הגיע לידי דוח ניתוח של קריפטו כלשהוא בארגון ענק.

[F00D Is G00D]

הגיע לידי דוח ניתוח של קריפטו כלשהוא בארגון ענק.

נראה שהארגון הרגיש כי הדבר חוזר על עצמו כמה פעמים ולכן הזמין את הבדיקה היקרה על ההרדיסקים שהם ניתקו.

מפה לשם, לא יודע איזה דעות קדומות היו לכם בנושא (ולאותו ארגון היו כמה).
מקור ההדבקה בארבע מתוך חמשת הדיסקים שנבדקו (בחמישי לא נשמרו מספיק נתונים):

ערכות הדבקה עם חולשות ידועות שנשתלו באתרים \ בלוגים עסקיים. שלוש פעמים באמצעות שתי פרצות פלאש שונות, פעם אחת פרצת ג'אווה.

הם דיווחו לבעלי האתרים על ההדבקה שלהם (שלא הבינו במה מדובר). ורק דיווח עליהם לגוגל וכ'ו גרם להם סוף סוף להסיר את הקיט.

בחיאת ראבק, יום ראשון - כשתגיעו לעבודה, תתחילו לחשוב על מנגנון שייעדכן את האפליקציות האלו, חלונות, ואופיס בתוך יום יומיים משחרור העדכון.

 

[lavifighter]

לא הבנתי כלום, אשמח להסבר למי שלא מכיר את הקריפטו

 

[F00D Is G00D]

זה כינוי ל Ransomware כי לחלקם קוראים קריפטואל או קריפטולוקר

https://en.wikipedia.org/wiki/Ransomware

 

[בצג]

אוי ואבוי!

מה שאתה אומר בעצם, זה שההדבקה נעשית מאתרים לגיטימיים שנפרצו ואיפשהו בתוך הקוד שלהם הושתל הסקריפט?

 

[F00D Is G00D]

חיובי

לא פורנו, לא מפוקפק, למשתמש לא קפצה שום אזהרה על כלום. הדבקה שקטה שקטה.

 

[בצג]

בקיצור, אין מה לעשות חוץ מגיבויים...

 

[פשוש]

חצי מדוייק...

יעצתי לכמה חברות שנדבקו בחולירע הזה וטיפלתי להן במשבר, אני מכיר את הנושא מכל האספקטים שלו.

הפרוסס שמצפין את הקבצים מניח שיש גיבויים ולכן הוא מצפין באיטיות, מהישן ביותר אל החדש ביותר, כל יום קצת במשך שבועות (!)

התוצאה היא שלאחר 3-4 שבועות של עבודה שקטה כזו, רוב הגיבויים שלך יכילו קבצים מוצפנים. אם היתה לך מדיניות "דורות גיבוי" טובה אז תוכל לשחזר חלק קטן מהקבצים האחרונים ביותר שיצרת אבל את לרוב הקבצים (הישנים) לא יהיה לך גיבוי תקין.

נתקלתי בזה אצל חברה ענקית בישראל שה- NAS שלה הוצפן עם מסמכים של 30 שנות פעילות כולל ארכיב של הנח"ש, הצעות מחיר, חוזים, הסכמים וכו'. מאז שידרגתי קצת את תכנית הגיבויים שלי, גיבוי תכוף יותר (אחת לכמה שעות) של החומר החדש ביותר (ללא חומר ישן) ושמירה של חודשים ארוכים לאחור, בלי מחיקת דורות ישנים. בצורה הזו כמו החומר שיהפוך לבלתי נגיש נמוכה מאוד.

 

[lavifighter]

גרסאות חדשות לדדפן, פלאש, JAVA, מערכת הפעלה וAV גם יעזרו

וגם ריצה עם יוזר לא אדמיני והרשאות NTFS קשיחות יכולות לסייע בנושא שכן גם הוירוס צריך הרשאות על הקבצים כדי להצפין. IPS לא יכול להועיל פה במידה וזו תקיפה דרך הרשת(ולא על ידי קובץ שפותחים איתו)?

 

[בצג]

יש לך טעות מסוימת

הוירוס לא צריך הרשאות יותר ממה שיש למשתמש. זה אחד הדברים הגאוניים בו. התפיסה שמה שהמשתמש נוגע בו הוא מה שחשוב למשתמש - וזהו. הוא לא מנסה להצפין מערכת אלא רק את מה שהמשתמש נוגע בו. הוא רץ כסקריפט, לא נוגע במערכת, לא צריך הרשאות NTFS מיוחדות כך שאין מה להקשיח (אלא אם אתה נותן למשתמשים שלך רק הרשאות קריאה) ויוזר לא אדמיני - שוב, לא רלוונטי.

 

[kitt]

אני מתקין על כל התחנות Crypto prevent של foolish IT

התוכנה משנה את ה GPO המקומי של התחנה ומקשה על התחנה להידבק בחולירות האלה.

 

[ddoottaann]

מומלץ לסביבת דומיין?

אפשר להקשיח GPO בלי זה?

 

[kitt]

אני מכיר את התוכנה הזו ולכן משתמש בה אחרי שקיבלתי

עליה המלצות בכמה פודקאסטים שאני מקשיב להם.
יש לה גירסה חינמית וגירסה בתשלום שיודעת להתעדכן אוטומטית.
לגבי הקשחה ללא GPO אני לא מכיר כזה פיתרון לקריפטוחולירות.