Антивири их не видят. Тема была уже тут. Вирус, шифрующий файлы...
Как от него уберечься? Каспер просто-напросто был выключен, как и кем, непонятно. Несмотря на пароли и юзерский доступ. Где дыра?

Будь мужиком! Заплати, блеать! Просмотр порно того стоит

только оплата
было такое, заплатили 10 тыров пиратам

что самое печальное , 2 базы убились

у меня бэкапы есть. больше платить не хочу. я спрашиваю, как защититься от этого в будущем? я не админ, кстати

(1) при чем тут порно? я его качаю не ехешниками, ежелифчо. а людям так-то надо работать с разными файлами, в том числе исполняемыми.

штука зеленых + проезд в гондурас

вообще мне хочется узнать, через что он проникает, ломает фаервол, через радмин, тим, рдп или вообще это всякие ТП запускают что ни попадя?

(4) защиты НЕТ, есть меры предосторожности

(6) я уже там ((

(8) уевенько. придется повышать ценники, чтобы еще и мерами предосторожности заниматься

есть простое правило - "что человеком сделано - всегда может быть сломано"

(9) не тебе билет

(0)наш админ после горького опыта закрыл доступ всем запускать экзешники на сервере , мне сделал папку из которой я могу запускать экзешники

Как правило через подбор паролей по RDP на 2008 поставили аудит на вход, за ночь были до пару тысяч попыток подключений. В учетной политике ограничили количество попыток ввода паролей до 5 и потом блокировку на 4 часа, через пару недель интерес к нам потеряли

(14)
подбор паролей - он же брутфорс - абсолютно не эффективный взлом
можно даже не париться

+(15)
в локалке через пару лет еще можно что то сбрутфорсить а в инете без толстого канала - даже делать нефиг
самый эффективный способ - протроянивания лопухов через торенты

(0) 100% из "вконтакте" и "одноклассников"

(17) могут и по почте прислать ,в одном филиале директор решил дрова для вебки поставить на сервер

(17)+1
После того как запретили выход на соцсети - ни одного случая блокировщика не было.

+(17) Помню еще фигня всякая лезла через "защиту" от яндекса и примочку от "вконтакте" VK чего-то там.
Mailguard замечен не был, но я его все равно грохаю.

(18) Вот от психологического развода лохов "нажми кнопочку" ничего не помогает к сожалению...

а у нас закрыто скачивание любых *.ехе
и это правильно.
прокси - это голова! © :)
только мне, по моему письменному заявлению, разрешено скачивать cureit! с соответствующего сайта :)

+21 да, кстати о... вирусах.. у нас ни на одном из 35 компов в офисе нет авиря.
я как-то спросил у злых админов, почто такое игнорирование, мне возответствовали: если проявлять аккуратность во всем, авирь не нужен.

(22) А что мешает скачать *.exe в архиве?
Да и много других расширений есть запускаемых.

(21) Гм... вирь может и *.jpg сидеть. Или в *.scr

(22) Ага, ага. А еще они презервативами не пользуются - ведь если вовремя вытащить, то залета не будет ;)

(21) а если это надо по работе? а вообще у меня в терминале не работают в браузерах, там нет ни одноклассов и вк, ни прочей лабуды. нашел, что вирь оказался у одного из юзеров, на запущен он был в 7 утра, в это время никто в базе не работает. пароль у него был 4 цифры. кто-то целенаправленно его сбрутить? или вирь ждал "своего" часа?

Защита на будущее? Бэндмауэр, постоянно активный антивир, отрубить нафиг автозапуск со съёмных..... задать тот-же вопрос на форумах др.Веб и Касперский.

(26) там заданы сотни таких вопросов, антивирь у меня постоянно активный и обновленный, вся прочая херь отрублена. однако, каспер был отключен. видимо, ругался, но чел его отключил. надо опять пароли везде ставить ((

(26)+ в инете сидеть на виртуальной машине

(28) нам все это не помогло

(27) так не у тебя? Конечно пароль, щас расскажу как оно было с вероятностью в 50%: чел притаранил ДВД с игрой, при попытке утановить антивир сказал чтоб чел шёл лесом, лесом пошёл антивир а следом и тебя позвали.... лечил такие компы...

