорту и речном порту. Бухгалтер вполне может быть один, работает на спижженом или списанном у РЖД компе, вообще без защиты и пользуется обычной, не служебной, электропочтой.

https://xn--n1abkdd.xn--b1aew.xn--p1ai/kont...ya/item/704740/

Это сообщение отредактировал hhurik - 20.10.2016 - 12:12

У мен и на сетевых дисках шифровалось! Но только диски которые подключины! Благо сеть не сканирует на открытые шары!

Для тех кто не видел в живую как это выглядит, после шифрования, вирус меняет заставку рабочего стола на свою, на котором написано мыло для связи, а связаться ты может с любого другого компа

З.Ы, Наш бух ловил типа такого

Это сообщение отредактировал Scrembler - 20.10.2016 - 12:18

бэкапы, урезание прав, социальная инженерия,
а может отдел к копнуть ? чем они там занимаются, или пока депутатам и недимону с министрами всё не зашифруют, никто нихуя не пошевелится ?

хотя о чем это я , файлы игрушек наверно не шифруют

Тут надо на почтовом сервере блокировать ярлыки в письмах и js скрипты.
Или правило настраивать "Подозрительное" сразу в корзину. Пусть лучше перешлют дважды, чем устроят эпидемию и ботнет.
Встречал моменты, когда, при viev в майкрасофтовских почтовиках скрипт уже запускался.

Это сообщение отредактировал spy2spy - 20.10.2016 - 12:29

Ну, всё равно дальше, чем данному конкретному пользователю разрешено, оно не уползёт. И лёгким движением восстанавливается из бэкапа.