СИТУАЦИЯ
На всех ПК нашей фирмы установлен бесплатный Eset NOD32. Мой рабочий ПК постоянно зависал и тормозил, постоянно возникали ТРОЯНЫ и прочие вирусы, при том, что я не хожу ни по каким другим сайтам, кроме как необходимые для работы, такие как ПФ, ФНС ( в том числе качаю программы) , МФ, Деловые линии, ТЕНЗОР (сдача отчетности). И не заходила с рабочего ПК ни в YouTube, ни ВКонтакте и аналогичные сайты для развлечений, даже в личный почтовый ящик заходила в случае крайней необходимости.
В середине июня ПК в очередной раз стал жутко тормозить и виснуть, работать было невозможно. Я вызвала с согласия гендиректора стороннего специалиста, так как нашему было некогда. Потому что он по основной работе менеджер в родственной компании, но так как по специальности он радиоинженер-конструктор-технолог, то у нас по совместительству IT-специалист, а по факту, если какие сбои или вирусы, то при наличии времени он помогает, но ответственности никакой не несет.
Приглашенный специалист часа два как раз до конца рабочего дня чего-то делал: измерял температуру ПК, проверял ПК разными программами, удалил несколько вирусов. В результате сказал, что на моем ПК нужно переустановить Windows , а также предложил директору заключить договор на обслуживание. Рабочий день закончен, ПК выключен. На следующее утро наш IT-специалист нашел время проверить мой ПК, запустил сканирование Eset NOD32 и нашел программой и удалил еще ТРИ вируса.
В результате вышеуказанных действий на моем ПК остались ярлыки для запуска программ Dr. Web, malwarebytes, Cureit, Universal Virus Sniffer. Кроме того, наш IT-специалист рекомендовал мне самостоятельно почаще сканировать ПК программой Eset NOD32.
ТЕПЕРЬ О ГЛАВНОМ.
И вот на этом ПК , на котором были постоянные проблемы , на диске С, а также на сервере хранился в обычном файле ключ от БАНК-КЛИЕНТ. Вход в Банк-клиент осуществлялся с сайта банка по логину и паролю, после чего выводилось сообщение о том, что закрытый ключ принадлежит ФИО гендиректора, далее достаточно было нажать на ОК и вход был осуществлен. Никаких дополнительный съемных носителей и usb-token (дополнительная флэшка криптозащиты) для входа в банк-клиент не было. Хотя я постоянно говорила гендиректору, что нельзя, чтобы банк-клиент был установлен на том же ПК, что и масса других программ и приложений, что это чревато последствиями. Но на бумажном носителе заявления не писала, а на слова мои никто не обращал внимания. Как говорится, пока жареный петух кое-куда не клюнет …
05.07.13 IT-специалист в конце рабочего дня зашел и спросил нет ли у меня проблем, т.к. он с 8-го в отпуске. В пятницу видимых проблем не было, но сканировании ПК никто не сделал. С 08.07.12 по 21.08.13 по приказу IT и гендиректор в отпуске. Приказом (плюс доверенность) временно с 08.07 по 21.07.13 И.о гендиректора назначен коммерческий директор.
09.07.13 ПК сразу с утра стал снова тормозить и зависать. Я запустила в программе NOD сканирование по требованию. В очередной раз были обнаружены ТРОЯН в количестве аж 90, но в этот раз не на жестком диске, а в оперативной памяти, и при этом выводилось сообщение, что удалить ТРОЯНА NOD не может. В журнале проверки каждая строка повторялась по нескольку раз, потому получилось 90, а не 17.
