Обычный день, а точнее вечер. Рабочее время закончится менее чем через час и мы с коллегами уже “одной ногой за дверью”. Мы возвращались с перекура нам задали вопрос: “А что с файлами? Они не открываются и у них странное расширение!” Мы мягко говоря опешили с коллегами. Буквально 10 минут назад все работало и все у всех открывалось. Мы почти вбежали в кабинет и, заняв свои рабочие компьютеры стали разбираться, что же все таки произошло.

Заглянув на главное файловое хранилище компании мы поняли, что нас е%ут :-) Все файлы форматов Excel, Word, PDF начали шифроваться и приобретали расширение [email protected] и соответственно были нечитабельны. Мы быстро пришли к выводу, что единственный выход в данной ситуации это закрытие доступа к хранилищу. Как только мы закрыли доступ шифрование файлов остановилось. Тут сразу стало понятно, что это, слава Богу, не сервак заразили, т.к. после закрытия доступа шифрование файлов сразу же остановилось.

Первое, что мы начали делать это, естественно, искать бэкапы и восстанавливать из них. Самое приятное для нас было то, что бэкапы были относительно свежими - около 2-х суток назад были сделаны. Долгое и нудное восстановление из бэкапов в Windows Server 2008 R2 описывать смысла нет - банальное копирование. Пока все это дело восстанавливалось коллега вспомнил, что ему звонил один наш сотрудник из представительства в Томске и сообщил, что ему был сегодня звонок от одной из компаний с которой мы сотрудничаем. Звонивший ему человечек сообщил, что их сервера взломаны и от них возможен спам. Наш наивный друг не прислушался к звонку и получив письмо от них открыл прикрепленное вложение. Во вложении лежал самораспаковывающийся архив содержащий JavaScript. Этот JavaScript в свою очередь самостоятельно запускался и производил загрузку (естественно незаметно от пользователя) одного батничка (да именно так(!) я смог скачать все файлы кроме этого батника с того сайта который был указан в скрипте и даже перевел его в читабельный вид), а уже этот батник автоматически запускался и начинал шифровать все документы Excel, Word, PDF с помощью ключа RSA с использованием асинхронного шифрования (применяемого для шифрования в военных структурах). Что тут еще сказать?! Конечно те студенты, а это именно студенты (смею так предполагать т.к. читал уже в нормальном виде скрип загрузки и там были комментарии которые могли оставить только студенты), поработали очень хорошо (но это не отменяет того, что они пи%ар%сы :-) ).

В процессе работы шифровальщика были созданы несколько файлов:

  1. Файл с пояснениями “что произошло и как это лечить”;
  2. Файл ключа, который генерировался на основании конфигурации железа компьютера и вероятно с временной привязкой (по словам негодяем данный файл ни в коем случае терять нельзя т.к. без него не удастся расшифровать файлы обратно);
  3. Еще один дополнительный ключик (точно не помню за что он отвечал).

В пояснении “что и как…” прямо предлагалось заплатить деньги этим негодяям. Так же было указано, куда отправлять файлы для дешифровки. Естественно гарантий никаких они не давали и просто предлагали поверить им на слово. Единственно что мне не удалось сделать, так это получить тот самый зловредный батник (на моей машине скрипт не сработал т.к. стоит у меня Ubuntu 14.04. Trusty LTS).

Самая большая ошибка наша была в том, что сотруднику пострадавшему от данной заразы было разрешено пользоваться личным ноутбуком. Ну как и ожидается в таких случаях о защите речи не идет. Плюс у него был настроен доступ по VPN к нашим серверам с данными в следствии чего и пострадали наши файловые хранилища. Доступ с его личного ноутбука был организован за долго до моего прихода в компанию. После этого случая использование личных компьютеров запрещено категорически!

Вывод: Глупых и наивных сотрудников необходимо наказывать! Ему было наказанием шифрование всей его документации на компьютере. Абсолютно всей и безвозвратно (так ему и надо!).

Мы же в свою очередь сейчас работаем над информационной безопасностью в нашей компании, дабы исключить повторение таких случаев и случаев другого характера, способных нанести вред нашей компании.

PS: Если у кого возникнет желание могу прислать все файлы за исключением самого важного - батника-шафровальщика! Не хочу здесь выкладывать все это добро, дабы не засрать свой бложек вирусней и троян-лоадерами.


Если у тебя есть вопросы, комментарии и/или замечания – заходи в чат, а так же подписывайся на канал.