Вопрос Заражение в компании, как предотвратить.

Alien

Активный пользователь
Сообщения
392
Реакции
48
Привет всем. Читаю в тихую Вас :Angel:
Работаю на среднюю компанию. Домена нету, но есть RDP сессии(1С) и почта (Outlook, POP3)
Компания партнёр была заражена неким вредоносным ПО, в результате от "них" (не настоящее поле From) стали приходить письма, с просьбой "открыть документ"
Домены на хостинге блокирую, ехе не загружаются.
2 Документа Word, просят открыть макросы. Куда слать сами вирусы на анализ? БД антивируса Касперского и Defender 10 знают вирус, но был он добавлен 7 августа, вирус новый. Заражение произошло ДО, включения в БД антивируса.
Типа вируса: Emotet

Спасибо.
Логи пару ПК будет на след. неделе.
 
Последнее редактирование:

akok

Команда форума
Администратор
Ассоциация VN
Сообщения
20,417
Реакции
13,903
Бодрого.
А зачем логи с чистых машин? Если было заражение, то был бы поиск дешифровщика (скорее всего). IP сервера с которого идет рассылка совпадает с серверами компании-партнера?

Куда слать сами вирусы на анализ?
На вирустотал шли, он сам разошлет, но с задержкой, а так той компании продукты которой используете.

но есть RDP сессии(1С)
Пароли надежны? Версия ОС актуальна? Патчи безопасности?
 

Alien

Активный пользователь
Сообщения
392
Реакции
48
Пароли надежны? Версия ОС актуальна? Патчи безопасности?
Да
Да
Да

На вирустотал шли
Слал и microsoft, kaspersky(newvirus), сейчас отправил.

совпадает с серверами компании-партнера?
Нет
рассылка идёт с палевых доменов с подделкой отправителя компании партнёра. С оригинальной подписью в письме. (но на англ. языке текст, типа "откройте файл, там проформа и расчёты") Хотя локальный язык общения между компаниями чисто СНГшный (азербайджанский)
одна машина:
а так той компании продукты которой используете.
?

Вот что вирусТотал говорит:

 

Вложения

  • CollectionLog-2020.08.09-17.53.zip
    63.2 KB · Просмотры: 9
Последнее редактирование:

regist

гоняюсь за туманом
Ассоциация VN/VIP
VIP
Разработчик
Сообщения
13,201
Реакции
6,376
На вирустотал шли, он сам разошлет, но с задержкой
Вообще-то ничего специально он не рассылает, там немного другой принцип. И там это скорее как доп. фича которой при желании может пользоваться вендор
 
  • Like
Реакции: akok

akok

Команда форума
Администратор
Ассоциация VN
Сообщения
20,417
Реакции
13,903
Тогда по порядку.

Компанию партер, никто не ломал. В вашем случае, скорее всего, идет целенаправленная атака на. В логах ничего интересного.
Какие антивирусы установлены, тем вендорам и отправляйте.

Вообще-то ничего специально он не рассылает, там немного другой принцип. И там это скорее как доп. фича которой при желании может пользоваться вендор
А еще они любят тиражировать друг у друга детекты.
 

Alien

Активный пользователь
Сообщения
392
Реакции
48
Лучше использовать 2ФА.
есть дополнительная защита, по iP адресу через доп. ПО. (написано вручную)
если ip адрес не сходится с ip адресом локальной сети и того ПК от которого должен идти вход то сессия не стартует
Вне офиса сессии не стартуют, VPN по L2TP и сильно ограничено по пользователям.
 
