Вот такая история - отвык я от админства и начинаю забывать всё это.
но беда как всегда ждет этого момента.
есть знакомые у меня, хорошие люди - и вот им прислали...
и естественно они подцепили его: троян.энкодер.102

естественно по глупости - ну откуда Бухгалтер должна знать - что файлы с расширением scr - открывать нельзя. ибо это сразу видно "нам" что айайай... печально другое, аттач - ссылается на майл диск - они там пели про то, что у них всё чисто... или я ошибаюсь. или зип сейчас антивирями не читается?

если погуглить и пояндоксить - везде видно одно - ДРВЕБ крут - "оказывается" у них есть утилита!!! круто! есть - но она не работает, до тех пор пока "мы с вами" не укажем параметр! - да, и притом - она имеет свойство сваливаться.

"крутые хары" делат красиво, но по детски - знаки евро красиво смотрятся...

вот решил своим знакомым написать, что добавить исправить!?
в след посте...

а) ни одна структура официальная никогда не будет к вам отправлять официальное письмо не обратившись по ФИО - если вам,
      например, банк пишет "Здравствуйте [email protected]" - это знак того, - что то не так! официальные структуры пишут именные
      письма - они знают к кому обращаются!
    б) НИКОГДА не открывать "НЕИЗВЕСТНЫЕ" файлы - и не нужные тебе! даже если интересно!
    в) НИКОГДА НЕ ВЕРЬ - адресату - всегда смотри пункт б) особенно всяких банков, судов, и т.д.
    г) никогда из почты не открывай ничего в чем не уверена, забудь про все фалы типа .scr, .pif, .gif и т.д.
    д) ВСЕГДА - делать одно и тоже - СНАЧАЛА сохранить куда нибудь - ПОТОМ проверить "АКТУАЛЬНЫМ" антивирем - и только потом
       запускать на выполнение. НО ЕСЛИ ЭТО пункт б) - то это пункт б)!!!

да, каспер и дрВеб - пропускают на ура - последние модиф...

Забрать права администратора у пользователя?

ubuntu ?

(0) да уйтиде вы уже с винды..
прям как дети малые.


раз проблема, раз пользователи тупят и просачиваются вирусы- ну уйдите на ту же убунту.

для бухгалтера ВСЯ привычная среда останется (кроме возможно банкклиентов) но ради банкклиентов можно и виртуалбокс поставили или вообще отдельную машинку без интернета и без права что либо запускать в принципе..

(5) и чо?(с) нет в таких случаях никаких троянов. это просто программа шифрующая диск, она может быть написана и под линуксы. юзер сам ее запускает, от 1с мало отличается)

(6) да да.. ты еще страшный молдавский вирус вспомни, от которого нет защиты ни в винде, ни в макоси ни в айфонах ни в блекбери - нигде нет..

и что ?

заражаются то в основном всякой херней которая именно "просачивается"
и распространяется то в основном всякая херь именно под винду

скинь вирус, протестирую на кисе

(2) Все антивирусники, работающие по базе сигнатур, будут пропускать вирусы, сигнатуры которых отсутствуют в базе. Это у них природа такая.

Хорошее препятствие от вирусов -запретить пользователю выполнять файлы на рабочем столе, документах и временной папке. Хотя с временной папкой могут работать и легальные программы.

(10) Проблема в том, что софт из (0) ничем от легального приложения не отличается (с программно-технической точки зрения). Запускается с разрешения юзера, административные права, скорее всего, получить не пытается. Архиватор, создающий запароленные архивы, работает так же.

(11) Галка такая есть "Запретить", можно запретить выполнение файлов в не зависимости от его (файла) точки зрения. Он просто не запустится даже у администратора.

(12) Вообще, в винде есть фича такая - политика ограниченного использования программ. Надежнее любого антивируса будет, если запретить пользователям запуск любых программ из любых мест, куда у них есть доступ на запись. Разумеется, и не работать под админом.

(13) +100 ... на терминальном сервере юзаю уже больше 5 лет без всяких антивирусов

есть такая фича как проверка цифровой подписи, можно запретить запускать любые файлы не имеющии подпись из белого списка

(12) Эксель пользователю разрешишь запускать? А файл .xlsx, полученный по электронной почте, разрешишь? В принципе, шифрование как в (0) вполне можно реализовать на VBA.

На файлы с расширением scr ставится в Windows запуск программы, чтобы она показывала на весь экран большое окно - вы поймали вирус, а иконку для этого файла лучше в виде змеи или червя показывать.
У меня, например, для некоторых все exe-файлы в виде иконки с крестиком показываются - ни одного exe-файла без ярлычка никто ещё не запустил - бояться.

я уже как года 2 -3 не админю, а бух сама понимает что сделала не то. меня другой вопрос интересует - у меня вообще подозрение что наши гранды "антивирусные" скооперировались и решили заработать...

логика:

1. Женщина Бухгалтер - открывает письмо с ВЕБ морды маил.ру
2. В письме адрес арбитража - отправителя + стиль оформления т.д.
3. в письме ссылка на документ (архив) на маил.диск - с аннотацией на то что всё у нас проверено и чисто! - если что то не так "Вы можете в карантин поместить" - или как то так.

я проверял по домену 2 уровня (после ру) все официально.
ДР.ВЕБ - оказывает услуги по дешифровке, только своим (в    связи большим наплывом клиентов)
отсюда и выводы... я ошибаюсь???
и про утилиту - которая была бесплатной некоторое время... под конкретную версию вируса - конкретный параметр на запуск.