(28),(29) вроде как у гугля нет режимов кроме песочницы... ну и кукописание тоже отрубить нафиг!

(30) двд с игрой?? по терминалке??

(30) в 7 утра???

вероятность 90% - зашли под логином юзера (кто, не знаю) зашли в оперу, скачали ехешник с файлообменника, запустили, каспер ругнулся, его отключили, запустили снова, отключились и все. все файлы целы, кроме 1С, так как у юзера доступ открыт только к ней. поставлю скуль, че еще делать (((

(32) не, локально. У теб точно всё через RDP пролезло?

вопрос, как узнали про список юзеров и их пароли? пароль простой, но юзер - Юрий, сомневаюсь, что это подбором выяснилось.

(35) точно. локально даже я подойти к компу не могу, он в сейфе

(34) за оставленгие парола на бмажке на столе или на стикере на мониторе бить по рукам! Универчаотное наказание - отрубить юзе5ру тырне на неделю - пусть ценит!

(38) и че, ты думаешь, у нас по организациям ходят специально обученные люди и вынюхивают пароли на бумажках?? у меня это второй случай за месяц, тогда пришлось заплатить, совершенно другая структура, но там пароль был - Администратор - 111.

(39) сильный пароль! Теперь думаю что-то типа 123123

(40) ага ))) и поставили его люди, которые у нас в городе считают себя самыми крутыми в городе по безопасности и доступу.

(14-15) выставлять rpd наружу-оторвать ноги тому админу

(41) Вот ты и ответил на свой вопрос "Где дыра?". Дыра по ходу в головах админов :))

(43) там да, но здесь? Админский пароль крепкий, и видно, что дальше юзерского доступа ничего не повреждено. как Юрия "взломали", блин? процесс непонятен. хотя, у меня авторизация стоит такая, что список юзеров виден, может, в этом дело? хорошо хоть бэкапы делал..

(42) а как работать? люди в разных городах. впн сами настроить не могут.

(0) думаю стоить скачать вирус которые расшифровыввает файлы )

(46) спасибо, кэп. только я про другое спрашивал. судя по всему, какой файл зашифровывает, такой же и расшифровывает, запрашивая код. код, судя по всему, пустышка, а шифратор - обычный хор.

(0)Ты бы хот запостил сигнатуру, да что там еще есть про него. На всяк случ. Почитали бы, что за сверь.

Ответ один - БЭКАП.

(49) не подскажешь чем делать, кстати? чтоб на болванки писал и на фтп

Внимание!
Если Вы читаете это сообщение, значит Ваш компьютер был атакован опаснейшим вирусом.
Вся ваша информация (документы, базы данных, бэкапы и другие файлы) на этом компьютере была зашифрована с помощью самого криптостойкого алгоритма в мире RSA1024.
Все зашифрованые файлы имеют формат .EBF
Восстановить файлы можно только зная уникальный для вашего пк пароль.
Подобрать его невозможно. Смена ОС ничего не изменит. Ни один системный администратор в мире не решит эту проблему не зная кода.
Не в коем случае не изменяйте файлы!
Напишите нам письмо на адрес [email protected] (если в течение суток вам не ответят то на [email protected]) чтобы узнать как получить дешифратор и пароль.
Папка C:\Program Files\Internet Explorer не зашифрована, там вы сможете запустить браузер.
Среднее время ответа специалиста 1-5 часов.
К письму прикрепите файл "КАК_РАСШИФРОВАТЬ_ФАЙЛЫ.txt".
Письма с угрозами будут угрожать только Вам и Вашим файлам!
НЕ ЗАБУДЬТЕ: только МЫ можем расшифровать Ваши файлы!



