Взлом + Вирус

Ну и этому контакту я ответила что-то в стиле "нечего тут разводить". Но проходит буквально пару минут, от нее приходит ответ "меня взломали", я перехожу на это сообщение, чтобы ответить - и пока. Меня уносит на другой мой аккаунт, в телефоне та же петрушка, из трех зайдено только в два. Этот пропал на всех моих устройствах.

Естественно, реакция была мгновенной, восстановила через смс, вошла обратно везде, создала облачный пароль и почти успокоилась (почти, потому что когда пароль создала - на другом устройстве сеанс все равно продолжился, значит и у мошенника тоже все супер). Более того, меня опять выбило. Опять зашла, но уже только с телефона. Завершить активные сеансы мне не удавалось из-за безопасности телеги. Причем, сомнительных сеансов даже и не было, но почему-то дублились мои устройства, что было аж 5 сеансов, хотя должно быть 3 (комп+телефон+старый телефон, где давно сбито до заводских). Надо было завершить их все именно с устройства, где зайдено давно, но выбило-то везде. Так что ждем сутки.

Потом полночи чистила комп от вирусов двумя разными антивирусниками (не факт даже, что по результатам несколько файлов вирусами назвать было можно), снесла телегу на компе, скачала заново, но терпеливо дожидалась суток, смогла завершить все сеансы. Ура, получилось. Плюс на всякий случай на двух других учетках тоже сеансы завершила. Теперь смело зашла с компа. Взломанная ранее учетка - норм, дальше зашла с самой важной мне учетки (с недействительного номера) - и ЧТОБЛТ? Теперь выбило из нее. Правда в этот раз не выбило из телефона, скорее всего потому что я с нее в течение суток тоже завершала сеансы (если бы и на телефоне выбило, то прощай учетка навсегда). Зато вчерашняя страдалица на месте, все круто прям.

И теперь я думаю, что у меня в компьютере сидит какая-то очень плохая сущность (в виде гномика), которая именно там меня и выносит, антивирусы ее не видят, а она творит всякую дрянь. А муж мне сегодня заявил, что его вообще давно приложение с компа (его, не моего) выносит, что он уже им и не пользуется. Хотя он вообще на спам не натыкался.

Теперь, товарищи знатоки, вопрос(ы):
1) Как мне продолжить сидеть с компа в телеге со всех трех учеток без "выбиваний" и без сноса винды?
2) Что нужно этим взломщикам от моих учеток, если мои контакты сообщили, что спама с такими же "подарками" от меня не было?
3) Не могут ли они копать глубже в плане кражи самого номера телефона и прочее?

По мимо банального явления как вирусы шифровальщики которые просто шифруют ваши данные (думаю тут всем это знакомо) и разбрасывают везде текстовые файлики с инструкцией куда и как слать деньги и возможно какие то контакты для связи существуют и целенаправленные шифрования. Там никто (изредко сайты антивирей) вам данные не расшифрует потому что скорее всего этих контактов то уже и нет и чел уже где то на бутылке или это просто система нипель. Если говорим про простых шифровальщиков то зачастую это мамкины хацкеры покупают готовые конструкторы троянов\шифровальщиков, меняют названия, меняют контакты и реквизиты, кошель и алга, но мы сейчас не про это – «тут рыбы нет» . Мы про другое сейчас (да да.. почти к сути уже добрался ). Сейчас активно действую профессионально сплоченные группы тех кто проникает в сеть предприятия, шифрует данные, далее находясь на контакте, демонстрируя холодную деловитость, (Nothing personal, just business) профессионализм - решают вашу проблему путем получения ваших средств при этом попутно сопровождая вас на всех этапах как заправский крутой ИТ аутсорсинговый сервис на всех этапах (тикеты, чат круглосуточный, личный кабинет и т.д) да ещё и не просто так, а например по средствам выставления СЧЁТА (то есть конторе даже не надо где то рожать хмурый налик чтобы расплатиться) то есть удобства и сервис на высоте! Беда в том, что действительно решают проблему и поэтому им платят и многие даже заботиться (заботились) про свою репутаци. Для тех «специалистов» что про такое слыхом не слыхивали даю намётку – почитайте про группировки Cont/Ryuk, Pysa, Clop (TA505), Hive, LockBit 2.0, Ragnar Locker, BlackByte и BlackCat. После того оглянитесь вокруг и посмотрите на каком профессиональном уровне сейчас утроены call центры мошенников и прикиньте известный орган к носу на тему «бывает\ не бывает.»  Чуваки проникают в сеть компании (хоть с пользовательской безправной машины, хоть как то)  проводят в сети до месяца – спокойно изучают сеть, изучают данные по компании в том числе и публичные. Легко понимают примерные финансовые возможности компании (им точно не надо.. можно примерно) далее задача «бахнуть» сеть и выставить сумму которая контора безболезненно потянет, а если ещё присовокупить что оплата по счёт (пусть и не от резидента) то вообще «сказка» сплошные удобства. Это лучше чем простой работы или утеря всего и полный крах. Вся эта канитель с каждым шагом настраивает вас на оплату – всё очень деловито. Приведу живой пример: вы получаете свой лох \ фан id попаданца и ссылку на сайт. Вводите там id, далее вы попадает на внутренний портал, где за вами закреплен менеджер а то и отдельно технарь. Всё как в лучших домах – чат, вложение файлов, создания трабл тикетов – всё всё прям капец как на уровне и вы пока с ааах…фигевшими глазами на это всё великолепие взираете. Далее общение и склонение к сотрудничеству с администрацией и ДАЖЕ постпродажной поддержкой скольких то дней (сюр но это так, может не всегда так, но в моих живых примерах было так). Тут всё понятно и что будет далее расписывать нет смысла.