|
Журнал проверки Версия базы данных сигнатур вирусов: 8531 (20130705) Дaтa: 10.07.2013 Время: 16:30:47 Просканированные диски, папки и файлы: Оперативная память Оперативная память = explorer.exe(1344) - модифицированный Win32/Spy.Shiz.NCL троянская программа - очистка невозможна Оперативная память = GrooveMonitor.exe(1764) - модифицированный Win32/Spy.Shiz.NCL троянская программа - очистка невозможна Оперативная память = SSMMgr.exe(1828) - модифицированный Win32/Spy.Shiz.NCL троянская программа - очистка невозможна Оперативная память = NSCSysUI_XEROX.exe(1756) - модифицированный Win32/Spy.Shiz.NCL троянская программа - очистка невозможна Оперативная память = ISUSPM.exe(2024) - модифицированный Win32/Spy.Shiz.NCL троянская программа - очистка невозможна Оперативная память = egui.exe(2216) - модифицированный Win32/Spy.Shiz.NCL троянская программа - очистка невозможна Оперативная память = UnlockerAssistant.exe(2252) - модифицированный Win32/Spy.Shiz.NCL троянская программа - очистка невозможна Оперативная память = RTHDCPL.EXE(2288) - модифицированный Win32/Spy.Shiz.NCL троянская программа - очистка невозможна Оперативная память = igfxpers.exe(2336) - модифицированный Win32/Spy.Shiz.NCL троянская программа - очистка невозможна Оперативная память = igfxsrvc.exe(2744) - модифицированный Win32/Spy.Shiz.NCL троянская программа - очистка невозможна Оперативная память = hkcmd.exe(2868) - модифицированный Win32/Spy.Shiz.NCL троянская программа - очистка невозможна Оперативная память = acrobat_sl.exe(2884) - модифицированный Win32/Spy.Shiz.NCL троянская программа - очистка невозможна Оперативная память = thebat.exe(3292) - модифицированный Win32/Spy.Shiz.NCL троянская программа - очистка невозможна Оперативная память = CCleaner.exe(3572) - модифицированный Win32/Spy.Shiz.NCL троянская программа - очистка невозможна Оперативная память = ctfmon.exe(3676) - модифицированный Win32/Spy.Shiz.NCL троянская программа - очистка невозможна Оперативная память = SbisMon.exe(3940) - модифицированный Win32/Spy.Shiz.NCL троянская программа - очистка невозможна Оперативная память = punto.exe(700) - модифицированный Win32/Spy.Shiz.NCL троянская программа - очистка невозможна Оперативная память = unsecapp.exe(2720) - модифицированный Win32/Spy.Shiz.NCL троянская программа - очистка невозможна Оперативная память = C:\Documents and Settings\All Users\Application Data\qimuq.exe - Ошибка открытия [4] Количество просканированных объектов: 537 Количество обнаруженных угроз: 90 Количество очищенных объектов: 0 Время выполнения: 16:32:14 Общее время проверки: 87 сек. (00:01:27) Примечания: [4] Объект невозможно открыть. Он используется другим приложением или операционной системой. |
Ессно, я доложила и.е.гендиректора о том, что с Пк беда и нужно вызвать специалиста. Но и.о. вызвать специалиста не разрешил, а велел ждать из отпуска нашего сисадмина. А работать велел на другом ПК. Поскольку клиент-банк был только на моем зараженном ПК и на нем же был СБИС, а мне нужно было сдавать отчетность, то он сказал , что кроме платежек в клиент-банке и отчетов больше ничего на ПК не делать.
Итак, специалиста не вызвали ни 9-го, ни 10-го, ни 11-го, я сама сканировала ПК, запустила в безопасном режиме по очереди все программы, удалила трояны в количестве 5-ти штук, ПК стал работать быстрее. На жестком диске антивирусные программы ничего не находили.
12.07.13 успела сделать 2 платежки в банк-клиенте (как потом выяснила в техподдержке банка, последняя платежка в мною была подписана в 10:12:48). Через некоторое время экран стал черным, ПК выключился. Попробовала включить – на черном экране надпись точно не помню, но примерно : Error system … oparetion. Попробовала зайти в безопасном режиме – не получается. Вызвали из Скорой компьютерной помощи специалиста, который установил, что диск С моего компьютера полностью неотформатирован. И предложил мне вариант восстановления информации с диска С, переустановки Windous на 7-ку и установки лицензионной версии NOD. Особо хочу отметить, что это сегодня я знаю, что если ПК обвалился, то это 99,99%, что его накрыли хакеры. Но в тот день никто , ни пришедший сервис-инженер ни и.о. не высказали даже предположения, что может быть такое. У меня почему-то такая мысль была, но я сперва не смогла дозвонилась в банк, а после забыла перезвонить.
14.07.13 я решила из дома выгрузить выписку в системе «ОН-лайн выписка», я так делаю часто, чтобы своевременно создать авансовые счета-фактуры. Он-лайн выписка - это значит, что пользователь может по логину и паролю зайти не в сам клиент-банк , а в другой подраздел , в котором можно только посмотреть выписку и выгрузить файл с выпиской на жесткий диск и после загрузить этот файл в 1С. Но делать платежи в таком режиме нет возможности.
Когда я открыла выписку и увидела вместо двух три исходящих платежных поручений, я сначала не поняла как это могло случиться, кто это сделал.. Номер п/п 307 был следующий по-порядку после номер 306, которое сделала я. Поэтому я даже сначала подумала, что раз мой ПК слетел, то меня просто не поставили в известность, что может гендир сделал платежку со своего ПК, может ему ключи поставили, а я не знаю. Но когда я прочитала получателя, то я на 99% была уже уверена, что это взлом, так как получатель был Фамилия Артур Отчество. Акцентирую внимание , в получаетел не было перед ФИО признака ИП или ЧП, а просто ФИО. В назначении платежа : оплата за гидроочистители по счету №…. И сумма 125 840 руб. Я знаю, что мы гидроочистители не покупаем, тем более у ИП, а это был даже не ИП, а просто Фамилия Имя Отчество, но раз № 307, значит это не банк ошибся, а сделано именно в нашем банк-клиенте. Я зашла на сайт ФНС и пробила ИНН получателя 7728168971, это оказался ИНН оказался Альфа-банка, так как обычно при платежах физлицам в поле ИНН получателя указывается ИНН банка.