====================================================================
hHW33yopZ5WnXSLbqfrOSiv736udwRrt
====================================================================


(48) тела вируса нет, он сам себя уничтожил, но копию зашифровал, может, смогу расшифровать, он в зипе.

(если в течение суток вам не ответят то на [email protected]) бгггггг вот тролли ))) либо супер лохи

(50) Не, сам не знаю (нету времени занятся, проги точно есть) - сам раздолбай бакаплю (архиватором) только важную инфу на внешний диск. А надо бы тупо весь рабочий диск и системный тоже.

(51) "Ни один системный администратор в мире не решит эту проблему не зная кода" - Поржал. :))) А вот интересно, если им заплатишь, то действительно всё расшифруют?

(54) если RSA1024, то да. если XOR, что половина точно...
в первый раз платили, время было дорого.

больше удивляет то, что кто-то подключился и напакостил. Юра виноват только в том, что у него слабый пароль. сам он вряд ли че бы сделал. в 7 утра у нас даже менты спят

(0)Тут вот эту темку перетирают.

http://www.yaplakal.com/forum32/topic478362.html

Тут вот чувак делится конкретным опытом.
Обширно но и проблеммка не из копеечных. Так что читай внимательно.
http://tyugashev-va.livejournal.com/749.html

(0) Тут вот вроде от Майкрософт патч
http://www.securitylab.ru/vulnerability/430176.php

(58) там вроде ие используется. у меня ие никто не запускал. другие говорят, что рдп пароль сбрутили, с чем и я согласен. видно же как что делали. не понятно, как в систему зашли. Blowfish алгоритм, хер сломаешь

и у меня автоматическое обновление, если что

(59)(60) Т.е. (57) ты читать не стал ...

(61) если бы вы внимательнее посмотрели, то увидели, что он там пишет про Xorist, а у меня Cryptor, который использует Blowfish, и, естественно, я пытался найти те файлы, даже среди удаленных, но, код вируса уже другой и, возможно, он кодирует на ходу. не используя временные файлы, я нашел только делетеры

(62) логины снимаются как здрасти, к вопросу: как они имя вычислили

(42)
не говори в чем не соображаешь

(63)
как интересно ?

(0)
Для борьбы с вредоносными программами семейства Trojan-Ransom.Win32.Xorist, Trojan-Ransom.MSIL.Vandev предназначена утилита XoristDecryptor.

http://support.kaspersky.ru/faq/?qid=208637174

http://support.kaspersky.ru/downloads/utils/xoristdecryptor.exe

(66) не работает для половины вирусов

кстати, никто не подскажет, как сделать загрузку 1ски вместо шелла? в 2003-м это автоматом настраивалось, а в 7 как? прописал ее пока что как шелл, но она так запускается для всех юзеров (MachineAccount), а конкретно каждому прописать не удается, не могу найти юзерские аккаунты в реестре. они в 7ке разделены теперь по разным файлам? и еще надо завершить сеанс после закрытия 1С, остается черный экран. ща гляжу в сторону аутоита.

откуда вирус поймал ?

(68)
На сервере в настройках пользователя-закладка "Среда". Ставиш галочку "При входе в систему запускать следующую программу" и указываете путь к программе. При входе в терминал запускается только 1с без рабочего стола.
так пойдет ?

(67)
вроде ее обновляют периодически

(70) этого мало, Shift+Ctrl+Esc после этого отрабатывает как и кнопочка Win и др.

у нас была самописка в которой при загрузке на экране было меню из списка баз - по какой кликнешь - та и загружается... что-б чего настроить - нужно было в 1 ихз углов кликнуть и ввести пароль - тогда десктоп становился доступен.

и только так!!!

+(72) самаписка на закладке "Среда" была в автозапуке указана

кто платил?
мы 10 тыс не платили! вот вы и кормите!
Касперский сказал - это не вирус типа - это шифровальщик и его юзеры запускают

скинь вирус плиз, поюзать

касперский забавен - говорит что создает новую операционную систему и заодно пропускает все шифровальщики - типа не вирус

(76)А это не вирус. Он не размножается.
А насчет вредности - по каким формальным признакам прикажешь отличать вредный шифровальщик, от скажем трукрипта, которым ты пользуешься?

