Osiris — новая реинкарнация троянской программы Locky

[mazahakajay]

Он добавляет к зашифрованным файлам расширение.orisis

Все так и есть, Orisis? Или это опечатка? Не совсем понятно почему так назвали.

[shtirlitsus]

Картинки неразборчивые. Для рекламы сойдёт и так?

[lostpassword]

Специально для вас я восстановил картинки особым депикселизатором:

https://hsto.org/getpro/habr/post_images/486/e36/785/486e367855c8ceadb40fc4ab514df185.png
https://habrastorage.org/getpro/habr/post_images/348/b40/bfd/348b40bfddd5b0b696b0d52bfd9fcdbb.png
https://habrastorage.org/getpro/habr/post_images/fd8/6d2/16b/fd86d216bcf6e7251e0c8a72ab1553da.png
https://habrastorage.org/getpro/habr/post_images/f0b/5fb/d49/f0b5fbd49fb7a3b09a3440023cfd8a8f.png
https://habrastorage.org/getpro/habr/post_images/ad3/509/082/ad35090825c470a73974f158cc0e0f54.png
https://habrastorage.org/getpro/habr/post_images/1f5/d40/73b/1f5d4073b7bed48432c1791a18319447.png

Не думай @ критикуй!

[shtirlitsus]

спасибо! прошу прощенья!

[vesper-bot]

Значит, rundll32 — плохо, пользовательские процессы иногда её используют, а включать applocker на дллки — верный способ убить производительность всего остального. Хотя вроде как в windows 8+ большинство программ от неё отвязали, всякое легаси может с её помощью что-то и запускать, и тогда может быть проще заблокировать запуск rundll32 для всех, кроме системы.

[Chumicheff]

Acronis Active Protection — это единственная технология, которая способна блокировать все версии Osiris и одновременно мгновенно восстанавливать зашифрованные данные, в том случае, если Acronis True Image 2017 New Generation был запущен на компьютере в момент вредоносной атаки

Вот когда читаешь такие строки после всех «пугалок», начинает возникать параноидальное ощущение, что уважаемый Acronis сам приложил руку к этому Osiris'у…

[Sergey-S-Kovalev]

Вся статья — игра маркетинга на страхах неопытных пользователей.

В конце января специалисты Acronis обнаружили новый сэмпл вредоноса-вымогателя Osiris, который легко обходит защиту Windows Defender.

Не припомню шифровальщиков, которых Windows Defender смог остановить, когда это требовалось, а очень часто оставалось в «никогда»

Чтобы не дать жертвам атаки восстановить файлы из резервных копий, Osiris отключает службу теневого копирования томов Microsoft (VSS).

Божечки. Они смогли из под учетки пользователя с правами локального администратора отключить почистить теневые копии и отключить VSS. Шок! Сенсация!

Служба Microsoft VSS не содержит мер безопасности для своей защиты и создаёт теневые копии из удалённых или изменённых.

Вы намеренно теплое с мягким смешиваете. VSS сам по себе предназначен для отслеживания изменений. Функционал бэкапа в другие места, восстановления и прочих перделосвистелок реализовывается другим ПО. Так что, если от администратора ПК пришла команда почистить историю изменений — значит это нужно сделать.

--------------новый шифровальщик-вымогатель назвали Osiris
Он добавляет к зашифрованным файлам расширение.orisis

полагаю, вы имя файла не копировали :)

Osiris, как и Locky, является трояном с методом распространения по принципу червя. Он обладает способностью распределяться по сети без участия пользователя.

Опять добавляете паникерства. При описание опускаете важное предложение из описания мелкомягких: Generally, a network worm spreads by an exploit of vulnerable software. Т.е. он не каким то магическим образом расползается по сети, а проникает через софт с уязвимостями, ну или если у запустившего были соответствующие административные права для работы по сети. Например, права администратора домена.

Некоторые жертвы его атак отмечали необходимость отключить контроллер доменов, чтобы остановить распространение атаки.

Больше адского треша! Полагаю это тот комментарий:
I had a user hit with Osiris just before Xmas. Her machine got encrpted and it started on network drives but we noticed a problem and killed the domain controller — it seemd to stop the network encryptions before it got too bad.
Поверьте, этому сказочному животному из упряжки Санта Калауса даже ваш продукт не поможет.

Osiris также может распространяться через CRM/системы поддержки клиентов (включая облачные) за пределами одной организации. Инфицированный пользователь из какой-либо организации может послать письмо на адрес CRM; её внутренний парсер проанализирует входящее письмо и прикрепит заражённое вложение к автоматически сгенерированной заявке (тикету). Инженер клиентской поддержки откроет заявку, откроет вложение в Excel и заразит сеть.

Здесь прекрасно все. Но «распространяться» это использовать специфичный функционал. Например, оно было бы должно само авторизоваться в сервисдеске и создавать документы на согласование, а у вас это банальная почта, адрес сервисдеска почти всегда есть, в адресной книге каждого первого корпоративного пользователя. Прикрепленные документы всегда прицепляются к заявке, это не магия «парсеров». Ну и как я уже отмечал выше, поскольку ВСЕ в вашем маркетинговой реальности работают только с правами доменных админов, то и с распространением шифратора по сети проблем нет. Идеальный кейс для продажника систем резервного копирования: Инженер без мозгов, в сервисдеске, с правами доменного админа, запускает файл с уязвимостями и/или разрешенным исполнением скриптов, не имеет антивируса на ПК, имеет полный доступ в интернет.
Вакханалия какая то.

Скриншот с Acronis Active Protection говорит лишь о том, что легальная программа с валидным сертификатом пытается внести изменения в файлы. Вопрос лишь в том, сколько раз в день оное вылазиет при обычной работе, и если что то легальное запускалось через rundll32, и было добавлено в Доверенные, будет ли оно спрашивать, если исполняемая библиотека изменится?

Все файлы были мгновенно восстановлены до исходного состояния при помощи Acronis Active Protection без уплаты выкупа.

Ну мгновенно из внешних хранилищ не восстанавливаются. Хотя два файла по 30 килобайт восстановятся быстро. Сегодня Озирис чистит копии VSS, затем начнет и ваши локальные хранилища и индексы чистить или повреждать. Продукт, как я понимаю, у них активно развивается.