Администрации американской школы из Horry County (штат Южная Каролина, США) пришлось заплатить $8500 разработчикам криптовымогателя, который поразил школьные сервера. Это ransomware проникло в компьютерную сеть школы на прошлой неделе, поразив 25 серверов, хранивших всю информацию об учащихся заведения. Сразу после того, как это случилось, сотрудники заведения отключили все сервера для предотвращения дальнейшего распространения вируса. Естественно, школьные сервисы работать перестали.
Криптовымогатель запросил по 0,8 биткоинов с компьютера, получилось ровно 20 биткоинов. Представители школы заявили, что вирус проник через старый сервер с устаревшим ПО и железом. Была подана и жалоба в ФБР, но как и во всех схожих случаях Бюро мало чем смогло помочь.
После того, как ИТ-специалисты, призванные на помощь, ничего не смогли сделать, администрация школы приняла решение заплатить. И 15 февраля платеж ушел к злоумышленникам. Местные газеты также заявили о проблемах при проведении платежа, поскольку школе вначале пришлось искать способ конвертировать доллары в биткоины, с указанием всех затрат в штатных документах.
Почти сразу после оплаты администрация получила ключ для дешифровки файлов, и смогла восстановить все сервисы и файлы. Еще до момента заражения сети криптовымогателем, школа начала искать компанию, которая могла бы защитить сеть учреждения. Как видим, администрации не удалось найти защиту вовремя.
Напомню, что совсем недавно одной из больниц Голливуда пришлось заплатить $17000 разработчикам аналогичного ПО, поскольку ransomware полностью заблокировало работу сети учреждения. Вирус-шифровальщик, поразивший компьютерную сеть учреждения, зашифровал все файлы на зараженных ПК, а ключ, позволяющий расшифровать файлы, известен только хакерам.
Злоумышленники, которые создают подобное ransomware, далеко не всегда пересылают ключи после того, как жертва внесет платеж. Но в этом случае все обошлось, и работа школьной сети, сервисов теперь идет в прежнем режиме.
Только зарегистрированные пользователи могут участвовать в опросе. Войдите, пожалуйста.
Комментарии (27)
pnetmon
22.02.2016 19:12какой интересный случай удалить свои плохие оценки
>>Представители школы заявили, что вирус проник через старый сервер с устаревшим ПО и железом.
Не забываем про обновления ;)
Интересно почему именно разработчикам?
tweenfaster
24.02.2016 15:09Была же новость, что в даркнетах даже сервис для всех желающих сделали, собирающий персональную версию вируса. Что уж тут удивляться, теперь ни кому доверять нельзя, любой человек из персонала мог запустить вирус, или даже школьник.
KOLANICH
24.02.2016 00:55С одной стороны $8500 не видится большими деньгами для организации в США (возможно, я не прав), с другой — не удивлюсь, если потом всплывёт, что восстановили из бекапов, а деньги ушли в карман админу.
Assimilator
24.02.2016 03:33Не школа, а школьная администрация всего округа. Отсюда и 25 серверов.
Для них это не деньги, только визгу много.
x_sourer
24.02.2016 15:09Еще одна причина создавать регулярные резервные копии на внешних носителях.
Интересно, не могли быть причастны школьники к инциденту? В качестве эксперимента по информатики.
Bolt5
24.02.2016 15:09В случае Linux Samba и с общими файлами на сетевом диске
vfs objects = recycle должно спасти, ответственно говорю, был случай.
im_real_rock_n_rolla
24.02.2016 15:10Я еще понимаю коммерческие структуры атаковать, но школы и больницы? У людей(если их так можно назвать) совершенно совесть пропала.
kroketmonster
24.02.2016 15:12вирус проник через старый сервер с устаревшим ПО и железом
Скорее не вирус а чьи-то кривые руки его туда запустили.
ppl2scripts
27.02.2016 01:17Это очевидные недостатки использования Windows в школе. Для похожих условий приходилось делать полную эмуляцию dc и сервисов на линуксе.
xirahai
При нормальной организации дел, теряется наработка от одного до нескольких дней, в зависимости от важности информации. Всё остальное восстанавливается из бэкапа. Поэтому подобные случаи следствие неграмотности, безответственности, лени админа. А также легкомысленного отношения руководства к проблемам информационной безопасности.
isbcc
Это же школа, думаете школа держит отдельный штат «сисадмина»? Скорее всего администрирует преподаватель по информатики.