(70) я про вин7, а не про сервер

(77) по факту вымогательства

(74) так это и не вирус, это вредоносная программа, если чО

(75) я тебе где его возьму?

(80)В семерке в интерфейсе таких настроек разумеется нет.
Ибо там РДП немного для другого, нежели для терминала.
Хотя настроить думаю можно, ежели реестр поковырять.

(72) с чего ты взял?

(82) во-во, писать буду софтиночку-мониторчик. 1С отлично запускается вместо шелла, даже пуск никак не вернешь )

(83) ну я когда-то типа как тестил.... находил кое какие лазейки с ходу... понтно что 90% юзеров их не найдёт, но ведь есть и другие 10%...

потом у нас там под терминалом была не только 7.7 но и датакрипт и ещё чегой-то (уже не помню)... не делать-же ещё учётку в актив директори что-бы юзер мог другое ПО запутить на том-же сервере

(42) вот уже стопиццотый раз читаю здесь про то что нельзя RDP наружу показывать и стопиццотый раз задаюсь вопросом "а чего это вдруг?"

ответы типа "ну несекьюрно же" не катят. можно развернутый ответ почему нужно админу ноги отрывать за выставление RDP наружу? есть какие-то критические уязвимости? готовые эксплойты? брутфорс не предлагать.

Рыба как всегда туп

(68) они и в нт4 были разъединены по разным файлам, а так

hkcu\software\microsoft\windows nt\currentversion\winlogon\shell

(87) какая рыба?
(88) только вот почему-то в серваке все юзеры доступны, а в обычной винде - только текущий. и кстати, по этому адресу у меня ничего нет, создавать свои ключики?

(89) в ветке разве много рыб ?

(89) а пусть они разлогинятся на сервоке, а ты позырь

(90) не вижу ни одной
(91) и что я увижу?

(90) аа, вот оно че, я просто использую треугольнички, поэтому рыб не вижу

(92)
а ты позырь
а ты позырь

(92) вот сервак 2003. ща никто не залогинен. вижу всех. что я делаю не так? вот 7ка. никто не залогинен. вижу только себя.

> Несмотря на пароли и юзерский доступ. Где дыра?
> каспер ругнулся, его отключили,
> все файлы целы, кроме 1С, так как у юзера доступ открыт только к ней.

ты сам себе противоречишь

все ветки пользователей в независимости от системы начиная с нт3.51 в профайлпользователя\нтусер.дат

(95) точно не залогинены ? или только прерваны сеансы ?

1. отключать/включать антивирь можно только тому, кто отвечает за безопасность. Остальным категорически нельзя.
2. Права должны быть настроены. Общий принцип как с долгами, в долг можно дать только ту сумму, которую не жалко потерять. Если юзер имеет права на данные, значит рано или поздно им хана.

100

(96) доступ к касперу не был закрыт, я его установил в пятницу, пробный период, но не настроил, потому что был занят, в понедельник поехал за ключиком в магаз, когда приехал и хотел взяться за настройку, уже было поздно. он был выключен. юзеры могут выключать каспера, если на нем пароля нет, разве нет?

(99) прекрасно знаю, я просто еще не успел настроить. да и кто за пять тыщ в месяц будет настраивать сервак? этого еле хватает на поддержание 1С в работоспособности. поэтому отложил до тех времен, когда обращений по 1С будет не больше чем на эти несчастные копейки. сразу после виря сумму повысили, так что ща комар носа не подточит

(98) простите, вы правы, как всегда...

(86) думаю, имеется в виду необходимость впн

(96) а доступ к файлам был открыт, потому что файловая 1Ска. разве можно сделать так, чтобы доступа к файлам не было, а доступ к базе был? и решит ли проблему скуль?

если что рдп умеет разбираться с публичными и личными ключами

(105) скуль решит проблему хоть какой то защиты файлов данных от непосредственного вмишательства

(106) что вы имеете в виду?

