Шифровальщик .QUIETPLACE

[AndreyNag]

Здравствуйте.
Сегодня во время обновления удалённо платформы 1С шифровальщик сделал своё грязное дело.
Лицензия есть. Действующая.

[Mark D. Pearlstone]

Порядок оформления запроса о помощи

[AndreyNag]

Прошу прощения. Я ещё под адреналином. Сейчас всё сделаю как положено. 

[mike 1]

40 минут назад, AndreyNag сказал:

Лицензия есть. Действующая.

Пишите тогда сразу запрос. На форуме на данный момент можем помочь только с очисткой от вирусного заражения. 

[AndreyNag]

Файл с требованиями вымогателя вроде попадался на глаза, но был в неадеквате и не могу теперь найти его.

1.zip Addition.txt FRST.txt

P.S. Захожу в MyKaspersky, открываю поддержка, но там отсутствует "Создать запрос". 😞

Изменено 21 декабря, 2022 пользователем AndreyNag

[AndreyNag]

Здравствуйте.
На сколько мне известно, то шифровальщики не оставляют после себя тела вируса. Поэтому как такового особого лечения не требуется. Достаточно штатными средствами KIS просканировать.
Я правильно понимаю?
P.S. И до сих пор не понимаю как действующий KIS пропустил массовую шифровку файлов. 😞

Изменено 22 декабря, 2022 пользователем AndreyNag

[mike 1]

Перейдите по ссылке https://support.kaspersky.ru/b2c/ru , далее сюда нажмите 

 

 

После этого заполните поля и нажмите "Мне не помогло, обратиться в поддержку"

 

 

7 часов назад, AndreyNag сказал:

И до сих пор не понимаю как действующий KIS пропустил массовую шифровку файлов

А вы еще не поняли, что злоумышленники к вам по RDP на эту машину зашли? Антивирус можно и отключить на момент выполнения черных дел.   

[AndreyNag]

RDP - Зло. Что же самое безопасное на текущий момент для удалённой работы?

 

22.12.2022 в 19:27, mike 1 сказал:

Перейдите по ссылке https://support.kaspersky.ru/b2c/ru , далее сюда нажмите 

 

 

После этого заполните поля и нажмите "Мне не помогло, обратиться в поддержку"

 

 

А вы еще не поняли, что злоумышленники к вам по RDP на эту машину зашли? Антивирус можно и отключить на момент выполнения черных дел.   

Объясните мне пожалуйста каким образом зловред мог пробраться на удалённый комп по RDP если на удалённом компе установлен корпоративный kaspersky total security? Интересует источник зловредного кода. 
Огромное количество подобных случаев, коими изобилует интернет пространство, происходит именно при операциях с платформой и базами 1С. 
Может стоит рыть в эту сторону?

[mike 1]

2 часа назад, AndreyNag сказал:

RDP - Зло. Что же самое безопасное на текущий момент для удалённой работы?

Безопасней использовать VPN + межсетевое экранирование портов с разделением на vlan сегментов сетей. Антивирус защищает от большинства угроз, но он не защищает от сложных или целевых атак. Если у вас RDP был открыт наружу, то вероятно через эксплуатацию уязвимостей могли попасть. 

 

39 минут назад, AndreyNag сказал:

kaspersky total security

Для бизнеса или домашний? Kaspersky Total Security подразумевает, что у организации есть выделенный сервер Kaspersky Security Center. Если это не оно, то у вас установлен домашний антивирус, который в корпоративной среде лучше не использовать из-за отсутствия централизованного управления им. 

 

41 минуту назад, AndreyNag сказал:

Интересует источник зловредного кода. 

Чтобы ответить на этот вопрос потребуется EDR. В противном случае вам придётся лопать все журналы самостоятельно, а грамотные злоумышленники их трут после выполнения чёрной работы. У Лаборатории Касперского имеется платный сервис, который позволяет провести аудит вашей ИТ инфраструктуры. Можете воспользоваться им. 

[AndreyNag]

Just now, mike 1 said:

Безопасней использовать VPN + межсетевое экранирование портов с разделением на vlan сегментов сетей. Антивирус защищает от большинства угроз, но он не защищает от сложных или целевых атак. Если у вас RDP был открыт наружу, то вероятно через эксплуатацию уязвимостей могли попасть. 

