Имя: Пароль:
IT
Админ
Как защититься от вируса из почтового вложения, шифрующего данные?
0 Alexor
 
03.11.14
12:29
Всем привет.

Есть ситуация. Пошла нездоровая волна.

У клиентов.
В почтовый ящик приходит письмо.
Бла-бла-бла направляем вам акт сверки во вложении. С адреса их контрагента.
Бушка естественно жмет архив. Там файл типа акта сверки, на самом деле скрипт.

После чего,  все доки шифрует и вымогает деньги.

Стоит Каперский Интернет Секьюрити, обновляемый постоянно.
Не видит он тут вируса. И доктор веб ни видит.

Как защититься от такой напасти?
Кроме как обучения пользователя?
1 raykom
 
03.11.14
12:31
Включить в настройках антивируса проверку почты . Не ?
2 raykom
 
03.11.14
12:32
Отправить в Др Веб или в Каспера, что бы включили сигнатуру в базу ...
3 raykom
 
03.11.14
12:33
Я почти Кэп ...
4 Сержант 1С
 
03.11.14
12:33
каспер от нулевых редко помогает
5 Alexor
 
03.11.14
12:33
(1) Почта через вебинтерфейс Яндекса.
6 Alexor
 
03.11.14
12:34
(4) В сторону чего смотреть?
7 Alexor
 
03.11.14
12:34
(2) Это поможет от запуска бушкой?
8 Alexor
 
03.11.14
12:35
(1) Да этот файл даже извлекли.
Прогнали через каспер. Не видит он там ничего.
9 Сержант 1С
 
03.11.14
12:35
(6) в сторону грамотной организации хранения и резервирования данных
10 raykom
 
03.11.14
12:36
(5)Перенаправь в ТП Яндекса. Пусть у них все там зашифрует.
Сразу найдут решение.
11 Сержант 1С
 
03.11.14
12:37
проще всего дать людям квоту на обьем, который надежно резервируется. И обьяснить, что вот даша забила на наши предупреждения, жмет чо попало в почте, поэтому у нее доки зашифровались и не стало квартальной премии.

не хотите задней боли - вот вам безопасное хранилище, за остальное айти отвечать не может
12 raykom
 
03.11.14
12:37
(7)Ну как правило срабатывание происходит при открытии в интерфейсе почты. Или при переходе по ссылкам, которые в письмах левых.
Нахер они вообще открывают письма которые не ждут ?
13 Сержант 1С
 
03.11.14
12:38
можно включать "версии файлов", можно теневые копии, но это гемор
14 Сержант 1С
 
03.11.14
12:39
> Нахер они вообще открывают письма которые не ждут ?

а почему бы им не открывать? отвечать-то будет айти. Редко где пользователь несет ответственность за свои действия.
15 Alexor
 
03.11.14
12:51
(12) Там причем если открыть архив на вебморде, то яндекс вроде предупреждает.
Если Скачать архив себе и открыть в компе. То антивирус молчит гад.

(14) Там контора мелкая, ИТ нет. Поэтому отвечают пользователи. Вот надо их подстраховать.

Резервирование есть.
16 Сержант 1С
 
03.11.14
12:54
> Резервирование есть.

тогда забей, данные в безопасности, пусть шифруют. Чем быстрее получат криптопраздник, тем быстрее научатся думать головой
17 ifso
 
03.11.14
13:09
(0)
> Бла-бла-бла направляем вам акт сверки во вложении.
нихай заказным шлют )
18 ice777
 
03.11.14
13:10
амно каспер.
юзаю нод.
19 КонецЦикла
 
03.11.14
13:11
>>Кроме как обучения пользователя?

Ну это по-любому... а то натворят делов.
Пусть админа заведут хорошего, аутсортера.
Сейчас восстанавливаю базу после шифрования, в принципе получается. Последний архив (и то случайно) - у меня, апрельский. Пипец какая нудная работа...
20 DGorgoN
 
03.11.14
13:17
Да никак. Антивири не работают. Запрет скриптов во вложении поможет.
21 Сержант 1С
 
03.11.14
13:17
(18) нод реагирует на эту херь оперативнее, но тоже не панацея. А уж в корпоративных средах вообще не конкурент.
22 Сержант 1С
 
03.11.14
13:18
(20) они будут сохранять на рабочий стол и запускать оттуда )
23 DGorgoN
 
03.11.14
13:19
(22) Если есть свой почтовик - пусть не пускает.
24 ice777
 
03.11.14
13:20
(19) это нормально.
как вспомню, как у нас прогер год сидел с порнорекламой, так смех берет.
25 Alexor
 
03.11.14
13:26
А как запретить запуск скрипта?
26 Сержант 1С
 
03.11.14
13:28
лучше запретить на почтовике вложения *zip и *js
27 Alexor
 
03.11.14
13:31
(26) Так бывают шлют документы в архиве.

