Вопрос Заражение в компании, как предотвратить.

Alien

Постоянный участник
Сообщения
388
Реакции
37
Привет всем. Читаю в тихую Вас :Angel:
Работаю на среднюю компанию. Домена нету, но есть RDP сессии(1С) и почта (Outlook, POP3)
Компания партнёр была заражена неким вредоносным ПО, в результате от "них" (не настоящее поле From) стали приходить письма, с просьбой "открыть документ"
Домены на хостинге блокирую, ехе не загружаются.
2 Документа Word, просят открыть макросы. Куда слать сами вирусы на анализ? БД антивируса Касперского и Defender 10 знают вирус, но был он добавлен 7 августа, вирус новый. Заражение произошло ДО, включения в БД антивируса.
Типа вируса: Emotet

Спасибо.
Логи пару ПК будет на след. неделе.
 
Последнее редактирование:
Бодрого.
А зачем логи с чистых машин? Если было заражение, то был бы поиск дешифровщика (скорее всего). IP сервера с которого идет рассылка совпадает с серверами компании-партнера?

Куда слать сами вирусы на анализ?
На вирустотал шли, он сам разошлет, но с задержкой, а так той компании продукты которой используете.

но есть RDP сессии(1С)
Пароли надежны? Версия ОС актуальна? Патчи безопасности?
 
Пароли надежны? Версия ОС актуальна? Патчи безопасности?
Да
Да
Да

На вирустотал шли
Слал и microsoft, kaspersky(newvirus), сейчас отправил.

совпадает с серверами компании-партнера?
Нет
рассылка идёт с палевых доменов с подделкой отправителя компании партнёра. С оригинальной подписью в письме. (но на англ. языке текст, типа "откройте файл, там проформа и расчёты") Хотя локальный язык общения между компаниями чисто СНГшный (азербайджанский)
одна машина:
а так той компании продукты которой используете.
?

Вот что вирусТотал говорит:

 

Вложения

  • CollectionLog-2020.08.09-17.53.zip
    63.2 KB · Просмотры: 9
Последнее редактирование:
На вирустотал шли, он сам разошлет, но с задержкой
Вообще-то ничего специально он не рассылает, там немного другой принцип. И там это скорее как доп. фича которой при желании может пользоваться вендор
 
Тогда по порядку.

Компанию партер, никто не ломал. В вашем случае, скорее всего, идет целенаправленная атака на. В логах ничего интересного.
Какие антивирусы установлены, тем вендорам и отправляйте.

Вообще-то ничего специально он не рассылает, там немного другой принцип. И там это скорее как доп. фича которой при желании может пользоваться вендор
А еще они любят тиражировать друг у друга детекты.
 
Лучше использовать 2ФА.
есть дополнительная защита, по iP адресу через доп. ПО. (написано вручную)
если ip адрес не сходится с ip адресом локальной сети и того ПК от которого должен идти вход то сессия не стартует
Вне офиса сессии не стартуют, VPN по L2TP и сильно ограничено по пользователям.
 
Последнее редактирование:
Что я должен делать?
Как избежать худшего (шифрование)

Бекапы есть(каждый день) и идут на физ. устройство (не NAS) и отключаются после, хранятся 1 неделю. (чередуются)
 
Kaspersky:
This file is already detected by our internal bases:
B5EF1282F27EB652F4F97FCB12E947CA7CEDAAECCFCB4B2E3A7074FB39C6F2FE - HEUR:Trojan.MSOffice.SAgent.gen
Detection will be included in the next update.
 
Что я должен делать?
Как избежать худшего (шифрование)

Бекапы есть(каждый день) и идут на физ. устройство (не NAS) и отключаются после, хранятся 1 неделю. (чередуются)
Не знаю какой антивирус используется у вас, а так на примере KES Защита от программ-шифровальщиков в Kaspersky Endpoint Security 11 для Windows
Kaspersky:
This file is already detected by our internal bases:
B5EF1282F27EB652F4F97FCB12E947CA7CEDAAECCFCB4B2E3A7074FB39C6F2FE - HEUR:Trojan.MSOffice.SAgent.gen
Detection will be included in the next update.
Пни обновление баз (если есть локально у тебя этот антивирус), уже должно детектить.
 
Последнее редактирование:
антивирус используется у вас
Я недавно устроился в эту компанию.
Люди использовали Win 10 Defender (но обновления включены)
Централизованного управления в компании нету.
Все операции идут по 1С и почту.
уже должно детектить
Начало детектить с 7 августа с утра. Обновления баз данных опоздало чуть на пару часов.
меня волнует то что пользователи включали макросы (как обычно)
заражена неким вредоносным ПО,
Новая инфа, у той компании компы были зашифрованы. (используют 7ки пиратские, с выключенными обновлениями.)
Пока ни 1 пользователь не жаловался на слабую работу ПК или шифрацию локальный файлов на ПК
Файлового сервера нету, домена нету, соответственно заразить сеть не может.
у пользователей локально(локальный аккаунты) стоят пароли. Одна рабочая группа WORKGROUP. (стандартная)
 
Последнее редактирование:
я думаю нелишне настроить политику блокировки макросов у документов офиса, полученных через интернет
 
Касперским уже детектируется как Trojan.MSOffice.SAgent
Эти 2 файла которые я Вам прислал отличаются?
политику блокировки макросов у документов офиса
Да согласен, но как?
Централизованного доступа нету. Групповой политики
Но некоторые пользователи привыкли использовать макросы в Экзеле при использовании формул и VBA
 
Последнее редактирование:
должно детектить.
вопрос с детектом уже устранен.
Протестировал, люди не смогут открыть этот файл. Defender сразу же блокирует. Это хорошо.
Но меня волнует что этот вирус загружает, может уже где-то какое-то ПО сидит втихаря.
Об этом не думал
Думал, есть похожее ПО от антивирусных вендоров.
Но я просто начал включать доп. защиту в 10 Defender (временное решение)
 
Последнее редактирование:
Сейчас нет времени активно ковырять, а днём бегло глянул по ссылкам откуда этот вирус распространяется (по каким ткнулся) уже 404.
А на случай если уже сидит, то можешь прогнать хотя бы тем же KVRT.
 
Последнее редактирование:
Назад
Сверху Снизу