Нетобзор - форум про интернет

Пожалуйста, войдите или зарегистрируйтесь.


Расширенный поиск  

Автор Тема: Рекомендации CERT-UA по обеспечению защиты от заражения вирусом-шифровальщиком  (Прочитано 419 раз)

0 Пользователей и 1 Гость просматривают эту тему.

LutykАвтор темы

  • Саксовость мастдая в глючности его рулезных фич
  • Модератор
  • *
  • Благодарность: +1105/-0
  • Онлайн Онлайн
  • Сообщений: 5219
  • Город: на берегах Згара
  • Модем: work ZTE AC81B / lenovo p2/home power beam m2 400
  • Провайдер: Intertelecom CDMA / Kyivstar 3G UMTS/ ISP Mobit
  • Тариф: Супербезліміт 120 / 3G Адреналин + Ночной Безлимит
  • Антенна: Rnet 21 dBi 2 m
  • 0983833266/e-mail lutyk1999@ukr.net


Рекомендации CERT-UA по обеспечению защиты от заражения вирусом-шифровальщиком:
  • Обеспечить недопустимость открытия вложений в подозрительных сообщениях (в письмах от адресантов, относительно которых возникают подозрения, например: автор по неизвестным причинам изменил язык общения; тема письма является нетипичной для автора; нетипичное обращение к адресату и т.д.; сообщения с нестандартным текстом, побуждающие к переходу на подозрительные ссылки или к открытию подозрительных файлов — архивов, исполняемых файлов и т.д.).
  • Системным администраторам и администраторам безопасности обратить внимание на фильтрование входящих/исходящих информационных потоков, в частности почтового и веб-трафика.
  • Установить https://technet.microsoft.com/en-us/library/security/ms17-010.aspx
  • На сетевом оборудовании и групповыми политиками заблокировать на системах и серверах порты 135, 445, 1024-1035 TCP.
  • В случае инфицирования персонального компьютера не перезагружать систему.
  • Ограничить возможность запуска исполняемых файлов (*.exe) на компьютерах пользователей из директорий %TEMP%, %APPDATA%..
  • Для возможности восстановления зашифрованных файлов воспользоваться программами ShadowExplorer или PhotoRec.
Источник: CERT-UA

Voha

  • Постоялец
  • ****
  • Благодарность: +13/-0
  • Оффлайн Оффлайн
  • Сообщений: 409
  • Город: Днепр
  • Модем: Тупой линк TL841WRv10
  • Провайдер: Фрегат
  • Тариф: 50 Мб/сек

 https://technet.microsoft.com/en-us/library/security/ms17-010.aspx - оно ж в марте вышло... у нас походу макаки с гранатами сидят вместо специалистов
Записан

plastilin

  • Новичок
  • *
  • Благодарность: +1/-0
  • Оффлайн Оффлайн
  • Сообщений: 49
  • Город: Киев
  • Модем: НЕТ
  • Провайдер: Интертелеком
  • Тариф: Вільний день+

Уточненка по атаке от 27.06.2017

Вирус распространялся по URL

http://www.1c-sed.com.ua/downloads/9/zvit9.php     
http://upd.me-doc.com.ua/
http://1c-sed.com.ua/

Дата та версія для оновлення M.E.Doc що містили бекдор

14.04.2017      01.175-10.01.176
15.05.2017      01.180-10.01.181
22.06.2017      01.188-10.01.189

Перелік веб-шеллів:
hxxp://me-doc.com.ua/TESTUpdates/med.php [1 KB     11/12/14     12:00:00 AM]
hxxp://me-doc.com.ua/TESTUpdates/medoc_online.php [16 KB     5/31/17     2:45:00 PM]
hxxp://me-doc.com.ua/TESTUpdates/MedocZarplata/index.old.php [ 1 KB     11/11/14     12:00:00 AM]
Веб-шелл просить авторизації - або по COOKIE або по параметру в URI.

Процеси, що відбувались на уражених ПЕОМ:
- на комп'ютері реєструєтся подія, Logon’е (код події 4624);
- на комп'ютері реєструєтся подія, Logon’у (код події 4672);
- на комп'ютері реєструєтся запуск служби PSEXESVC (код події 7045);
- на комп'ютері запускаєтся процес типу:
          %WINDIR%\rundll32.exe
          “C:\Windows\perfc.dat”,#1,
          “%HOSTNAME%\%USERNAME%:%PASSWORD%”
- на комп'ютері створюється файл « C:\Windows\dllhost.dat », представляє собою PsExec;
- на комп'ютері в директорії «%TMP%» створюється виконуючий файл з довільним іменем.mimikatz;
- на комп'ютері реєструєтся багато подій, які свідчать про спроби авторизації з явно вказаними аутентифікаційними даними на інших комп'ютерах в мережі (код події 4648); при цьому, активність йде на мережеві порти 445/tcp або 139/tcp.

Зібрану інформацію шкідливий код збирає та записує в реєстр Windows в директорію HKEY_CURRENT_USER\SOFTWARE\WC.

Перелік Індикаторів, повязаних з активністю бекдорів (з квітня по т.ч.)

82.221.131.52
82.221.128.27
130.185.250.171
176.123.2.250
193.29.187.78
176.31.182.167
hххps://bankstat.kiev.ua
hxxps://capital-investing.com.ua
hxxps://transfinance.com.ua
hxxps://invest-trade.com.ua
hxxps://banky.com.ua
Microsoft Help Service (имя службы для VBS-бекдора)
Windows Help Service (имя службы для VBS-бекдора)
37.59.10.101
api.telegram.org
149.154.167.200
149.154.167.197
149.154.167.198
149.154.167.199
Записан

 

+ Быстрый ответ