- как ломают ? да как угодно, по вам работают не боты, а люди, вариков полно. если у вас всё по безопасности но недосягаемой высоте или вы просто самоуверенный баран закрывай этот текст.

- мы никому не нужны мы «неуловимые ДЖО» и торгуем дохлыми хомяками (змей кормить)! Да счаааззз, размечтались – нужны нужны! если какие то денежки есть и вы можете их «вынюхнуть» то пофиг что вы не газпром и если контора небольшая то трудозатраты на преодоления защиты будут малы (как правило).

- ну быстро всё выключить из розетках, шифровальщики не мгновенные! В моём примере всё было молниеносно – шифровались не файлы, а диски при помощи легального ПО на который антивирь не агрился.

Итак дано – вы Д’Артаньян, кругом злобные шифровальщики и при этом у вас нет ИТ отдела из 100 дармоедов с пометкой специалист по безопасной безопасности.  Решение ооочень банальное и простой и поэтому самое сложное к исполнению по двум причинам:

1) нужна реальная неукоснительность и обязательность реализации

2) нет никакой магии и никаких волшебных программ которые спасут от всего. Это печалит

Решение это ВНЕЗАПНО бэкапирование… (ууоот так вот). Дорохой модератор погоди сносить пост, я продолжу. Дьявол всегда в деталях. Бэкапирование нужно не просто, а многоуровневое, тотальное и эшелонированное. Разными физическими машиными\серверами, которые к примеру никогда не встретятся в онлайне в одно время, эти бекап машины не должны подчиниться домену и его политикам, там должны быть уникальные пароли (разные) и о ужас!!! сделайте уж так чтобы эти пароли нигде небыли бы записаны НИГДЕ. Никаких нафиг менеджеров паролей - уж сделайте усилие над собой.(и если этих паролей от бекап серверов в том числе не будет у ваших начальников и коллег ничего не рухнет)

И ВОТ ВСЁ ЭТО БЫЛО и НЕ СПАСЛО ))) в тех двух случаях в которых я помогал тушить «пожар». Теперь надо сделать так чтобы спасло и заодно поговорим ПОЧЕМУ имея на руках бекапы без единого разрыва, целые,румяные и актуальные пришлось ими пренебречь по факту.

