Skocz do zawartości
Zamknięcie Forum PC LAB

Szanowny Użytkowniku,

Informujemy, że za 30 dni tj. 30 listopada 2024 r. serwis internetowy Forum PC LAB zostanie zamknięty.

Administrator Serwisu Forum PC LAB - Ringier Axel Springer Polska sp. z o.o. z siedzibą w Warszawie: wypowiada całość usług Serwisu Forum PC LAB z zachowaniem miesięcznego okresu wypowiedzenia.

Administrator Serwisu Forum PC LAB informuje, że:

  1. Z dniem 29 listopada 2024 r. zakończy się świadczenie wszystkich usług Serwisu Forum PC LAB. Ważną przyczyną uzasadniającą wypowiedzenie jest zamknięcie Serwisu Forum PC LAB
  2. Dotychczas zamowione przez Użytkownika usługi Serwisu Forum PC LAB będą świadczone w okresie wypowiedzenia tj. do dnia 29 listopada 2024 r.
  3. Po ogłoszeniu zamknięcia Serwisu Forum od dnia 30 października 2024 r. zakładanie nowych kont w serwisie Forum PC LAB nie będzie możliwe
  4. Wraz z zamknięciem Serwisu Forum PC LAB, tj. dnia 29 listopada 2024 r. nie będzie już dostępny katalog treści Forum PC LAB. Do tego czasu Użytkownicy Forum PC LAB mają dostęp do swoich treści w zakładce "Profil", gdzie mają możliwość ich skopiowania lub archiwizowania w formie screenshotów.
  5. Administrator danych osobowych Użytkowników - Ringier Axel Springer Polska sp. z o.o. z siedzibą w Warszawie zapewnia realizację praw podmiotów danych osobowych przez cały okres świadczenia usług Serwisu Forum PC LAB. Szczegółowe informacje znajdziesz w Polityce Prywatności

Administrator informuje, iż wraz z zamknięciem Serwisu Forum PC LAB, dane osobowe Użytkowników Serwisu Forum PC LAB zostaną trwale usunięte ze względu na brak podstawy ich dalszego przetwarzania. Proces trwałego usuwania danych z kopii zapasowych może przekroczyć termin zamknięcia Forum PC LAB o kilka miesięcy. Wyjątek może stanowić przetwarzanie danych użytkownika do czasu zakończenia toczących się postepowań.

Temat został przeniesiony do archiwum

Ten temat przebywa obecnie w archiwum. Dodawanie nowych odpowiedzi zostało zablokowane.

michasm

Win32/Filecoder.Crysis.H

dodany przez michasm, w Internet, sieci i bezpieczeństwo

Rekomendowane odpowiedzi

michasm    286

michasm
Napisano

W firmie, w której pracuję, doszło niedawno do infekcji ransomware Win32/Filecoder.Crysis.H.

Zaatakowana została nasza mała, wydzielona sieć do zadań specjalnych - całkowicie niezależna od sieci głównej.

Na szczęście zainfekowany został tylko jeden komputer, a w sieci znajdował się też kolejny włączony komputer, który zawiera ważne informacje.

 

Do infekcji najprawdopodobniej doszło podczas połączenia przez RDP jednego z pracowników.

Połączył się z maszyną, która jako jedyna była dostępna z zewnątrz - odblokowany jeden port na bramce firewall.

Jak na złość jest to komputer "do zadań specjalnych" i miał ustawiony w biosie POWER ON on AC LOSS i sam się włączył podczas przerwy w dostawie prądu.

W zamyśle wszystkie komputery tej sieci miały być wyłączone i tylko ja miałem mieć dostęp do tego drugiego komputera (któremu nic się nie stało).

 

Pomijam fakt kto i po co się łączył, bo nie jestem w stanie teraz odzyskać tych informacji.

 

Wszystkie dyski fizyczne zostały zaszyfrowane.

Szyfrowanie miało miejsce 17 sierpnia 2016 (prawdopodobnie bezpośrednio po włączeniu komputera, czyli rozruch systemu może być inicjatorem).

Na komputerze zainstalowany był ESET Endpoint Antivirus. Na bieżąco aktualizowany.

ESET dodał odmianę Win32/Filecoder.Crysis.H niestety dopiero 30 sierpnia 2016.

 

Jak na złość niedawno pożydziliśmy kasy na przedłużenie licencji antyvirusa kaspersky, który zawsze był aktywny na firewallu (firewall sieci głównej posiada licencję). Jedyną ochroną był ESET.

 

Na szczęście obyło się bez strat finansowych, bo na komputerze nie było nic ważnego i nie wiedzieć czemu ransomware nie znalazł włączonego komputera w sieci, na którym mamy ważne projekty w udziałach sieciowych (niby zakończone, opłacone i jedynie archiwizowane, ale ich wykonanie zajęło dziesiątki tysięcy roboczogodzin).

 

Podejrzewam, że przyczyną wszystkiego było bezmyślne instalowanie pirackich wersji oprogramowania na prywatnym komputerze, z którego wykonane zostało połączenie przez RDP.

Jest mi bardzo smutno, że w taki sposób dochodzę do pewnych wniosków.

 

Przestrzegam mniej doświadczone osoby działające w IT przed umożliwianiem kolegom z pracy pracę zdalną na prywatnym sprzęcie.

Nie ma też co oszczędzać na systemach bezpieczeństwa.

 

Obecnie na głównej sieci posiadamy:

- ESET Endpoint Antivirus na każdym komputerze,

- IDP, AV kaspersky, content filter, antispam na firewallu,

- antispam i antivirus na connectorze POP3.

 

Przestrzegam laików takich jak ja przed korzystaniem z mniejszej ilości zabezpieczeń w firmach.

 

Z ciekawostek dodam też, że po wyłączeniu firewalla na bramce (debug IPSec) ktoś próbował dostać się do bramki przy pomocy bruteforce.

Jakiś bot co 3 minuty podawał login i hasło.

GeoIP jako ISP podało China Telecom Jiangsu...

 

Nie jesteśmy bezpieczni. Antywirus to za mało.

 

Do 23 byłem w robocie, aby upewnić się, że krytyczne dane są bezpieczne. Jestem przerażony całą sytuacją.

Proszę traktować temat jako ostrzeżenie i powód do przemyśleń nad rozwojem zabezpieczeń.

Udostępnij tę odpowiedź

Odnośnik do odpowiedzi
Udostępnij na innych stronach

filutka78    11

filutka78
Napisano
Podejrzewam, że przyczyną wszystkiego było bezmyślne instalowanie pirackich wersji oprogramowania

Błąd w myśleniu.

Tego typu infekcje rozprzestrzeniają się wyłącznie poprzez e-maile.

 

F.

Udostępnij tę odpowiedź

Odnośnik do odpowiedzi
Udostępnij na innych stronach
Przejdź do listy tematów

  • Ostatnio przeglądający   0 użytkowników

    Brak zarejestrowanych użytkowników przeglądających tę stronę.

×
×
  • Dodaj nową pozycję...