На Geektimes уже сообщалось о том, что злоумышленники, запустившие вирус-шифровальщик в компьютерную сеть Голливудского пресвитерианского медицинского центра, потребовали $3,6 млн за разлочку всех ПК. Вирус полностью парализовал работу больницы, врачам которой пришлось вернуться к практике работы со стационарными телефонами, факс-аппаратами и бумажными документами.
Администрация больницы запретила сотрудникам включать оставшиеся в работоспособном состоянии ПК, и обратилась к правоохранительным органам за помощью. Сегодня стало известно о том, что заплатить злоумышленникам все же пришлось. Правда, не $3,6 миллиона, а «всего» $17000. По словам президента медицинского учреждения, это был «самый быстрый и эффективный путь» возвращения доступа к пораженным вирусом системам.
Также администрация больницы заявила о том, что доказательств кражи личной информации сотрудников или пациентов нет. Сейчас доступ ко всем ПК восстановлен. Стоит напомнить, что в этой больнице многие ПК отвечали за работу медицинского оборудования, поэтому без доступа к компьютерам работа нескольких отделений (включая онкологическое) была остановлена.
Вирус-шифровальщик, поразивший компьютерную сеть учреждения, зашифровал все файлы на зараженных ПК, а ключ, позволяющий расшифровать файлы, известен только хакерам. Злоумышленники, которые создают подобное ransomware, далеко не всегда пересылают ключи после того, как жертва внесет платеж. Но в этом случае все обошлось, и работа больницы теперь идет в прежнем режиме.
Сейчас ФБР и полиция Лос-Анжелеса продолжают работать, выясняя источник зловредного ПО и стараясь идентифицировать хакеров.
Комментарии (50)
Arhitecter
18.02.2016 19:15Сторговались так сторговались, ничего не скажешь.
EndUser
18.02.2016 21:42+2Будь я главврачом, я бы с 3.6e6$, скинув до 17e3$, выторговал бы ещё и отчёт по аудиту.
Шутка ли — «вы не оборзели больницу тушить, давайте по цивилизованному разойдёмся. Мы учтём ваш аудит, мы вам по-белому заплатим со спасибо. Иначе смерть пациентов вас в такое дерьмо закопает, что вам и хакерской индустрии в целом до скончания лет будет вельми нехорошо».
vblats
19.02.2016 02:58-1[sarcasm]
Будь я злобным хакером, я бы после такого сообщения, удалился отовсюду, переехал как можно подальше так чтоб меня не нашли, наплевав на
всю хакерскую индустрию, а смерть пациентов в дерьмо закопала бы в первую очередь ВАС, а не меня и хакерскую индустрию.
[/sarcasm]
Mako_357
21.02.2016 17:16Интересно, что это был за криптолокер. Мало технической информации. Я конечно встречал такие, которые по Windows сети гуляют, но обычно они только до расшаренных папок добираются. Либо это какой-то крутой шифровальщик, использующий уязвимости, либо атака изнутри, например с КД, которую мог занести кто-то из сотрудников или тот же КД торчит в Интернет своей голой попой по 3389-му порту с простым паролем включённым Администратором.
Rampages
21.02.2016 17:19Если нет запрета на запуск исполняемых файлов, то никакой антивирус вам не поможет, т.к. они просто предупредят пользователя о возможных негативных последствия, но запустить его дадут.
Нам на работу часто приходят письма с вложенными Счет-фактура.pdf.exe и т.п. причем приходят они на компы бухов, а те в свою очередь уже пару раз открывали. Комп начинал шифровать не только локальные файлы, но и файлы в Active directory домена, в общем везде куда был доступ у компьютера буха, т.е. по сути не обязательно на каждый комп в сети ставить шифратор, если файлы расшарены и есть права на запись/удаление, то вирус их шифрует.
Тут спасают только бэкапы и запрет на запуск исполняемых файлов, также не лишним будет ограничение прав на общие файлы в локальной сети, т.е. компьютер подключенный к какому-нибудь аппарату УЗИ должен отдавать файлы только на чтение.
k4shik
На работе был один случай похожий. На почту сотруднику пришло письмо, довольно грамотно оформленное, что в принципе не вызвало никаких подозрений у сотрудника, с вложением естественно, который сотрудник и открыл, сработал скрипт и доки, эксели зашифровались. Касперский молчал, вирус в сеть не утек. Все просто.
Hellsy22
А откуда у рядового сотрудника право на запуск неподписанного исполняемого файла?
evr1ka
Шифровальщики используют известную программу шифрования и скрипт. С точки зрения Антивируса вредоносных сигнатур не пролетает.
Hellsy22
Отличная задумка.
Ну, тогда только белые списки помогут.
evr1ka
Со стороны атакующих — да. Там даже ключ шифрования, который создается, находиться только в памяти компьютера, и на жестком диске ни в каком виде не пролетает.
Пытался одному помочь, программами восстановления вытащить инфу или ключ — глухо. Старое основательно затерто, ключа нет в принципе.
Причем стандартный виндовый тоже зашифрован (там ZIP архивы внутрях)
Alex_v99
Давно пора антивирусам отслеживать все попытки такого повального окучивания файлов на диске. Даже странно, что до сих пор существуют винлокеры и шифровальщики — у них ведь очень нетипичное и характерное поведение.
ck80
Отчасти помогает блокирование исполнения файлов из временных папок (TEMP). Ведь файл из почты сначала должен попасть на диск во временную папку, а потом запуститься. И вот тут срабатывает защита. Плюсом UAC обязательно включен. Даже среднего ума сотрудник задумается зачем вордовский файл запрашивает повышенные права. Ну и конечно ограниченная учетная запись.
И получается, что антивирусник здесь и не нужен. Обычный "глупый" антивирус вроде есета или дрвеба уже мало чем помогает, так как не следит за поведением. Шифровальщики, замена домашних страниц на казино, замена ярлыков популярных браузеров — это всё уже не отлавливается антивирусниками.