ServerAdmin.ru
28.9K subscribers
304 photos
35 videos
13 files
2.63K links
Авторская информация о системном администрировании.

Информация о рекламе: @srv_admin_reklama_bot
Автор: @zeroxzed

Второй канал: @srv_admin_live
Сайт: serveradmin.ru
Download Telegram
Статья по горячим следам. Мой опыт встречи с очередным вирусом шифровальщиком. На этот раз с Crusis (Dharma). Пострадал один из файловых серверов под моим управлением. Зашифрованные файлы получили расширение .combo. В статье описание моего случая и общие мысли, рекомендации по поводу шифровальщиков.
https://serveradmin.ru/virus-crusis-dharma-kak-rasshifrovat-faylyi-i-udalit-vyimogatelya/

#статья #вирус
Если кто еще не слышал, предупреждаю на всякий случай. Инфу видел давно, в момент публикации на opennet, но в тот момент не было информации, что ее активно эксплуатируют. Но теперь уже начали.
http://www.opennet.ru/opennews/art.shtml?num=50819

Дырка судя по всему очень серьезная и уже вовсю эксплуатируется ботами. В ссылке на хабре в конце статьи предлагают скрипт для автоматического лечения сервера. Вроде как помогает, но я не пробовал. У меня, слава богу, нет Exim вообще нигде.
https://habr.com/ru/post/455598/

#заметка #mailserver #вирус
Надеюсь все обновились? Лучше не затягивать. Вчера весь вечер проверял и обновлял все, что попадает под эту уязвимость. Очередная RCE-уязвимость под номером CVE-2019-1181/1182 Позволяет выполнить произвольный код на компьютере жертвы, имея только открытый порт rdp.

То, что эти дырки постоянно находят, я уже смирился. Но вот что я не понимаю, так это почему обновления на windows ставятся так медленно. Какое-то неопределенное время поиска обновлений, потом скачивание, установка. И везде полосы прогресса не информативны, то есть не отражают реальную скорость процесса вообще никак. Невозможно предугадать, сколько будет ставиться обновление. Может 15 минут, а может 2 часа.

Почему в любом linux обновление ставится быстро и предсказуемо по времени, а Microsoft никак не может каким-то образом организовать этот процесс так, чтобы он был удобен и быстр?
https://habr.com/ru/company/solarsecurity/blog/463591/

#заметка #вирус
Шифровальщики стали настоящим бедствием последних лет. Я сам с ними сталкивался, точнее инфраструктура под моим управлением. Лично в двух компаниях устранял последствия. Ничего лучше своевременных и надежных бэкапов нет, так что обходился без потерь.

Касперский выпустил утилиту, которая помогает расшифровать данные после некоторых шифровальщиков. У меня были положительные отзывы на работу этой утилиты от тех, кому она помогла вернуть файлы. Так что делюсь информацией и ссылкой - https://support.kaspersky.ru/viruses/disinfection/13059?cid=noransom

#заметка #вирус
Небольшая заметка из практики. На днях попросили разобраться с сервером, на котором возникли непонятные проблемы. По факту оказалось, что на сервак залили вирус через postgres контейнер в докере. Все в лучших традициях разгильдяйства и современного devops, когда херак-херак и в прод.
https://serveradmin.ru/kak-vzlamyvayut-veb-servera/

#статья #вирус
Смотрите, какая наглядная новость про уязвимости. Кто-то много лет ходил на сервера, как к себе домой, пока уязвимости не вышли в открытый доступ и их не закрыли.

Почему я обратил на это внимание? Я часто слышу мнение на тему того, что если ставить обновления, то можно особо не бояться уязвимостей. Об этом заявляют в контексте того, что надо закрывать из открытого доступа по возможности все сервисы.

Так вот. Существенно обезопасить себя можно закрывая доступ на уровне фаервола ко всему, что не нуждается в этом доступе. Я последнее время стал и ssh закрывать белыми списками ip, хотя раньше делал это очень редко, так как не припоминаю серьезных уязвимостей в этом протоколе, хотя допускаю, что они есть, просто знает о них ограниченный круг лиц.

Рекомендую поступать так же. Все, что только можно, закрывайте фаерволом и не ленитесь его настраивать. Чем меньше информации о вас можно собрать, тем надежнее будет ваша защита. Это универсальный совет. Возможно со временем дойду до того, что и пинги закрою :) Пока оставляю.
https://www.opennet.ru/opennews/art.shtml?num=53535

#заметка #вирус
Много лет назад (8), когда я активно занимался поддержкой офисов, не раз сталкивался с вирусами-шифровальщиками. Причём с одним из них я столкнулся, когда они прям только начали появляться и были в новинку. Никто толком не понимал, что это такое и как восстанавливать данные.

Как сейчас помню, это был вирус, который ставил расширение .vault на файлы. Он зашифровал компанию, которую я только взял на обслуживание и даже не успел толком дела принять. Проводил инвентаризацию. Бэкапами ещё не занимался. Хорошо хоть права доступа на запись у человека были не ко всем общим файлам, так что пострадал в основном только он, запустивший вирус из почтового вложения и ещё пару человек, которым он его переслал, чтобы они проверили, почему файл не открывается 😁

Самое интересное, что у этих людей были зашифрованные флешки (пин код прям с устройства вводился) с секретной информацией, которая никуда не копировалась и не бэкапилась. Флешки не должны были быть воткнутыми постоянно. Понятное дело, что они были воткнуты постоянно в течении рабочего дня. Все данные там были потеряны. Директор тогда отнёсся философски ко всему этому. Ругаться не стал, сказал, что сами виноваты, пусть выкручиваются, как хотят. В принципе, сами и выкрутились.

Когда я воочию увидел, как легко безвозвратно потерять все данные, стал по-другому относиться к бэкапам. Я сам тогда ещё ни разу не сталкивался с тем, что данные могут быть вот так утеряны безвозвратно и шансов на восстановление нет. Сам за бэкапами всегда следил. Потом и тут всё настроил и забэкапил. Позже они ещё раз словили шифровальщика. Данные им из бэкапа восстановил. Причём всё это было с работающим платным антивирусом Eset. Тогда антивирусы очень слабо реагировали на шифровальщиков.

Я в то время написал подробную статью по этому вирусу, наполнив её своей информацией из первых рук. Она стала очень популярной. Долгое время эта статья приносила половину всех посетителей сайта и собрала кучу обратных ссылок. Потом я сталкивался и с другими вирусами, писал статьи на основе своих данных и просто делал обзоры на все популярные шифровальщики.

Написать на эту тему решил, чтобы рассказать про сервис https://www.nomoreransom.org/ru/index.html Зашёл его проверить и с удивлением обнаружил, что сайт всё ещё функционирует. Во время разгула шифровальщиков, не все в полной мере шифровали файлы. Были и те, кто косил под популярных шифровальщиков, и те, кто реально ничего не шифровал. Для некоторых случаев антивирусные компании создавали дешифраторы и они реально помогали. Я знал такие случаи.

Так что если вас вдруг зашифровали, попробуйте посмотреть дешифратор на этом сайте. Возможно, вам он как-то поможет. Ну и не забывайте про бэкапы.

#вирус #сервис