Nyxem/MyWife: как червь 3 февраля уничтожил файлы у нескольких наших клиентов
Червь Nyxem (MyWife, KamaSutra) сработал 3 февраля и стёр Office и PDF на машинах без AV на почтовом шлюзе. Фиксируем обязательный фильтр вложений как стандарт.
червь Nyxem (MyWife/KamaSutra) запускает деструктивную нагрузку 3 февраля 2006, уничтожая файлы Office и PDF на заражённых машинах
Третьего февраля утром нам позвонили почти одновременно двое клиентов. У одного пропали договоры и отчёты за последний квартал, у второго - вся папка с проектной документацией. Оба описывали одно и то же: файлы есть, но открыть нельзя, внутри мусор. Потом позвонил третий.
Это был Nyxem - он же MyWife, он же KamaSutra. Червь, который несколько недель рассылался по почте под видом картинок и архивов с двусмысленными темами, а 3-го числа каждого месяца запускал деструктивную нагрузку: перезаписывал содержимое .doc, .xls, .ppt, .pdf, .zip и ряда других форматов нулями. Не шифровал, не требовал выкупа - просто тихо уничтожал.
О черве писали с конца января, антивирусные вендоры выпустили сигнатуры заранее. Но у наших трёх клиентов на почтовом шлюзе антивируса не было вообще. Письма с вложениями шли напрямую в Outlook, пользователи открывали, потому что темы были... убедительные. Дальше - классика.
Как это выглядело изнутри
Когда мы приехали к первому клиенту, картина была такая: на нескольких машинах бухгалтерии файлы в сетевых папках оказались перезаписаны. Бэкап был - но недельной давности. Неделю работы восстановить не получилось.
У второго клиента антивирус на рабочих станциях стоял и даже был относительно свежий. Но шлюз - нет. Письмо прошло, пользователь открыл вложение до того, как сработала эвристика на станции. Часть файлов успело зацепить.
У третьего - Nyxem попал на машину директора, который имел доступ к большому числу сетевых папок. Там потери оказались самыми широкими.
Интересная деталь: червь записывал счётчик заражённых машин на публичный счётчик посещений - конкретный веб-счётчик на бесплатном хостинге. К моменту срабатывания нагрузки счётчик показывал сотни тысяч. Это не делало его умнее, просто было неприятно видеть масштаб.
Что было не так
Мы разобрали все три случая и общий знаменатель один.
Нет AV на почтовом шлюзе. На рабочих станциях антивирус у двух из трёх был. На шлюзе - ни у кого. Логика у всех троих была примерно одинаковая: «на компьютерах же стоит». Но письмо с вложением проходит шлюз раньше, чем попадает на станцию. Если на шлюзе оно не останавливается - дальше всё зависит от того, успеет ли пользователь кликнуть быстрее, чем обновится база.
Исполняемые вложения не блокировались. Nyxem распространялся в том числе как .scr и .exe внутри zip-архивов. Заблокировать исполняемые файлы на шлюзе - минута настройки, это не требует антивирусной лицензии вообще. Никто не настроил.
Пользователи открывали всё подряд. Темы писем были рассчитаны на любопытство. Никакого инструктажа по почтовым угрозам клиенты не проводили. Это не вина пользователей - им никто не объяснял.
Что мы зафиксировали как стандарт
После этих трёх случаев мы внесли изменение в типовой контракт на аудит инфраструктуры и сопровождение. Раньше антивирус на шлюзе был рекомендацией - теперь это обязательное требование, без которого мы не подписываем акт приёмки работ по защите периметра.
Конкретно - три пункта, которые теперь идут в чеклист:
- AV-фильтр на почтовом шлюзе с автообновлением баз не реже одного раза в час. Отдельный продукт или встроенный в шлюз - без разницы, главное чтобы проверка шла до доставки письма в ящик.
- Блокировка исполняемых вложений - .exe, .scr, .bat, .pif, .com напрямую и внутри архивов первого уровня. Пользователь, которому реально нужен .exe, получит его другим способом.
- Регулярный тест восстановления из бэкапа. Это не про почту напрямую, но все три случая обнажили одну и ту же проблему: бэкап был, но никто не проверял, как быстро и полно из него восстанавливаются именно рабочие файлы с сетевых папок.
С документами до нескольких клиентов восстановиться частично удалось - кое-что нашлось в почтовых отправленных, кое-что переслали партнёры. Но это удача, а не процесс.
Nyxem не был технически изощрённым. Он не эксплуатировал уязвимости ОС, не обходил патчи - он просто шёл через открытую дверь. Три почтовых шлюза без фильтра - три открытых двери. Мы их закрыли. Со следующего месяца будем закрывать заранее.
- ILOVEYOU: клиент не пострадал, а макросы включены у всех · 10 июля 2000
- 152-ФЗ «О персональных данных»: первое прочтение с юристом · 17 января 2006