Антивири их не видят. Тема была уже тут. Вирус, шифрующий файлы...
Как от него уберечься? Каспер просто-напросто был выключен, как и кем, непонятно. Несмотря на пароли и юзерский доступ. Где дыра?

и у меня автоматическое обновление, если что

(59)(60) Т.е. (57) ты читать не стал ...

(61) если бы вы внимательнее посмотрели, то увидели, что он там пишет про Xorist, а у меня Cryptor, который использует Blowfish, и, естественно, я пытался найти те файлы, даже среди удаленных, но, код вируса уже другой и, возможно, он кодирует на ходу. не используя временные файлы, я нашел только делетеры

(62) логины снимаются как здрасти, к вопросу: как они имя вычислили

(42)
не говори в чем не соображаешь

(63)
как интересно ?

(0)
Для борьбы с вредоносными программами семейства Trojan-Ransom.Win32.Xorist, Trojan-Ransom.MSIL.Vandev предназначена утилита XoristDecryptor.

http://support.kaspersky.ru/faq/?qid=208637174

http://support.kaspersky.ru/downloads/utils/xoristdecryptor.exe

(66) не работает для половины вирусов

кстати, никто не подскажет, как сделать загрузку 1ски вместо шелла? в 2003-м это автоматом настраивалось, а в 7 как? прописал ее пока что как шелл, но она так запускается для всех юзеров (MachineAccount), а конкретно каждому прописать не удается, не могу найти юзерские аккаунты в реестре. они в 7ке разделены теперь по разным файлам? и еще надо завершить сеанс после закрытия 1С, остается черный экран. ща гляжу в сторону аутоита.

откуда вирус поймал ?

(68)
На сервере в настройках пользователя-закладка "Среда". Ставиш галочку "При входе в систему запускать следующую программу" и указываете путь к программе. При входе в терминал запускается только 1с без рабочего стола.
так пойдет ?

(67)
вроде ее обновляют периодически

(70) этого мало, Shift+Ctrl+Esc после этого отрабатывает как и кнопочка Win и др.

у нас была самописка в которой при загрузке на экране было меню из списка баз - по какой кликнешь - та и загружается... что-б чего настроить - нужно было в 1 ихз углов кликнуть и ввести пароль - тогда десктоп становился доступен.

и только так!!!

+(72) самаписка на закладке "Среда" была в автозапуке указана

кто платил?
мы 10 тыс не платили! вот вы и кормите!
Касперский сказал - это не вирус типа - это шифровальщик и его юзеры запускают

скинь вирус плиз, поюзать

касперский забавен - говорит что создает новую операционную систему и заодно пропускает все шифровальщики - типа не вирус

(76)А это не вирус. Он не размножается.
А насчет вредности - по каким формальным признакам прикажешь отличать вредный шифровальщик, от скажем трукрипта, которым ты пользуешься?

(70) я про вин7, а не про сервер

(77) по факту вымогательства

(74) так это и не вирус, это вредоносная программа, если чО

(75) я тебе где его возьму?

(80)В семерке в интерфейсе таких настроек разумеется нет.
Ибо там РДП немного для другого, нежели для терминала.
Хотя настроить думаю можно, ежели реестр поковырять.

(72) с чего ты взял?

(82) во-во, писать буду софтиночку-мониторчик. 1С отлично запускается вместо шелла, даже пуск никак не вернешь )

(83) ну я когда-то типа как тестил.... находил кое какие лазейки с ходу... понтно что 90% юзеров их не найдёт, но ведь есть и другие 10%...

потом у нас там под терминалом была не только 7.7 но и датакрипт и ещё чегой-то (уже не помню)... не делать-же ещё учётку в актив директори что-бы юзер мог другое ПО запутить на том-же сервере

(42) вот уже стопиццотый раз читаю здесь про то что нельзя RDP наружу показывать и стопиццотый раз задаюсь вопросом "а чего это вдруг?"

ответы типа "ну несекьюрно же" не катят. можно развернутый ответ почему нужно админу ноги отрывать за выставление RDP наружу? есть какие-то критические уязвимости? готовые эксплойты? брутфорс не предлагать.

Рыба как всегда туп

(68) они и в нт4 были разъединены по разным файлам, а так

hkcu\software\microsoft\windows nt\currentversion\winlogon\shell

(87) какая рыба?
(88) только вот почему-то в серваке все юзеры доступны, а в обычной винде - только текущий. и кстати, по этому адресу у меня ничего нет, создавать свои ключики?

(89) в ветке разве много рыб ?

(89) а пусть они разлогинятся на сервоке, а ты позырь

(90) не вижу ни одной
(91) и что я увижу?

(90) аа, вот оно че, я просто использую треугольнички, поэтому рыб не вижу

(92)
а ты позырь
а ты позырь

(92) вот сервак 2003. ща никто не залогинен. вижу всех. что я делаю не так? вот 7ка. никто не залогинен. вижу только себя.