San_tit
не далее как позавчера восстанавливал школьный сервак из бекапа =)
так что да, хотя бы один сисадмин в школе должен быть (особенно, если у них 25 серваков)
semmaxim
Хм… Насколько я слышал, у нас в городе в каком-то центральном органе по образованию сидят несколько админов и они занимаются IT в садах и школах города. В каких-то городах сторонние фирмы этим занимаются. Везде по-разному.
Caelwyn
25 серверов администрирует преподаватель по информатике? Для такого парка, как минимум нужен специалист на аутсорсе.
isbcc
может 25 компьютеров? 25 физических серверов на больших предприятиях и то редко.
pnetmon
потому что в оригиналах не школа
Horry County Schools officials have been authorized to pay a ransom to get back data that was harmed by a computer virus last week, according to district spokeswoman Teal Britton.
Hucks says they have been able to back up most of the lost data, but 25 servers with information for elementary schools are still encrypted with no way to get in.
http://wbtw.com/2016/02/16/horry-county-schools-approve-paying-computer-virus-ransom-making-payment-problematic/
http://wpde.com/news/local/horry-county-schools-planning-to-pay-ransom-after-being-shut-down-by-computer-virus
buggiZhuk
Действительно, нестыковки какие то… Даже если хранить все соченения всех ученико за все года. А если речь идет о компах — как то маловато — зачем останавливаться на болкировке всего 25 компов?
POS_troi
Откинем факт что это сервера и допустим что это просто сеть из 25 компов с общей шарой и не настроенными правами на эту шару — аля у всех право на запись во все каталоги шары. (это пример из реала, недавнего)
Все компы пользуются шарой по средствам сетевого диска, у всех админ его подключает как диск N: и малая часть до которой админу было тащится влом и он по телефону говорил куда тыкать, эти юзеры подключили как Z: (по умолчанию в винде).
Один из юзеров подхватывает криптовальщик, он криптует всё что можно на локальной машине и доходит до сетевых шар, на шаре также криптуется всё что можно и все каталоги находящиеся в корне сетевого диска скрываются и создаются ярлыки с теми-же названиями, в ярлыках ссылка на тело криптовальщика
N:\$RecycleBin\hdggfhf.exe N:\SomeFolder
Тоесть ярлык «запускает» тело вируса а тот в свою очередь принимает параметр в виде пути на каталог и открывает его (дабы жертва не сразу въехала)
Соотвественно все пользователи которые ещё не пострадали и зашли забрать/положить файлик на в шару получают криптовальщик и лишаются данных на локальном компе.
Единственный кто не страдает в этой схеме это юзера которые на шару не ходят ибо не нужно (но тут действует принцип «Мань чот не открывается попробуй у себя») и те самые юзера которые сетевой диск подключили как Z: ибо вирусняк в ярлыки прописал букву диска которая использовалась на первом компе ака точке проникновения и ярлык соотвественно недействителен.
Это я к чему, а к ответу на вопрос «зачем останавливаться на болкировке всего 25 компов?» :)
xirahai
Неважно кто администрит, своими силами или сторонняя контора. Важна стоимость информации, которую в данном случае оценивают не менее 8500$, а возможно и дороже. Если бы информационная составляющая ничего не стоила в работе организации — дешевле было бы всё отформатировать и переустановить. Иначе профилактика проблемы как правило дешевле разгребания её последствий. Особенно если 25 серверов, хотя трудно представить зачем их столько школе.
Raegdan
Вы слишком переоцениваете информатиков… Наша информатичка не умела даже переустановить систему, и ваш покорный слуга неоднократно привлекался в качестве админа на аутсорсе, с оплатой пятёрками :)
Barafu
Естественно. Конторы, где админ сказал «Фуууу» и накатил бэкап — не попадают в международные новости. Частая причина известности — идиотизм.
foxin
Похоже что это единичные случаи, когда "что-то пошло не так" — развалился диск с бэкапами, бэкапы так же оказались зааффекчены, еще что-то. Многие ли держат бэкапы на двух отдельных дисках?
viruseg
Какой вообще смысл в бекапе если он лежит на том же диске, что и данные? Под "многими" вы подразумеваете доморощенных "продвинутых" пользователей?