 

Для бизнеса или домашний? Kaspersky Total Security подразумевает, что у организации есть выделенный сервер Kaspersky Security Center. Если это не оно, то у вас установлен домашний антивирус, который в корпоративной среде лучше не использовать из-за отсутствия централизованного управления им. 

 

Чтобы ответить на этот вопрос потребуется EDR. В противном случае вам придётся лопать все журналы самостоятельно, а грамотные злоумышленники их трут после выполнения чёрной работы. У Лаборатории Касперского имеется платный сервис, который позволяет провести аудит вашей ИТ инфраструктуры. Можете воспользоваться им. 

KTS стоит корпоративный. Как раз спец занимался обновлением базы 1С по RDP.
Централизация управления никак на функционал не влияет. Не должна влиять. Я на предыдущем месте службы с KES работал непосредственно в масштабах территориально распределённой организации. С этой стороны вряд ли существуют проблемы. 
Накиньте пожалуйста версий источников и лазеек для подобного рода зловредов, чтобы исключить такие случаи впредь.
Спасибо.

[mike 1]

24.12.2022 в 01:55, AndreyNag сказал:

Накиньте пожалуйста версий источников и лазеек для подобного рода зловредов, чтобы исключить такие случаи впредь.

Нужно понимать, что зловреда запускали скорее вручную ручками. Основные это:

 

* Bruteforce RDP 

* Использование уязвимостей в протоколе RDP, либо в ОС Windows. 

* Ломанное ПО с сюрпризами

* Электронная почта   

[AndreyNag]

21 hours ago, mike 1 said:

* Использование уязвимостей в протоколе RDP, либо в ОС Windows. 

Я склоняюсь к этому пункту потому, что на многих компах используется ломаное ПО, но таких "сюрпризов" там не наблюдается годами. 

Вопрос к антивирусу остаётся. К чему модуль "Мониторинг активности" если он ничего не отмониторил на 4 (четырёх) компах, на которых поголовно стоит антивирус. 
В процессе разбора ситуации выяснена конфигурация при которой произошло заражение.
1. Спец 1С подключается со своего компа с лицензионным корпоративным KTS с помощью anydesk к рабочему компу клиента, на котором стоит KIS.
2. Далее с компа клиента по локальной сети с помощью RDP подключается к серверу. Скачивая при этом с портала 1С файлы для обновления платформы.
3. Где-то в этот момент возникают вопросы у спеца и мне звонят на предмет прояснить ситуацию. Я со своего домашнего компа с актуальным KIS подключаюсь к другому серверу по RDP (потому, что Win7Pro не позволяет одновременные подключения) и тут же наблюдаю файлы со странным расширением. Тревога! Кричу вырубайте сервера. Но было поздно. Оба сервера были зашифрованы тотально. По ходу хватило времени.
4. В этот момент у меня на компе начинают появляться в коре диска D файлы с таим же расширением и теперь уже я отключаю RDP и судорожно жму кнопку выключения.
Внимание Вопрос: На каком этапе должен был таки сработать пресловутый "мониторинг активности"? 
Как себя обезопасить и в организации исключить такие "сюрпризы"?

Изменено 26 декабря, 2022 пользователем AndreyNag

[mike 1]

С вопросами почему не отработало нужно обращаться в техподдержку через Kaspersky Company. Здесь это обсуждать не имеет смысла, т.к. тут не отвечают сотрудники компании.  

[AndreyNag]

On 26.12.2022 at 22:30, mike 1 said:

С вопросами почему не отработало нужно обращаться в техподдержку через Kaspersky Company. Здесь это обсуждать не имеет смысла, т.к. тут не отвечают сотрудники компании.  

Я понимаю, что здесь не специалисты. Веду переписку с лабораторией, но ничего ценнее стандартных советов и рекомендаций я не получил. Так же не получил ответа как такое вообще могла произойти.
Вопросы на этом форуме я задаю осмысленно, чтобы общаясь с сообществом заинтересованных совместными усилиями решать общие вопросы и избегать проблем. 

[mike 1]

1 час назад, AndreyNag сказал:

Вопросы на этом форуме я задаю осмысленно, чтобы общаясь с сообществом заинтересованных совместными усилиями решать общие вопросы и избегать проблем. 

Тогда наверное имеет смысл вам завести отдельную тему, например, в разделе "Беседка". Здесь могут отвечать в чужих темах не все участники форума.