(107) ну да, так и придется сделать, для начала.
а может, подскажете, как закрыть автоматом сеанс после завершения 1С, даже аварийного? без загрузки эксплорера.

(108) для разрешения подключения к рдп можно использовать сертификаты (почему то мало кто в России таковое пользует, покрайней мере на уровне ларьков)

(110) эх, никогда не сталкивался с этим, наверное, потому что на уровне ларьков... а сертификаты у пользователей должны быть всегда с собой, да? на флешках? или они привязываются к компам? или возможно куча вариантов?

(104) вопрос в том только зачем имеется в виду VPN если RDP протокол умеет работать с RSA и шифрованием

(112) может, в впне меньше дыр, чем в чистом рдп, я не знаю, люди говорят, что венду вообще низя для этого использовать

(109) он должен сам закрываться если то запуск в программе запуска рдп
а так, самое простое пакетник типа

@echo off
start "" /w "1c.exe"
logoff

или
шел=new ActiveXObject("WScript.Shell");
шел.Run(ПолныйПутьКАдинес,,-1);
шел.Run("cmd /c logoff",,-1);

(57) спасибо, бро

(113) так я ж не с целью потроллить или холивар начать вопрос задаю. мне правда интересно почему нельзя RDP голый вовне показывать, но слышу в ответ как правило ничего

(114) в серваке сам закрывается, а на 7ке че-то не хочет. может, фоном какой-нить монитор висит невидимый, которому эксплорер нужен. но логоф отрабатывает нормально.
за скриптик спасибо, его надо прописать в сценарии входа или сразу в винлогоне?

или "готовое" решение

http://www.n-d.ru/pub/rdp-adynes.rar

(116) да чего далеко ходить, вот я, к примеру, не первая и не последняя жертва такого выставления

(118) ух ты

+(118) есть минимальный ридми запускать
1с-предприятие.bat setup (на сколько помню)

(118) пасибо, поковыряю скрипты, много чего интересного...

запускать на клиенте, если нету особых ограничений, сам все установит на сервере, и без прав

(119) есть уверенность что взлом произошел именно через уязвимость RDP? может я невнимательно ветку смотрел... если речь идет о подборе пароля "111", то это не уязвимость RDP, а банальная глупость того, кто за безопасность отвечал на момент настройки и формирования правил безопасности.

(124) ну все равно, мне непонятно, как о серваке узнали, он такой махонький.. )) юзер в инет с него не выходил, тупо подключились и сделали свое грязное дело. сам юзер тупой как валенок, такое сам не сделает. но ведь у других юзеров, как потом выяснилось, пароли были еще проще. однако взломали через 4 цифры.

(123) эм... а что он должен установить?

да, на х64 ни клиенте ни сервере не проверено
для работы динаврапа на х64 нужно немного переписать, на проверку ветки

software\syswow6432note\ вроде
и wscript.exe из syswow64\ а не из system32\

(126) а он все предложит - права ему  не нужны, все в пределах пользовательского профиля, как на клиенте, так и на сервере

там скриншоты есть установки и работы

Гинзбург расскажи лучше про FILE_ATTRIBUTE_TEMPORARY здесь Свершилось чудо. Я нашел гибридный RAM диск

(129) вроде вижу, завтра буду колупать. а что с вашим основным ником?

(125) вот о чем и говорю. взломали(если это действительно так) пароль из 4 цифр. каким боком тут RDP виноват? надо юзеров линейкой по пальцам бить и установить политику относительно минимальной сложности пароля или переходить на сертификаты если уж хочется совсем секьюрно.

что собственно мешает точно так же ломануть впн при слабом пароле?

то что антивирусы не палят, так это понятно такой вирус с точки зрения антивирусников не делает ничего подозрительного, да перебирает все файлы, да что-то пишет, но такие действия совершают почти каждая вторая программа (пишет в файлы что-то), к тому же если вирус закриптован, вот и обломался ваш антивирус.

