11:51
11/5/2016

Ciekawe tłumaczenie urzędników z Urzędowa (sic!) odnośnie tego, dlaczego pani z sekretariatu dała się “nabrać” i swoim działaniem sparaliżowała pracę urzędu.

Ponieważ przesyłki są dostarczane do urzędu o różnych porach dnia, kurier rzeczywiście mógł nie zdążyć z jej przekazaniem. Osoba odbierająca pocztę elektroniczną tym się zainteresowała. W wiadomości był link z informacją, że pod wskazanym adresem można sprawdzić, co dzieje się z przesyłką. Pod linkiem była też informacja o naliczaniu opłaty za przechowywanie przesyłki przez pocztę w wysokości 50 zł za jeden dzień jeżeli przesyłka nie dotrze w ciągu 7 dni. Osoba pracująca w sekretariacie kliknęła w link podany w wiadomości. Sam e-mail nie zawierał wirusa, bo nasze systemy zabezpieczające by go wychwyciły. Dopiero po kliknięciu w podany link wirus zainstalował się w systemie komputerowym sekretariatu. Wirus zainfekował zarówno komputer jak też dyski sieciowe, które widział, szyfrując pliki. Po pewnym czasie na zainfekowanym komputerze pojawił się komunikat z wiadomością o haraczu. Trzeba było wpłacić pieniądze za odszyfrowanie danych ale nie było podanej konkretnej kwoty. O sprawie powiadomiliśmy prokuraturę i Wydział Zarządzania Kryzysowego w Lublinie – mówi Jan Woźniak, burmistrz Urzędowa.
Niestety wirus częściowo sparaliżował pracę urzędu. Efekt jego działania był taki, że w kilku komputerach, które miały dostęp do dysku sieciowego zostały min. zaszyfrowane dokumenty. Niektórzy pracownicy nie mogli obsługiwać bieżących spraw z obawy czy cała sieć nie została zainfekowana. Chodziło przede wszystkim o referat podatków.

Przeczytaj także:

Ten wpis pochodzi z naszego linkbloga *ptr, dlatego nie widać go na głównej.
*ptr możesz czytać przez RSS albo przez sidebar po prawej stronie serwisu.

13 komentarzy

Dodaj komentarz
  1. Jestem ciekaw jak wirus sie moze SAM zainstalowac. Gdzie glupi UAC i inne mechanizmy ktore powinny byc wlaczone w takim miejscu jak urzad? Whitelista plikow exe poza tymi systemowymi i inne mechanizmy dostepne w gpedit.msc…

    • UAC temu nie zapobiegnie, malware nawet na koncie ograniczonym potrafi działać poza tym nawet oprogramowanie zabezpieczające mimo, że zakomunikuje wykrycie potrafi przepuścić zagrożenie … zastanawia mnie co prokuratura wskóra w takiej sytuacji, po co te zgłoszenie i czy o każdym wirusie informują ich?

    • Wymagasz, aby w urzędzie pracował wykwalifikowany administrator? Owszem, tacy się zdarzają, ale wiedza i umiejętności większości z nich kończy się na instalacji Windowsa z domyślnymi ustawieniami, a takie rzeczy jak GPO, AD są zupełnie poza zasięgiem.
      Zresztą po powyższym komunikacie widać, że brakuje kwalifikacji nawet do poprawnego użycia polszczyzny.

    • UAC na Win XP?
      :)

    • Może poczytaj ile urzędy płacą informatykom. Tu przykład z sądu w Krakowie: http://www.krakow-podgorze.sr.gov.pl/?c=mdTresc-cmPokaz-358
      Co prawda deczko stary ale chyba już wtedy mediana w Krakowie była jakieś 3 razy wyższa.

    • A bo ja wiem? https://bugs.chromium.org/p/project-zero/issues/detail?id=820 tak na przykład.

    • Jestem takiego zdania, że można napisać system który byłby całkowicie odporny na wirusy. To, że nie ma jakiejś walidacji przy otwieraniu maili to wina twórcow systemu. Wystarczy stworzyć narzędzie które weryfikuje wszystkie procesy na komputerze i ma wgląd w kod maszynowy co procesy chcą robić. Tylko napisać coś takiego byłoby masakrycznie ciężkie. Pewno się komuś nie chce. Lista zaufanych procesów – każdy proces jak jest moment przed odpaleniem jest sprawdzany czy jest na liście. Nie ma to nie pójdzie. Dowidzenia. Procesy które są autoryzowane mogłyby posiadać jakieś sumy kontrolne aby sprawdzić czy dany proces to naprawdę ten sam plik. Podobnie z rejestrem. Tak samo rejestr można sprawdzać KTO chce w nim grzebać. To się da zrobić ale potrzebna jest weryfikacja działania całego OS

  2. @Gambo, UAC? naprawdę?

  3. Znam urzędy co nie mają nawet AD aby można było wykorzystać GPO.

    Ale jak dostanie się taki wirus to jednak każdy poskładał by się. Samo odtworzenie z backup jednak zajmie jak ma się 500GB danych.
    Na reddit dużo ostatnio takich wątków. Dali przykład rozwiązania takiego jak monitorowanie serwera plików i wychwytywanie nazw mających w nazwie crypt
    przykład https://www.reddit.com/r/sysadmin/comments/4ioozf/very_handy_ransomware_overview_names_extensions/

    Ogólnie chyba nie ma idealnego rozwiązania. Jedynie można przygotować rozwiązania, które pozwolą szybciej odtworzyć.

    • Przed takimi failami ochroną jest redundancja kopii zapasowych w wielu niezależnych miejscach i dobrze przygotowany disaster plan (i przetestowany w praktyce!!!). Widziałem dumnych adminów, którzy wykonywali codziennie kopie wszystkich stacji klienckich, umieszczając je w network share pod innym udzialem niz dokumenty firmowe. Jeden komp został zarażony cryptosyfem… no i najpierw rozprzestrzenil sie przez pliki wspoldzielone na network share, nastepnie zaczal szyfrowac wszystko co mozliwe… ŁĄCZNIE Z BACKUPAMI na tym dysku sieciowym.

      Myślę że to była dobra nauczka dla tego admina i dla wszystkich innych niech będzie przestrogą – co najmniej dwie kopie wszystkiego w dwoch roznych lokacjach/systemach odizolowanych od siebie (serwer kopii zapasowych inicjuje połączenie i pobiera gotowe kopie i przchowuje ich historię u siebie, nie na odwrot!).

  4. Tak się składa, że niektórzy (zapewne jest ich za mało) są własnie wykwalifikowani tylko kierownicy i dyrektorzy nie pozwalają im działać – to jest najbardziej smutne.

    • Zgadzam się. Administrowanie czymkolwiek w urzędach, to karkołomne zadanie z powodów kadrowych i finansowych – temat był już kiedyś poruszany pod kilkoma artykułami na NB. Będziesz chciał wdrożyć jakieś procedury bezpieczeństwa, żeby zapobiec takim sytuacją, to będą patrzeć na ciebie jak na szaleńca. “Po co nam to? Przecież mamy antywirusa”. Lepiej w tym czasie przenosić dane na nowego iPhona kierownika.
      Lepsze pieniądze dostaniesz na Helpdesku w prywatnej firmie niż w urzędzie jako admin systemowy/sieciowy. Do tego mniej nerwów, mniej odpowiedzialności i co najważniejsze mniej betonu.

  5. Odnośnie *do* tego!

Twój komentarz

Zamieszczając komentarz akceptujesz regulamin dodawania komentarzy. Przez moderację nie przejdą: wycieczki osobiste, komentarze nie na temat, wulgaryzmy.