> Несмотря на пароли и юзерский доступ. Где дыра?
> каспер ругнулся, его отключили,
> все файлы целы, кроме 1С, так как у юзера доступ открыт только к ней.

ты сам себе противоречишь

все ветки пользователей в независимости от системы начиная с нт3.51 в профайлпользователя\нтусер.дат

(95) точно не залогинены ? или только прерваны сеансы ?

1. отключать/включать антивирь можно только тому, кто отвечает за безопасность. Остальным категорически нельзя.
2. Права должны быть настроены. Общий принцип как с долгами, в долг можно дать только ту сумму, которую не жалко потерять. Если юзер имеет права на данные, значит рано или поздно им хана.

100

(96) доступ к касперу не был закрыт, я его установил в пятницу, пробный период, но не настроил, потому что был занят, в понедельник поехал за ключиком в магаз, когда приехал и хотел взяться за настройку, уже было поздно. он был выключен. юзеры могут выключать каспера, если на нем пароля нет, разве нет?

(99) прекрасно знаю, я просто еще не успел настроить. да и кто за пять тыщ в месяц будет настраивать сервак? этого еле хватает на поддержание 1С в работоспособности. поэтому отложил до тех времен, когда обращений по 1С будет не больше чем на эти несчастные копейки. сразу после виря сумму повысили, так что ща комар носа не подточит

(98) простите, вы правы, как всегда...

(86) думаю, имеется в виду необходимость впн

(96) а доступ к файлам был открыт, потому что файловая 1Ска. разве можно сделать так, чтобы доступа к файлам не было, а доступ к базе был? и решит ли проблему скуль?

если что рдп умеет разбираться с публичными и личными ключами

(105) скуль решит проблему хоть какой то защиты файлов данных от непосредственного вмишательства

(106) что вы имеете в виду?

(107) ну да, так и придется сделать, для начала.
а может, подскажете, как закрыть автоматом сеанс после завершения 1С, даже аварийного? без загрузки эксплорера.

(108) для разрешения подключения к рдп можно использовать сертификаты (почему то мало кто в России таковое пользует, покрайней мере на уровне ларьков)

(110) эх, никогда не сталкивался с этим, наверное, потому что на уровне ларьков... а сертификаты у пользователей должны быть всегда с собой, да? на флешках? или они привязываются к компам? или возможно куча вариантов?

(104) вопрос в том только зачем имеется в виду VPN если RDP протокол умеет работать с RSA и шифрованием

(112) может, в впне меньше дыр, чем в чистом рдп, я не знаю, люди говорят, что венду вообще низя для этого использовать

(109) он должен сам закрываться если то запуск в программе запуска рдп
а так, самое простое пакетник типа

@echo off
start "" /w "1c.exe"
logoff

или
шел=new ActiveXObject("WScript.Shell");
шел.Run(ПолныйПутьКАдинес,,-1);
шел.Run("cmd /c logoff",,-1);

(57) спасибо, бро

(113) так я ж не с целью потроллить или холивар начать вопрос задаю. мне правда интересно почему нельзя RDP голый вовне показывать, но слышу в ответ как правило ничего

(114) в серваке сам закрывается, а на 7ке че-то не хочет. может, фоном какой-нить монитор висит невидимый, которому эксплорер нужен. но логоф отрабатывает нормально.
за скриптик спасибо, его надо прописать в сценарии входа или сразу в винлогоне?

или "готовое" решение

http://www.n-d.ru/pub/rdp-adynes.rar

(116) да чего далеко ходить, вот я, к примеру, не первая и не последняя жертва такого выставления

(118) ух ты

+(118) есть минимальный ридми запускать
1с-предприятие.bat setup (на сколько помню)

(118) пасибо, поковыряю скрипты, много чего интересного...

запускать на клиенте, если нету особых ограничений, сам все установит на сервере, и без прав

(119) есть уверенность что взлом произошел именно через уязвимость RDP? может я невнимательно ветку смотрел... если речь идет о подборе пароля "111", то это не уязвимость RDP, а банальная глупость того, кто за безопасность отвечал на момент настройки и формирования правил безопасности.

(124) ну все равно, мне непонятно, как о серваке узнали, он такой махонький.. )) юзер в инет с него не выходил, тупо подключились и сделали свое грязное дело. сам юзер тупой как валенок, такое сам не сделает. но ведь у других юзеров, как потом выяснилось, пароли были еще проще. однако взломали через 4 цифры.

(123) эм... а что он должен установить?

да, на х64 ни клиенте ни сервере не проверено
для работы динаврапа на х64 нужно немного переписать, на проверку ветки

software\syswow6432note\ вроде
и wscript.exe из syswow64\ а не из system32\

(126) а он все предложит - права ему  не нужны, все в пределах пользовательского профиля, как на клиенте, так и на сервере

там скриншоты есть установки и работы

Гинзбург расскажи лучше про FILE_ATTRIBUTE_TEMPORARY здесь Свершилось чудо. Я нашел гибридный RAM диск

(129) вроде вижу, завтра буду колупать. а что с вашим основным ником?