Вот у вас на руках по сути есть бекапы всего, все данные, все виртуалки, и даже все нужные образа физических машин – ваааа .. даааа.. красаучег! Но нет.. жизнь вас не готовило к тому что ляжет всё и сразу. Осознайте: ВСЁ И СРАЗУ. Вы начинаете процесс разворачивания бэкапов, разархивирования данных, копирования, на новые чистые системы (которые надо ещё поставить ВСЕ И СРАЗУ) и речь идёт про десятки и десятки терабайт (это вам не история когда лёг 1 сервак) и вот вы вынуждены доложить что процесс займёт  пару дней чистыми… вот так просто и без затей при работе 24\7 просто потому что. Много всего и сразу. МНОГО ВСЕГО – ОЧЕНЬ. СЛИШКОМ. Бэкапы никто как правило не хранит на массивах из быстрых сочных SSD и скорее всего у вас тоже как и у всех бэкапные массивы их HDD больших, жирных и не дорогих, да ещё всё до кучи ЗАПАКОВАНО  потому что вы хороший зайчик и  вы хотите обеспечить чудесную глубину и частоту резервирования, а данных мноха поэтому тока так.

Потому что никто не планировал такой исход и вот вы собираетесь на консилиум с руководством для выделения приоритетов того что восстанавливать в первую очередь, играетесь приоритетами и пытаетесь как то что то придумать, но всего много и руководитель согласует вам план и приоритеты, но он уже понимает что сроки… сроки пипец… они его не радуют потому что не факт что у вас всё получиться (слово "выгорит" не стал использовать ) это ВЫ уверены что всё будет ок, а руководитель в ВАС в целом уже совсем не уверен после факапа (в целом) и всё это накладывается на весьма мягко говоря нервную обстановку. А ещё ребята которые хотят деНЯГ никуда не делись (это вам не боты) они по прежнему хотят деняг и они ждут, они потратили ресурсы на вас, а значит в процессе могут быть рецедивы (я бы даже сказал что будут потому что ребята которые подались мне сооовсем не дураки) и только вы начнется вставать с колен как вас снова неприятно удивят (даже с отключенным инетом) что конечно же не добавит вашему руководителю уверенности в том что вы сможет решить эту проблему. Руководитель уходит хмурый и задумчивый, попутно прикидывая второй путь решения (я думая понятно про какой путь речь) потому что «рациональность» рулит (в теории)  А я вам напомню что злодеи не идиоты – сумма запроса будет подобрано грамотно, они тоже понимают что они могли добраться не до до всех бекапов. И вот итог, результат .. КАТАРСИС который я описывать не буду ато этот пост захотят снести модераторы как за пропаганду шантажистов )))

Теперь проводим работу над ошибками и делаем по новой. С учётом шишек и бошек

Оговорочка для многокопытных многоопытных и крутых как сам мистер вселенная-Курицын моих коллег: вот все сразу в пень! сразу… оно не для вас. пропуститесь, в интернетах всегда кто-то не прав и я в первых рядах. Я сам неплохо умею в умные слова, термины и крутые программные комплексы размером с Африку, тут не про это – тут «простые советские» решения. тут про обязательность концепцию и неукоснительность

Сначала нам нужен план – концепция, в общем политика

1. Берём за аксиому что нас «хакнут» - 146%. Вот берём за константу НАС ТОЧНО ХАКНУТ.

2. НАС БУДУ ХАКАТЬ ЧЕРЕЗ ДЕНЬ!

3. Делаем план действий именно по этому сценарию, но не формальный как план эвакуации  а «боевой» - всамомделешний, подробный и хороший.

4. Делим данные на те которые:

5. являются действительно чувствительными к утечки (то есть страшна именно утечка, а не просто их потеря)

6. и данные которые страшно потерять, но их утечка условно нам пофиг (например удалена вся основная файловая помойка компании – работа встала, но там не было данных утечка которых несёт проблемы – не утекли «секретики и делишки», просто мы пролюбили всю рабочую инфу )))

7. техническое обеспечения работы – (загрубим для простоты понимания - операционки на ПК)

8. Действительно чувствительных данных всегда мало, людей которые имеют к ним доступ тоже всегда очень мало (а если не так, то должно быть так и точка) и тут есть возможность организовать действительно качественную защиту (когда данных мало и круг лиц мал) – тут углубляться нет смысла, это отдельная тема, но тут можно взять опыт из интернета.

9. Все прочие данные буду ТОЧНО хакнуты и точно зашифрованы – таков путь такова концепция и поэтому упор на эшелонированное, многоуровневое резервирование. разными средствами по ранее описана методу а именно:

10. - средства резервирования должны быть представлены хотя бы в 2х единицах (даже если придётся колхозить на простом ПК с простыми дисками)

11. - эти средства никогда не должны встречать в сети в онлайне. Один работает, второй физически выключен. Автоматизация всего этого и прочий конкретный скриптинг я оставлю за рамками – я тут про более важное ПРО КОНЕПЦИЮ.