от знакомых прошел слух, что якобы некоторый "завод" откинул 50к касперу - за дешифровку - опровергните пожалуйста - ибо это уже как то "СТРАННО"

Да, эти шифровальщики уже задолбили. Только бекапы на внешний носителях и спасают. Антивирусы нифига не ловят.

(19) я те не как админ юзеру говорю - диск ц: залочь чем нить и загружай винду с дэ
ЗЫ как философ философу

(20) ичобудет?
(19) есть сторожи доступа к файлам, если очень надо

(19) да не долбали никого, первый случай и бух понимает что сама виновата...
(20) я те как не админ говорю - у них так и было (только не моё, кто то делал) тр.энк.102 новым модификациям пофиг, чё ты лочиш - есть %системрут% и всё такое - даже школьники знают давно уже и дыры форточек тоже - я речь о другом веду - подозрительно иное!

(22) а меня напрягает то, что менты не могут отследить момент оплаты. Реально сейчас все платят "электронно" (на карту, на телефон, веб мани и т.д.).

почему менты не могут отследить конечного получателя денег???

лично я в данном вопросе за тотальный контроль и запрет обезличеных (в плане получателя) операций на территории России.

Если это будет все это сойдет на минимум... Боротся нужно не с людьми а с мотивацией. Если нельзя получить бабло - количество жуликов сойдет на нет, останутся только "гармональные школьники"

(16) не особенно. Если имеются в виду макросы на VBA, то там уже давно с настройками по умолчанию не очень-то  позапускаешь. Ввиду чего макровирусы и умерли с конца 90-х - начала 2000-х годов.

(23) это ментам работать придется. а ведь можно без напряга студентов за торренты сажать, чтоб план набрать.

(0) НечегоНеПонял :)
Не стони, пользователей не исправишь, остается только настраивать Права доступа к системе. И настройка спам фильтра :)

(23) Да потому, что у ментов образование топорное :)

(15) а можно инструкцию? главное ведь, этот белый список составить так, чтобы какие-нибудь из майкрософтовских ЦП не пропустить.
И как насчёт dll? Если их проверять то будет тормозить, если нет, то их их regsvr32, например, может запускать.
(23) так будут просить перевести заграницу или биткойнами, это становится популярным способом.

(28) Вам мало (1)??? - дополните, пожалуйста ...

я представил уже инструкцию "умельцев" про "dll"...

Вам одной буквы в нике не хватает...

Проблема с браузерами и почтовыми клиентами состоит в том, что все запущенное в них имеет права текущего пользователя.

Это изначальная дыра в системе: очевидно, что общение с внешним миром должно происходить через ограниченные права.

Также напрашивается автоматический инкрементный бэкап всего сделанного в течение дня в такую область на диске, куда доступ пользователю на запись под его правами запрещен.

Например, это могли бы быть версии измененных офисных документов (или скажем ert) за каждый час, когда производилось их изменение. Это позволило бы откатиться в случае не только вируса, но и простой ошибки, к более ранней версии того же документа.

(30) Так изначально браузер и не предусматривал никакого активного содержимого. Поэтому парадигма и не предусматривала защиты от действий пользователя. Скачать файл из интернета и запустить его - равноценно запуску вредоносного файла с дискеты.
Но явочным порядком браузеры перестали быть лишь средствами для просмотра html-файлов, стали позволять активное содержимое - и тут вот "внезапно" возникла проблема безопасности. Это примерно как с автозапуском в винде.. когда были сменные носители без возможности записи - он был не страшен, а как возникли флешки - это привело к эпидемии авторан-троянов.

(30) А по поводу откатной системы - совершенно правильная идея, и в принципе она в винде реализована (называется теневое копирование), но для несерверных версий эта возможность заблокирована по коммерческим соображениям.
В линуксе же есть btrfs, который еще круче.

(30) Я для некоторых пользователей на экране иконку RunAs делаю, чтобы браузер запускать от имени другого пользователя - вполне хорошо получается - он не имеет доступа никуда, кроме своих директорий.
Только вот пользователям не очень удобно, так как Word и что-то ещё из ссылки не откроешь (хотя, у некоторых я эту проблему решил через службу запуска).

(33) Тоже так делал, и в песочницы с виртуалками пихал и по-всякому - только геморрой на свою голову. Браузер должен быть человеческим.

(29) Я спрашивал о настройке политики домена, а не про правила поведения пользователей, которых не всегда можно принудить исполнять. И какой буквы не хватает?
(30) так IE, вроде, по умолчанию такой защитный механизм имеет. И штатный архиватор Вин7, может так данные бекапить, хотя сам не пробовал.
(32) но даже на серверах его не рекомендуют очень часто запускать, место ест.

Так проблема в том, что шифровальщик шифрует в том числе и BackUp-ы, к сожалению.

(36) без прав администратора он это сделать не сможет

(37) Если у пользователя есть право администратора, то система его может попросить, и пользователь (как показывает практика) не отказывает.
Если пользователя порезать по самое "не балуй", то зашифрованы окажутся только данные пользователя - главное, чтобы система BackUp-ов не сделала очередной BackUp поверх старого.

(38) По-этому права администратора у пользователя дурной тон, тем более у безответственного. Вин архиватор, вроде, должен работать инкрементально и каталоги с его добром закрыты правами НТФС даже от администраторов. Конечно, админский процесс может их изменить, но не всякий зловред так умеет.