Вирусы шифровальщики уже давно не новинка. В 2015 году, когда мы только начинали задумываться о полноценных облачных серверах для бизнеса, у меня было еще одно направление бизнеса: мы занимались таможенным оформлением в Санкт-Петербурге. В офисе работало чуть больше 30 человек, там же находился выделенный корпоративный сервер и все компьютеры были соединены в общую сеть.
Я уже не помню почему у нас так было заведено, но если что-то ломалось у сотрудников, они бежали к айтишнику, а если что-то ломалось у Главного Бухгалетра, она шла к директору. Так было и тем зимним утром. Она попросила меня спуститься, потому что, с её слов: «весь экран стал черным». Я тогда начинал погружаться в цифровую безопасность, поэтому старался все узнавать и контролировать лично, хотя айтишник у нас тоже был.
Пока я спустился на этаж ниже, уже не только её монитор стал черным, но и остальных 3х сотрудниц в кабинете бухгалтерии. Буквально через минуту, почернели все 30 мониторов в офисе.
На экране каждого было примерно тоже самое, что на этой картинке, только без разноцветных флагов и рисунков: просто белый текст на черном фоне, с требованием перевести определенную сумму в биткойнах на указанный кошелек и подтвердить транзакцию на email адрес злоумышленника.
Так я впервые лично столкнулся с вирусом-шифровальщиком. В 99% случаев атака выглядит следующим образом: вирус под видом вложения в письмо (например инвойс или акт сверки) рассылают на тысячи адресов в надежде, кто-то из сотрудников этот файл откроет.
Наша корпоративная почта была надежно защищена антивирусом и, скорее всего, не пропустила бы это письмо, но вирус пришел на личный адрес бухгалтера @mail.ru Письмо было якобы от «Вологодская Налоговая Служба», а в тексте говорилось, что вложенный файл, это список документов по налоговой проверке. Так этот файл оказался скаченным на бухгалтерский компьютер, зашифровал его, а за ним и все компьютеры в локальной сети в офисе, включая сервер, который находился там же.
Сейчас, когда мы специализируемся на цифровой безопасности, об этом уже забавно вспоминать, но на момент, когда моя ГлавБух открыла зараженное письмо, я еще хранил бэкапы в офисе, просто на отдельном сервере, поэтому резервная копия тоже была зашифрована.
Скажу сразу: расшифровать самостоятельно мы его не смогли и, как и Garmin, покупали ключ у вымогателей.
Продолжение в следующей статье.
Юрий Матвеев
matveev (собака) cqre.ru