12. - серваки (серваки\насы\компы\баба зина – неважно) которые занимаются таким бэкапом не должны иметь хоть что то общего по привилегиями и паролям с отсевной сетью. Никакого членства в домене, только уникальные нигде не записанные пароли (да вот так). Только суровый standalone . Бэкап серваки должны сами стягивать данные из источников, то есть у вас не должно быть ситуации когда какой то декапируемый объект сам кладёт по сети на бекап сервер что то тем самым засвечивая путь к нему и до кучи ещё какой никакой но доступ на запись. Только сам бэкап север стягивает данные. Если так не всегда можно сделать – использовать промежуточную шару.

13. 
    

14. там где случился капец (то есть разные железки, разные доступы и никогда не пересекаются онлайн, с временным интервалом «отстоя»)  НО! Добавляем ещё ЗЕРКАЛИРОВНАИЕ данных на быстрых носителях. Именно зеркало, а не холодные бекапы, на хоть сколько то быстрых массивах. На таких зеркалах не будет возможности сделать большие  глубины зеркалирования (тупо неоправданно дорого) но оно готовое хоть к какой-то работе можно даже сразу заранее расшарить но все данные только в режиме чтения потому назначение прав на больших данных тоже не бесплатное по времени. ВАЖНО!!!! Именно вот такое зеркало отличает предыдущий опыт когда на руках есть все бекапы но толку нет. Вам может казаться что у вас больше времени сожрёт ставить разные ОСи и прочее, а по факту легко будет что все «технические данные» и настройки вы сможете сделать в разы быстрее чем будет возможность дать доступ к просто данным. Просто из за объёмов и операций над этими объёмами (напомню у вас всё и сразу ВСЁ И СРАЗУ)

15. Проводим РЕАЛЬНОЕ, а не виртуальное учение по «тушению пожара». В реальных обстоятельствах ты получаешь в дыхло там где не ждал - ВОТ БАНАЛЬНО НОЧЬ, УЛИЦА ФОНАРЬ  овердохера машин на которые нужно одновременно загружать с USB носителей чтобы восстановить образа, а у тебя нет вот прям сейчас СТОЛЬКО шлефек – ну их тупо нет, и ты нигде их не раздобудешь оперативно, а надо прям СЧАЗ! Или к примеру в огромных объёмах как при настоящем пожаре нужны емкости (внешние диски) и вот тебе раньше казалось что у тебя их этих дисков много и ещё в шкапу пяток не распакованных валяется, но при таком пожаре их катастрофически мало! ИХ НЕ ХВАТАЕТ . Ещё раз – только реальные практические действия покажут слабые места – никакое продумывание даже степ бай степ этого не сэмулирует и не заменит - НИКАК. А если у вас такой бешеный уровень самоорганизации что вы способны так на «бумаге» всё продумать и это реально срабатывало (важно чтоб вы это проверяли на практике а не просто думали что крут) тогда вам сей опус не нужен вы и так молодец

16. прописанная истина - если вы не проверяете бекапы на работоспособность - значит у вас их нет. тчк.

Вот и всё, ни магии, ни секретов, просто я постарался сумбурно донести одну мысль: важна «КОНЦЕПЦИЯ» при которой вы исходите что вас буду взламывать через день, но при этом вам надо обеспечивать работу. Всё. Нельзя только терять малый пул чувствительных данных, в остальном а хоть обудаляйтесь, обзашифровыватесь, обвзламыватесь – я как феникс, пол ночи и ночь и утром офис в работе и я ещё и поспать успею. СОСИТЕ!

Этот то что по итогу и принесло эффект (вы же не думаете что про вас забудут особенно если вы поделитесь денюжками со злодеями ))) пойдёт время и всё повториться как встарь, но эти «типо» будут уже другие (типа другие или реально другие - пофиг) ребята, потому получив данные по ваше сети в виде карты сети, каких то нюансов или паролей эту инфу тоже можно перепродать другим злодейским злодеям, ровно так как перепродают базы телефоном для холодных звонков

Злодеи легко отступят в том числе если в чатике дать им расклад просто на пальцах с доказухой – там ребята про КПД и про денежки, вы для них «джаст бузинес» им просто нет смысла тратить на вас время, вы просто часть работы, там нет эмоций.

