ADG Оставить заявку
Блог Информационная безопасность 4 мин чтения

ILOVEYOU: клиент не пострадал, а макросы включены у всех

Вирус ILOVEYOU в мае 2000 прошёлся по миллионам машин через почту. Клиент уверен, что обошлось - но макросы открыты, вложения открываются сами, и следующий вирус уже в дороге.

Контекст момента

вирус ILOVEYOU в мае 2000 поразил миллионы машин через почтовые вложения с расширением .vbs

Когда в начале мая по всем новостям прошла история с ILOVEYOU, первые звонки от клиентов были двух видов. Первый: «у нас всё сгорело, помогите». Второй, который встречался куда чаще: «мы слышали, но нас не задело». Со вторыми и хочется поговорить.

Не задело - это хорошо. Только в большинстве случаев не задело не потому, что что-то было сделано правильно. Просто повезло: кто-то из коллег не открыл письмо, интернет в тот день лагал, или нужный человек был в отпуске. Приходишь разобраться - и видишь ровно ту же картину, которая у пострадавших привела к потере данных. Макросы в Office включены на всех машинах. Вложения открываются одним кликом без предупреждений. На антивирус давно не обновлялись базы, а то и вовсе стоит что-то, купленное в 1998 году. Разница между «нас не задело» и «мы потеряли всё» - буквально один клик одного сотрудника.

Как работал ILOVEYOU, если коротко. Письмо приходит с темой «I Love You» и вложением LOVE-LETTER-FOR-YOU.TXT.vbs. Расширение .vbs - это скрипт Visual Basic. Windows по умолчанию скрывает расширения известных типов файлов, поэтому в проводнике видно просто LOVE-LETTER-FOR-YOU.TXT, и сотрудник открывает его как текст. Скрипт запускается, перезаписывает файлы на диске, лезет в адресную книгу Outlook и рассылает себя дальше от имени жертвы. Всё. Никакой эксплойт не нужен - пользователь сделал всё сам, двойным кликом.

Мы сделали несколько визитов к клиентам, которые «не пострадали», и попросили разрешения посмотреть настройки. Оценка инфраструктуры занимает день, но конкретно эту часть можно проверить за час. Картина была одинаковой везде.

Первое - скрытые расширения файлов. Во всех версиях Windows это включено по умолчанию. Сотрудник видит «документ» там, где на самом деле лежит скрипт или исполняемый файл. Это не фича, это засада. Расширения нужно показывать - через Параметры папки, галочка «Скрывать расширения для зарегистрированных типов файлов» убирается. Дело двух минут на машину, но в офисе на двадцать человек никто этим не занимался.

Второе - макросы Office. По умолчанию Word и Excel выполняют макросы в документах без вопросов. Это значит, что документ с вложенным макросом при открытии может делать что угодно: удалять файлы, рассылать письма, скачивать что-то из сети. Начиная с Office 97 появилось предупреждение, но к нему все привыкли и жмут «Включить» не читая - потому что бухгалтерия прислала таблицу и она «не работает без макросов». В итоге защита есть, но по факту её нет.

Третье - Outlook и автоматическое открытие вложений. В некоторых конфигурациях вложение открывалось просто при просмотре письма в панели предпросмотра - пользователь вообще ничего не нажимал. Это уже из разряда совсем неприятных сюрпризов.

Что с этим делать прямо сейчас, без нормального почтового шлюза с антивирусом:

  • Показать расширения файлов на всех машинах. Групповой политикой это ставится за один раз, если есть домен. Без домена - руками, но всё равно надо.
  • Выставить уровень безопасности макросов в Office на «Высокий» или хотя бы «Средний» - чтобы при открытии документа с макросом хотя бы выходил запрос. В Word это Сервис - Параметры - Безопасность.
  • Отключить панель предпросмотра в Outlook или хотя бы убедиться, что вложения не открываются автоматически при выделении письма.
  • Написать короткую инструкцию людям: вложения с расширениями .vbs, .pif, .bat, .com, .scr не открывать ни при каких обстоятельствах, даже если письмо пришло от знакомого адреса. ILOVEYOU как раз и рассылался от имени людей из адресной книги.

Последний пункт - самый неудобный. Техническими мерами можно срезать большую часть риска, но не весь. Человек, который привык кликать на всё подряд, рано или поздно кликнет на что-то не то. Объяснять это не один раз на собрании, а держать как регулярное напоминание - и лучше коротко и конкретно, чем длинной лекцией про вирусы вообще.

Что касается почтового шлюза с фильтрацией вложений - это правильное решение, но оно требует либо своего сервера с нормальной почтой, либо договорённости с провайдером. Пока этого нет, перечисленные настройки - минимум, без которого следующий красивый заголовок письма может оказаться дороже, чем просто неловкая ситуация.

Те клиенты, которые «не пострадали», в большинстве своём согласились на проверку и изменения. Один отказался - сказал, что раз пронесло, значит всё нормально. Ждём следующего раза.

Контакт

Нужна такая же инженерная работа?

Опишите задачу и контекст. Ответим в течение рабочего дня, при необходимости подпишем NDA.