Последнее редактирование:

Alien

Активный пользователь
Сообщения
392
Реакции
48
Что я должен делать?
Как избежать худшего (шифрование)

Бекапы есть(каждый день) и идут на физ. устройство (не NAS) и отключаются после, хранятся 1 неделю. (чередуются)
 

regist

гоняюсь за туманом
Ассоциация VN/VIP
VIP
Разработчик
Сообщения
13,201
Реакции
6,376
Касперским уже детектируется как Trojan.MSOffice.SAgent
 

Alien

Активный пользователь
Сообщения
392
Реакции
48
Kaspersky:
This file is already detected by our internal bases:
B5EF1282F27EB652F4F97FCB12E947CA7CEDAAECCFCB4B2E3A7074FB39C6F2FE - HEUR:Trojan.MSOffice.SAgent.gen
Detection will be included in the next update.
 

regist

гоняюсь за туманом
Ассоциация VN/VIP
VIP
Разработчик
Сообщения
13,201
Реакции
6,376
Что я должен делать?
Как избежать худшего (шифрование)

Бекапы есть(каждый день) и идут на физ. устройство (не NAS) и отключаются после, хранятся 1 неделю. (чередуются)
Не знаю какой антивирус используется у вас, а так на примере KES Защита от программ-шифровальщиков в Kaspersky Endpoint Security 11 для Windows
Kaspersky:
This file is already detected by our internal bases:
B5EF1282F27EB652F4F97FCB12E947CA7CEDAAECCFCB4B2E3A7074FB39C6F2FE - HEUR:Trojan.MSOffice.SAgent.gen
Detection will be included in the next update.
Пни обновление баз (если есть локально у тебя этот антивирус), уже должно детектить.
 
Последнее редактирование:

Alien

Активный пользователь
Сообщения
392
Реакции
48
антивирус используется у вас
Я недавно устроился в эту компанию.
Люди использовали Win 10 Defender (но обновления включены)
Централизованного управления в компании нету.
Все операции идут по 1С и почту.
уже должно детектить
Начало детектить с 7 августа с утра. Обновления баз данных опоздало чуть на пару часов.
меня волнует то что пользователи включали макросы (как обычно)
заражена неким вредоносным ПО,
Новая инфа, у той компании компы были зашифрованы. (используют 7ки пиратские, с выключенными обновлениями.)
Пока ни 1 пользователь не жаловался на слабую работу ПК или шифрацию локальный файлов на ПК
Файлового сервера нету, домена нету, соответственно заразить сеть не может.
у пользователей локально(локальный аккаунты) стоят пароли. Одна рабочая группа WORKGROUP. (стандартная)
 
Последнее редактирование:

Severnyj

Команда форума
Супер-Модератор
Ассоциация VN/VIP
Сообщения
8,503
Реакции
5,683
я думаю нелишне настроить политику блокировки макросов у документов офиса, полученных через интернет
 

Alien

Активный пользователь
Сообщения
392
Реакции
48
Касперским уже детектируется как Trojan.MSOffice.SAgent
Эти 2 файла которые я Вам прислал отличаются?
политику блокировки макросов у документов офиса
Да согласен, но как?
Централизованного доступа нету. Групповой политики
Но некоторые пользователи привыкли использовать макросы в Экзеле при использовании формул и VBA
 
Последнее редактирование:

Severnyj

Команда форума
Супер-Модератор
Ассоциация VN/VIP
Сообщения
8,503
Реакции
5,683

Alien

Активный пользователь
Сообщения
392
Реакции
48
должно детектить.
вопрос с детектом уже устранен.
Протестировал, люди не смогут открыть этот файл. Defender сразу же блокирует. Это хорошо.
Но меня волнует что этот вирус загружает, может уже где-то какое-то ПО сидит втихаря.
Об этом не думал
Думал, есть похожее ПО от антивирусных вендоров.
Но я просто начал включать доп. защиту в 10 Defender (временное решение)
 
Последнее редактирование:

regist

гоняюсь за туманом
Ассоциация VN/VIP
VIP
Разработчик
Сообщения
13,201
Реакции
6,376
Сейчас нет времени активно ковырять, а днём бегло глянул по ссылкам откуда этот вирус распространяется (по каким ткнулся) уже 404.
А на случай если уже сидит, то можешь прогнать хотя бы тем же KVRT.
 
Последнее редактирование:
Сверху Снизу