Некоторое время назад я думал что слегонца хитрожоп. Я на все рабочие станции ставлю по дешманскому HDD (даже покупать не надо, всяких 500гб баракуд валом старых) да и 3-4к + стоимости станции не проблема. Диск этот не был виден в системе с буквой (быквы диска нет) Раз в неделю в глухую ночь диск появлялся. Далее бесплатная oem версия акрониса делает образ основного SSD целиком и после этого диск опять убирает букву. Это простой механизм много раз спасала не только от простых шифровальщиков, но и просто от разного рода проблем на рабочих станция. Вот у тебя на станции есть целиковый образ системы недельной давности причём именно что тут, а не в сети. Удобно, прикольно, НО! вот это уже не поможет от ранее описанного способа.

Да концепция подойдёт не всем просто по модели данных, но я и не претендую. На рейтинг пофиг, на препинания и орфографию пофиг, на графоманию пофиг, на всё пофиг, я пошел на обед )))

Одновременно посыпались смс с кучи интернет магазинов. Она в панике удалила аккаунт с телефона, а оказалось надо было со свего телефона зайти и в настройках выйти из всех связанных устройств.
Про собаку я написала чтобы затянуть разговор)

В России за первую половину 2023 года количество кибератак выросло в два раза по сравнению с аналогичным периодом за прошлый год. В ПНИПУ за период с мая по июль было зафиксировано 264 305 кибератак. Все они успешно отражены.

Начальник отдела информационной безопасности Пермского Политеха Антон Каменских рассказывает, что большинство кибератак (246 884 случаев) связаны с «разведкой», когда злоумышленники автоматизировано с помощью ботов собирают информацию о веб-ресурсах, оценивают их уязвимость, а также потенциальный интерес для взлома. Прямого вреда такие атаки не несут.

Реальную опасность представляли только 2327 атак (около 1% от общего числа), однако чаще всего — это попытки вслепую обойти защиту веб-ресурсов организации. Среди потенциально опасных случаев можно выделить DDoS-атаки (25% от количества всех атак), их цель — довести вычислительную систему до отказа. Интенсивность таких атак на Пермский Политех существенно выросла летом в период приемной компании.

— Прочие атаки связаны с попытками эксплуатации различных популярных уязвимостей веб-ресурсов из OWASP TOP-10. Развернутые системы защиты успешно справляются с большинством кибератак. Конечно, всегда есть риск zero-day уязвимостей (недостатка программного обеспечения), поэтому отдел информационной безопасности ПНИПУ стремится использовать современные сертифицированные решения, которые помогают противодействовать даже таким угрозам, — комментирует эксперт Пермского Политеха Антон Каменских.

Кандидат технических наук и доцент кафедры информационных технологий и автоматизированных систем ПНИПУ Даниил Курушин рассказал, какие виды компьютерных вирусов существуют и как можно похитить биометрические данные пользователя социальных сетей.

Вирус — это компьютерная программа, способная к самотиражированию, то есть бесконтрольному распространению по сети. Принято считать, что вирусы обязательно наносят вред системе, однако это не всегда так. Существует несколько видов угроз:

• исследовательские, или разведывательные атаки: они позволяют разузнать об атакуемой системе и выявить ее уязвимые места;

• атаки типа «эксплойт» — микропрограммы, эксплуатирующие некоторую уязвимость, которая могла быть выявлена в ходе разведывательной атаки;

• атаки, вызывающие «отказ от обслуживания», которые призваны заблокировать работу сервиса или сети;

• атаки, направленные на кражу или модификацию данных;

• атаки, направленные на эксплуатацию вычислительной мощности устройства в собственных целях атакующего. Например, для генерации криптовалюты или для атак на другие хосты.

— Разумеется, если ввести в поиск «10 самых опасных вирусов 2023 года», то Интернет предложит соответствующий рейтинг с обзором на каждый вирус. Однако есть ли в этом смысл? Атомная бомба, безусловно, опаснее автомобиля, но шансов погибнуть под его колесами несравнимо больше, — отмечает эксперт Пермского Политеха Даниил Курушин.