(131) год за "хулиганку"
(130) а что рассказывать - заставить адинес создавать временные файлы с таким атрибутом, с адинес не пробовал, а кто пишет свое должен позаботиться в коде (в случае необходимости)

(134) а какой основной-то?

(133) все равно не понятно, почему антивирь не ловит.
как я понял, процедура работы бяки такая:

1) проникает бекдор - вот как раз его и должен отловить антивирь.
2) человек через бекдор чтото шифрует - это конечно отловить нельзя
3) ...

так почему п.1 проходит?

(132) я тоже, пока сам не увижу, не убедюсь, мне и в лицо говорили, но примеров привести не смогли, видимо, это еще с времен CIH и других эксплоитов идет.
(136) в моем случае человек зашел не через бэкдор, а через фронтдор ))

(136) это смотря каким способом проникает, мб есть "дыры" в браузерах, мб комп был уже до этого заражен неким клиентом троянчика через которого тебе и закачалось гадость на комп. Знаю на античате есть много услуг по продажам "инсталов" т.е. платишь к примеру 3000 за то что твой вирус запустится на 1000 компах, как именно они запускают я уж не знаю.

(138) это засчет уже ботнетов, я думаю. хотя лохов ща на каждом шагу, хотя их ряды пополнять неприятно. вот на баше чел запустил "Драйвер для вашего принтера.exe" ваще умора. блин. пока сам не увидел это своими глазами. хорошо, антивирь на месте уже был.

(133) вообще-то программу признают вредоносной, если на нее много жалоб в вирлабы поступит, и антивирь уже начинает ее лечить, а другим способом в вирлабах ее и не заподозрят.

(140) есть еще эвристический анализ

(141) ага, знаем мы этот эвристический анализ...

+ (141) так же некоторые антивиры отслеживают те действия что совершает вирус, например при запуске вируса антивир промолчит, а когда вирус будет делать что-то подозрительное, антивирус его схавает

(141) на файлы данных он, как правило, не распространяется...

(143) вот, запустил я удаление каталога с файлами в любой программе, которая это может. что на это скажет эвристика?

(145) ничего, вот поэтому я и написал в (133) что такие вирусы сложно запалить т.к. они не делают ничего "противозаконного"

(143) называется - режим мониторинга

(146) в исполняемые файлы мало кто чего пишет!

кста Antivir Task Manager - такие фокусы перекрывает в принципе

(148) время вирусов ушло. время вымогателей пришло.

(149) ну не только...  кста, вт то что у вас было это правильнее называть трояном а не вирусом и такие обычно юзера сами себе ставят, скачав из тырнета какую-нить хрень и сами запустив её

(150) повторяю, ее не скачивал юзер, ее запустил непосредственно сам злоумышленник, скачав с файлообменника. там файл запаролен.

(151)Каким образом злоумышленник запустил программу на твоем компьютере?

(152) подключился по рдп

(153)Есть логи? И ты уверен что это не юзер?
Опять же подключение злоумышленника по RDP это повод гнать в шею системного администратора.
Если уж открыл RDP наружу, без впн, то хоть запретил бы удаленный вход под администратором.

Пароль по сети сбрутафорсить практически не реально.
Если это конечно не пароль 123.

(155) а ты ветку почитай - там пароль приведён.... ты удивишься!

(154) уверен, зашли в 7 утра. контора открывается в 10. и вирус был запущен не под админом, а под юзером, система цела. системного администратора нет в принципе, это ларек
(155) самое интересное, что в вин7 его сбрутить тоже нереально, он дает таймаут при неудачном входе. это мне и интересно, где он его запалил свой пароль.

(156) пароль был не 123. это у другого юзера. под которым не заходили.

(114) а как сделать, чтобы в зависимости от условия грузился рабочий стол либо 1с? прописываю if exist ... "start /w explorer.exe" "start /w 1C", однако вместо рабочего стола грузится проводник. если же в шелле прописан explorer.exe, то все нормально.