Заражение в компании, как предотвратить.

[Alien]

Привет всем. Читаю в тихую Вас
Работаю на среднюю компанию. Домена нету, но есть RDP сессии(1С) и почта (Outlook, POP3)
Компания партнёр была заражена неким вредоносным ПО, в результате от "них" (не настоящее поле From) стали приходить письма, с просьбой "открыть документ"
Домены на хостинге блокирую, ехе не загружаются.
2 Документа Word, просят открыть макросы. Куда слать сами вирусы на анализ? БД антивируса Касперского и Defender 10 знают вирус, но был он добавлен 7 августа, вирус новый. Заражение произошло ДО, включения в БД антивируса.
Типа вируса: Emotet

Спасибо.
Логи пару ПК будет на след. неделе.

 

[akok]

Бодрого.
А зачем логи с чистых машин? Если было заражение, то был бы поиск дешифровщика (скорее всего). IP сервера с которого идет рассылка совпадает с серверами компании-партнера?

Куда слать сами вирусы на анализ?

На вирустотал шли, он сам разошлет, но с задержкой, а так той компании продукты которой используете.

но есть RDP сессии(1С)

Пароли надежны? Версия ОС актуальна? Патчи безопасности?

 

[Alien]

Пароли надежны? Версия ОС актуальна? Патчи безопасности?

Да
Да
Да

На вирустотал шли

Слал и microsoft, kaspersky(newvirus), сейчас отправил.

совпадает с серверами компании-партнера?

Нет
рассылка идёт с палевых доменов с подделкой отправителя компании партнёра. С оригинальной подписью в письме. (но на англ. языке текст, типа "откройте файл, там проформа и расчёты") Хотя локальный язык общения между компаниями чисто СНГшный (азербайджанский)
одна машина:

а так той компании продукты которой используете.

?

Вот что вирусТотал говорит:

VirusTotal

VirusTotal

www.virustotal.com

VirusTotal

VirusTotal

www.virustotal.com

 

[regist]

На вирустотал шли, он сам разошлет, но с задержкой

Вообще-то ничего специально он не рассылает, там немного другой принцип. И там это скорее как доп. фича которой при желании может пользоваться вендор

 

[akok]

Тогда по порядку.

Компанию партер, никто не ломал. В вашем случае, скорее всего, идет целенаправленная атака на. В логах ничего интересного.

?

Какие антивирусы установлены, тем вендорам и отправляйте.

Вообще-то ничего специально он не рассылает, там немного другой принцип. И там это скорее как доп. фича которой при желании может пользоваться вендор

А еще они любят тиражировать друг у друга детекты.

 

[Severnyj]

RDP сессии(1С)

Лучше использовать 2ФА.

 

[Alien]

Лучше использовать 2ФА.

есть дополнительная защита, по iP адресу через доп. ПО. (написано вручную)
если ip адрес не сходится с ip адресом локальной сети и того ПК от которого должен идти вход то сессия не стартует
Вне офиса сессии не стартуют, VPN по L2TP и сильно ограничено по пользователям.

 

[Alien]

Что я должен делать?
Как избежать худшего (шифрование)

Бекапы есть(каждый день) и идут на физ. устройство (не NAS) и отключаются после, хранятся 1 неделю. (чередуются)

 

[Alien]

Какие антивирусы установлены, тем вендорам и отправляйте.

уже делал

 

[regist]

Касперским уже детектируется как Trojan.MSOffice.SAgent

 

[Alien]

Kaspersky:
This file is already detected by our internal bases:
B5EF1282F27EB652F4F97FCB12E947CA7CEDAAECCFCB4B2E3A7074FB39C6F2FE - HEUR:Trojan.MSOffice.SAgent.gen
Detection will be included in the next update.

 

[regist]

Что я должен делать?
Как избежать худшего (шифрование)

Бекапы есть(каждый день) и идут на физ. устройство (не NAS) и отключаются после, хранятся 1 неделю. (чередуются)

Не знаю какой антивирус используется у вас, а так на примере KES Защита от программ-шифровальщиков в Kaspersky Endpoint Security 11 для Windows

Kaspersky:
This file is already detected by our internal bases:
B5EF1282F27EB652F4F97FCB12E947CA7CEDAAECCFCB4B2E3A7074FB39C6F2FE - HEUR:Trojan.MSOffice.SAgent.gen
Detection will be included in the next update.

Пни обновление баз (если есть локально у тебя этот антивирус), уже должно детектить.

 

[Alien]

антивирус используется у вас

Я недавно устроился в эту компанию.
Люди использовали Win 10 Defender (но обновления включены)
Централизованного управления в компании нету.
Все операции идут по 1С и почту.

уже должно детектить

Начало детектить с 7 августа с утра. Обновления баз данных опоздало чуть на пару часов.
меня волнует то что пользователи включали макросы (как обычно)

заражена неким вредоносным ПО,

Новая инфа, у той компании компы были зашифрованы. (используют 7ки пиратские, с выключенными обновлениями.)
Пока ни 1 пользователь не жаловался на слабую работу ПК или шифрацию локальный файлов на ПК
Файлового сервера нету, домена нету, соответственно заразить сеть не может.
у пользователей локально(локальный аккаунты) стоят пароли. Одна рабочая группа WORKGROUP. (стандартная)

 

[Severnyj]

я думаю нелишне настроить политику блокировки макросов у документов офиса, полученных через интернет

 

[Alien]

Касперским уже детектируется как Trojan.MSOffice.SAgent

Эти 2 файла которые я Вам прислал отличаются?

политику блокировки макросов у документов офиса

Да согласен, но как?
Централизованного доступа нету. Групповой политики
Но некоторые пользователи привыкли использовать макросы в Экзеле при использовании формул и VBA

 

[Severnyj]

Но некоторые пользователи привыкли использовать макросы в Экзеле при использовании формул и VBA

на пользовательских документах это не скажется

 

[regist]

Об этом не думал? https://safezone.cc:443/threads/fixrun-fixsecurity-zaschita-ot-shifrovalschikov.28159/

 

[Alien]

должно детектить.

вопрос с детектом уже устранен.
Протестировал, люди не смогут открыть этот файл. Defender сразу же блокирует. Это хорошо.
Но меня волнует что этот вирус загружает, может уже где-то какое-то ПО сидит втихаря.

Об этом не думал

Думал, есть похожее ПО от антивирусных вендоров.
Но я просто начал включать доп. защиту в 10 Defender (временное решение)

 

[regist]

Сейчас нет времени активно ковырять, а днём бегло глянул по ссылкам откуда этот вирус распространяется (по каким ткнулся) уже 404.
А на случай если уже сидит, то можешь прогнать хотя бы тем же KVRT.

 

[Alien]

Сейчас нет времени

Ничего, спасибо и за предыдущее время. Завтра пару логов поставлю. От тех пользователей который "активно" пытались "открыть" документ.