Поэтому важен не вопрос «какой вирус самый опасный?», а «что делать, чтобы не пострадать от них?». Ответ на этот вопрос на первый взгляд довольно прост. Во-первых, соблюдать «информационную гигиену» и не устанавливать программы из сомнительных источников. Во-вторых, использовать технологические платформы, менее подверженные вирусным и другим атакам, объясняет специалист Пермского Политеха. Операционные системы на ядре Linux обычно безопаснее систем от Windows. Тенденция такова, что открытые и молодые системы безопаснее старых и закрытых. При этом редкие конфигурации могут быть безопаснее популярных, потому что под них реже пишутся программы-эксплойты.

— Существует сайт virustotal.com, который позволяет проверить файл 60 разными программами. Вполне может быть так, что 20 программ скажут, что вирусов нет, а 40 других обнаружат вредоносную программу. И как быть? В этом деле «демократия» не работает! — добавляет кандидат технических наук Даниил Курушин.

Часто целью кибератак становятся личные данные пользователей сети. Защитить эти данные может только Закон (152-ФЗ «О персональных данных» от 27.07.2006). Прочие меры лишь затрудняют их несанкционированное использование. Если ресурс запрашивает разрешение на использование ваших персональных данных, значит, что его владельцы следуют Закону. Однако ваши данные все еще могут попасть к третьим лицам как по недосмотру, так и намеренно. Чтобы этого не произошло, следует соблюдать аккуратность в сети, не регистрироваться сверх необходимости в разных сервисах и не оставлять свои данные в сомнительных ресурсах, считает эксперт ПНИПУ.

Необходимо понимать, что даже пересылка паспортных данных через мессенджеры или почту есть не что иное, как публикация личных данных. Даниил Курушин объясняет, что все данные, пересылаемые через сеть, записываются на носители серверов занятых в этом процессе и, теоретически, могут попасть к третьим лицам. Если необходимо переслать ваши данные через публичный сервис (например, социальные сети), то зашифруйте файл и отправьте пароль отдельным сообщением, желательно через другой сервис.

Говоря о защите персональных данных в соцсетях, стоит понимать, что любой способ предоставления уникального кода (пароля, отпечатка пальца и т.п.) — лишь первый этап сложного процесса. Интернет так устроен, что общение между вами и сервисом происходит путем отправки и приема множества пакетов с цифровыми данными. Подтверждение же подлинности пользователя занимает лишь малую часть из них. В дальнейшем вашему устройству выдается код (его можно найти в файлах cookies), который и есть «настоящий пароль». Если злоумышленнику удастся похитить или подобрать этот код, он сможет войти в ваш аккаунт.

Эксперт Пермского Политеха рассказывает, что крупные провайдеры услуг стараются сделать процедуру аутентификации достаточно безопасной. Но обеспечить полную безопасность вашим данным пока невозможно. Поэтому часто можно встретить дополнительную проверку подлинности пользователя, например, при совершении денежных транзакций.

Специалист ПНИПУ добавляет, что двухфакторная аутентификация (когда ваш аккаунт, например, защищен паролем и привязан к номеру телефона, на который приходит код проверки) также может быть скомпрометирована. Для дополнительной безопасности сервисы обычно присылают пользователям уведомления о входах в систему с других устройств. За помощью также можно обратиться в техподдержку, если вы получили нелогичные и подозрительные сообщения от друзей или у вас просят деньги, пароль от сервиса или другие коды.

— Не поленитесь и проведите «учения» с вашими родственниками. Все, указанное ранее, люди обычно знают, но не умеют применить в нужный момент, — комментирует Даниил Курушин.

Деньги стырить не пытались, шантажей не было.

Находила "белого хакера", который должен был провести диагностику и помочь (удаленно) с проблемой, в итоге по номеру телефона (больше инфу не просил) не нашел каких-либо проблем, что очевидно с такими-то входными данными... Начал просить секретные данные от аккаунтов, сестра отказалась предоставлять, в итоге свалил с деньгами.

Хотел описать кратко и понятно, но получилось так) Есть ли в Мск специалист, который смог бы помочь избавиться от всех этих проблем навсегда? Только оффлайн. Подробнее и точнее инфа будет для спеца.