(125) вот о чем и говорю. взломали(если это действительно так) пароль из 4 цифр. каким боком тут RDP виноват? надо юзеров линейкой по пальцам бить и установить политику относительно минимальной сложности пароля или переходить на сертификаты если уж хочется совсем секьюрно.

что собственно мешает точно так же ломануть впн при слабом пароле?

то что антивирусы не палят, так это понятно такой вирус с точки зрения антивирусников не делает ничего подозрительного, да перебирает все файлы, да что-то пишет, но такие действия совершают почти каждая вторая программа (пишет в файлы что-то), к тому же если вирус закриптован, вот и обломался ваш антивирус.

(131) год за "хулиганку"
(130) а что рассказывать - заставить адинес создавать временные файлы с таким атрибутом, с адинес не пробовал, а кто пишет свое должен позаботиться в коде (в случае необходимости)

(134) а какой основной-то?

(133) все равно не понятно, почему антивирь не ловит.
как я понял, процедура работы бяки такая:

1) проникает бекдор - вот как раз его и должен отловить антивирь.
2) человек через бекдор чтото шифрует - это конечно отловить нельзя
3) ...

так почему п.1 проходит?

(132) я тоже, пока сам не увижу, не убедюсь, мне и в лицо говорили, но примеров привести не смогли, видимо, это еще с времен CIH и других эксплоитов идет.
(136) в моем случае человек зашел не через бэкдор, а через фронтдор ))

(136) это смотря каким способом проникает, мб есть "дыры" в браузерах, мб комп был уже до этого заражен неким клиентом троянчика через которого тебе и закачалось гадость на комп. Знаю на античате есть много услуг по продажам "инсталов" т.е. платишь к примеру 3000 за то что твой вирус запустится на 1000 компах, как именно они запускают я уж не знаю.

(138) это засчет уже ботнетов, я думаю. хотя лохов ща на каждом шагу, хотя их ряды пополнять неприятно. вот на баше чел запустил "Драйвер для вашего принтера.exe" ваще умора. блин. пока сам не увидел это своими глазами. хорошо, антивирь на месте уже был.

(133) вообще-то программу признают вредоносной, если на нее много жалоб в вирлабы поступит, и антивирь уже начинает ее лечить, а другим способом в вирлабах ее и не заподозрят.

(140) есть еще эвристический анализ

(141) ага, знаем мы этот эвристический анализ...

+ (141) так же некоторые антивиры отслеживают те действия что совершает вирус, например при запуске вируса антивир промолчит, а когда вирус будет делать что-то подозрительное, антивирус его схавает

(141) на файлы данных он, как правило, не распространяется...

(143) вот, запустил я удаление каталога с файлами в любой программе, которая это может. что на это скажет эвристика?

(145) ничего, вот поэтому я и написал в (133) что такие вирусы сложно запалить т.к. они не делают ничего "противозаконного"

(143) называется - режим мониторинга

(146) в исполняемые файлы мало кто чего пишет!

кста Antivir Task Manager - такие фокусы перекрывает в принципе

(148) время вирусов ушло. время вымогателей пришло.

(149) ну не только...  кста, вт то что у вас было это правильнее называть трояном а не вирусом и такие обычно юзера сами себе ставят, скачав из тырнета какую-нить хрень и сами запустив её

(150) повторяю, ее не скачивал юзер, ее запустил непосредственно сам злоумышленник, скачав с файлообменника. там файл запаролен.

(151)Каким образом злоумышленник запустил программу на твоем компьютере?

(152) подключился по рдп

(153)Есть логи? И ты уверен что это не юзер?
Опять же подключение злоумышленника по RDP это повод гнать в шею системного администратора.
Если уж открыл RDP наружу, без впн, то хоть запретил бы удаленный вход под администратором.

Пароль по сети сбрутафорсить практически не реально.
Если это конечно не пароль 123.

(155) а ты ветку почитай - там пароль приведён.... ты удивишься!

(154) уверен, зашли в 7 утра. контора открывается в 10. и вирус был запущен не под админом, а под юзером, система цела. системного администратора нет в принципе, это ларек
(155) самое интересное, что в вин7 его сбрутить тоже нереально, он дает таймаут при неудачном входе. это мне и интересно, где он его запалил свой пароль.

(156) пароль был не 123. это у другого юзера. под которым не заходили.

(114) а как сделать, чтобы в зависимости от условия грузился рабочий стол либо 1с? прописываю if exist ... "start /w explorer.exe" "start /w 1C", однако вместо рабочего стола грузится проводник. если же в шелле прописан explorer.exe, то все нормально.