Сразу же 14-го июля написала запрос на сайт АЛЬФА-БАНК и с моего мэйла отправила письмо в Альфабанк и в техподдержку УРАЛСИБ с просьбой не допустить зачисления денег на счет Ашкираева, блокировать платежку. Позже, 15-го получила ответ от Альфабанка:
ОТКРЫТОЕ АКЦИОНЕРНОЕ ОБЩЕСТВО «АЛЬФА-БАНК» (далее-Банк) по факту Вашего обращения сообщает следующее.
Согласно п. 1.25 "Положения о правилах осуществления перевода денежных средств" (утв. Банком России 19.06.2012 N 383-П) банки не вмешиваются в договорные отношения клиентов. Взаимные претензии между плательщиком и получателем средств, кроме возникших по вине банков, решаются в установленном федеральным законом порядке без участия банков.
Указанная ситуация в Вашем обращении возникла не по вине Банка.
Полагаем, что для удовлетворения требований, содержащихся в Вашем обращении, необходимо обратиться в суд с требованием к получателю средств о возврате денежных средств и/или обратиться в правоохранительные органы с целью возбуждения уголовного дела и ареста денежных средств.
В свою очередь можем Вас заверить, что Банком будет оказана помощь правоохранительным и судебным органам, предусмотренная законом.
С уважением, Альфа-Банк
15.07.13 9:00 я в банке УРАЛСИБ отдала письмо и попросила при мне позвонить в Альфабанк, чтобы приостановить платежку. Нач отделения при мне позвонила и ей ответили, что сумма уже зачислена на счет получателя. Тогда я снова попросила позвонить и узнать, если у него на счете есть деньги, то чтобы их заблокировали. Она снова позвонила и ей ответили, что он уже в пятницу деньги снял. На моем экз письма нач отделения поставила подпись, а также выдала мне копию письма в адрес Альфабанка.
15.07.13 гендир поехал в банк за ключами. Пока он ездил я позвонила в РУВД Фр р-на, узнала в какое конкретно отд полиции нужно подавать заявление. Вечером после 18-ти часов гендиректор поехал в полицию писать заявление. 16.07.13 утром гендиректор мне позвонил и сказал , что нужно отвезти следователю копию Устава, свидетельств, договор аренды.
Уважаемые бухгалтеры, системные администраторы и руководители. Моя публикация может быть поможет хоть кому-нибудь: у кого ключи от клиент-банка прописаны на жестком диске ПК, срочно смените их на ключи на е-токен , а также воспользуйтесь советами из статьи " Атака на Клиент-банк" [01.05.2013] Автор: Рогов Сергей
Снизить риск мошеннических действий, связанных с несанкционированным доступом в систему Клиент-Банк, можно путем следующих действий:
Установите систему Банк-Клиент на отдельном компьютере, желательно на небольшом нетбуке.
Установите лицензионную версию операционной системы и антивируса.
Используйте межсетевой экран, чтобы соединения были только с банком.
Удалите программы: видеопроигрыватели, программы для просмотра фотографий и прочее.
Ни в коем случае не используйте взломанные программы или программы сомнительного происхождения.
Если есть сомнения в платеже – откажитесь и обратитесь в банк за помощью.
Храните нетбук в сейфе.
Если все-таки деньги несанкционированно списаны со счета, то нужно:
Выключить компьютер (ноутбук, планшетный компьютер и т.п.) “жестким выключением” и вынуть аккумулятор.
Отменить платеж с использованием другого компьютера, если есть такая возможность;
Если возможности нет – звонить в банк и отзывать платеж.
Позвонить в банк, на счет которого ушел ваш платеж, и также предупредить о хищении денег.
Произвести фотосъёмку рабочего места и его расположения в помещении. Обеспечить целостность компьютера вплоть до помещения его в “непрозрачный пакет (мешок) и опечатки горловины”.
Обратиться в банк плательщика с письменным заявлением об отзыве платежа, возврате средств и блокировании доступа к системе ДБО (пример заявления есть в приложении). Копия заявления пересылается по факсу или электронной почте. Оригинал доставляется в банк в течение одного дня!
Сообщить во все банки, с которыми вы работаете, что у вас украли деньги, и запросить внеплановую замену ключей.
Обратиться в банк получателя с письменным заявлением в течение 1 дня! (пример заявления есть в приложении). Правила не уточняют, должен ли доставляться оригинал заявления или достаточно отправить копию по электронной почте/факсу –, ведь банк получателя может быть в другом регионе, плюс разница во времени.
Предпринять меры для обеспечения сохранности и неизменности записей с систем видео-наблюдения, систем контроля доступа, межсетевых экранов и т.п.;
В течение 1 дня обратиться с письменным заявлением к своему Интернет-провайдеру за логами соединений с компьютера клиента за 3 месяца;
Запротоколировать все значимые действия и события, предшествовавшие факту хищения;
В течение 1 дня обратиться с заявлением в правоохранительные органы о возбуждении уголовного дела;
Оперативно обратиться в суд с исковым заявлением в отношении получателя денежных средств;
Копии вышеуказанных документов направить в свой банк с приложением Справки по факту инцидента информационной безопасности в системе ДБО
