Вирус-шифровальщик. Уязвимость ненулевого дня.
Как-то раз премудрый хакер отправил в сеть вирус-шифровальщик. И началось…
«Вот засада — зашифровано»

— Там из финансового Филь звонит. Говорит, что не может ничего на личном диске открыть. Мы смотрим, а там куча странных файлов, — говорит озадаченно Макс.

— Давай я посмотрю. Повиси пока.

— Ага.

Я начал смотреть. Личный диск с файлами превратился в сплошную абракадабру — десятки файлов с непонятными названиями.

— Срочно отключайте ее от сети и проверяйте комп. Это вирус, — быстро проговорил я.
Макс повесил трубку, а я смотрел на экран и думал, как быть дальше.
Думать пришлось недолго. Через минуту раздался еще один звонок.

— У нас жалуются, что базы 1С на сетевом диске не открываются, — говорил главный по поддержке 1С в компании.

«Опа, неспроста», — подумал я.

— О какой базе речь? — уточнил я, чувствуя, что пахнет жареным.

Главный по 1С ответил, и я открыл папку. «Вот засада — зашифровано», — пронеслось в голове.

А на другие базы есть жалобы? — уточнил я.

— Пока нет.

Уязвимость ненулевого дня


В течение 15 минут нашелся ещё десяток зашифрованных баз.

Я спешно искал в сети информацию про вирус. Результат был неутешительным. Нас «отшифровала» зараза, которая не определяется ни одним антивирусом.

На одной из страниц мне встретилась фраза: «Это уязвимость нулевого дня».

«Класс! Только вряд ли нулевого», — подумал я.

Сообщение про нулевой день было опубликовано несколько недель назад.

За это время набрались десятки, а может и сотни пострадавших, а антивирус по-прежнему не находил на компьютере ничего зловредного.
У нас было два пути — заплатить за ключ расшифровки или восстановить данные из бекапа. Мы решили восстановить.

Я находил в сети примеры, когда у пострадавших не было копий и приходилось платить. После оплаты обычно присылали ключ расшифровки. Кому-то везло и ключ работал. Кому-то не везло, и он оставался без данных.

В течение 2-х часов мы восстановили базы 1С. Данные личного диска удалось восстановить за пять минут, не обращаясь к бекапу вовсе. Для этого мы использовали теневые копии, настроенные ранее. С ними сам пользователь может восстановить файл, папку или, как в нашем случае, целый диск.

Горячка спала и нам оставалось только понять, как финансистка словила заразу.

Главный злодей во входящих

— Макс, как комп, проверили?

— Да, чисто. Антивирь молчит. Никаких странных процессов не видно. Может глянешь?

Я мог глянуть, не покидая рабочего места — ребята уже организовали удаленное подключение в обход через мобильную сеть.

Пробежавшись по компьютеру, я обратил внимание на странное письмо во входящих почтового ящика. Оно было прочитано и пришло минут за 20 до начала нашего шифрошоу. В приложении к письму — файл, а точнее скрипт с каким-то простым названием — то ли «Документы», то ли «Реквизиты».

«Опаньки! Вот и наш главный злодей», — проговорил я, удаляя письмо.
Я живо представил, как Филь открывает письмо, а через 15 минут, не понимая происходящего, смотрим на абракадабру личного диска и набирает номер техподдержки.
Я выделил письмо, нажал Shift+Del и навсегда попрощался с мерзавцем.

Оставалась только одна загадка: как наверняка защититься от вируса-шифровальщика? Ответ очень простой — запретить выполнение любых скриптов, файлов и программ, которые мы сами не устанавливали.

Такой способ защиты работает очень здорово и не дает пролезть мимо ни одному вирусу. Теперь нам совсем не важно, знает антивирус об угрозе или нет.

Этот подход мы используем в нашей повседневной работе, защищая бизнесы клиентов. Хотите, чтобы мы защитили ваш?

Анатолий Серёгин,
основатель «Толк Ай Ти»

Фото из моего личного архива.