Вот как бы проверять в архиве на наличие js?
28 floody
 
03.11.14
13:38
Не открывать вложения не предлагать?
Бекап не предлагать?
29 GreatOne
 
03.11.14
13:48
Обратитесь к Zak555 (не знаю, как тут ссыль вставлять на пользователя), он с этим много воевал.

Вот кстати зашифрованы файлы keybtc@gmail_com
30 GreyK
 
03.11.14
14:25
(0) Попробуй убрать дописанную скриптом концовку.
31 maxnn
 
03.11.14
15:22
(0) Два раза сталкивался с подобной темой. Оба раза платили.

Один раз подобрали пароль по RDP от админа, Второй раз запустили файл в письме от известного контакта.
32 maxnn
 
03.11.14
15:25
А защита от этого - это только резервное копирование и запрет доступа к резервным копиям.
33 GreyK
 
03.11.14
15:38
+(30) Столкнулся с такой проблемой, поначитался кучу инфы про закодированные 128битным шифровальщиком файлы... Всё оказалось банально просто, скрипт дописывал к расширению файла свою дописку и всё на этом. Убрали все дописки и все заработало как прежде.
34 Torquader
 
05.11.14
00:28
Вообще-то, запрещаете запуск неизвестных exe-файлов, а также перенаправляете сценарии VbScript и т.п. на блокнот - и пусть открывают всё, что хотят.
35 Vexcel
 
05.11.14
01:02
Хотел скачать вирус, который выложили тут зашифрованы файлы keybtc@gmail_com, но НОД32 закричал и не дал скачивать. Таким образом НОД32 видет в этом вирус.
36 Death Moroz
 
05.11.14
01:31
(35) Мля... и почему я так жить не могу... блажен тот кто не ведает. Вытащи скрип и карантина замусори код "пару тройку абзацев из книги "Какой антивирус лучше? с пометкой Для чайников" и возрыдай над НОДом ;)
37 Jump
 
05.11.14
03:07
(0)То что антивирус не видит, это нормально. Шифратор вирусом не является.
По поводу как защититься - идеально помогает встроенный механизм теневого копирования.
38 13_Mult
 
05.11.14
07:50
Печально когда пользователи под админом работают.))
39 Chai Nic
 
05.11.14
08:09
(37) А разве теневые копии в несерверных виндах работают? Насколько я знаю, там их функциональность принудительно урезали до "сделать снапшот перед бэкапом, а после бэкапа удалить"
40 dmpl
 
05.11.14
08:13
(0) Пусть запускает в песочнице или виртуальной машине.
41 dmpl
 
05.11.14
08:15
(8) Естественно. Сигнатурный антивирус не найдет вирус до тех пор, пока он не будет добавлен в базу. А если вирус редкий и рассылается только "своим" - вероятность его попадания в базу минимальная.
42 dmpl
 
05.11.14
08:16
(15) Ну отключи интеграцию. Пусть акт сверки вручную из офиса открывают.
43 dmpl
 
05.11.14
08:21
(37) Это кто таким формализмом занимается? Антивирусы сейчас наоборот даже чистые кряки к программам или инструменты типа RAdmin за вирус считают...
44 DrZombi
 
гуру
05.11.14
08:49
(0) Организуй фильтр по вложенному, все что не относится к документу "Ворд, Ексель и т.д.", то не пропускается :)
45 DrZombi
 
гуру
05.11.14
08:50
(43) Вообще-то как правило, находится Кряк, который и антивирусном пропускается :)
Тут стоит задуматься, может все же там есть вирус? ;)
46 DrZombi
 
гуру
05.11.14
08:51
(15) Нерадивого Наказать, публично, денежно. Остальные начнут думать, что открывать :)
47 dmpl
 
05.11.14
09:02
(45) Дизассемблер говорит что нет (просто меняется несколько байтиков в exe-шнике). Просто прописана сигнатура этого файла. Например, на старый добрый проверенный wpa_kill многие ругаются.
48 DrZombi
 
гуру
05.11.14
09:16
(47) Боишься халявы, тогда плати деньгу :)
49 dmpl
 
05.11.14
09:53
(48) Дык я про то, что антивирусы сейчас катят бочку на вполне безобидные для пользователя программы, так с чего бы на известный шифровальщик резаной свиньей не завизжать?

P.S. Windows 8.1 коробочная без всяких скидок стоит от 4,5 тыр. - смысл свое время тратить на то, чтобы пиратку поставить?
50 Exec
 
05.11.14
09:56
(49) потому что это служебная, можно сказать, программа.
Юзерам просто стоит быть внимательней, во вложениях, как бы они не назывались - расширение js, да и значок не ворд-ексель, сразу видно.
У нас поймали :( Дрвеб и аваст не распознали
51 DrZombi
 
гуру
05.11.14
10:27
(49) Как читал статью, что к примеру Вирус написанный на той же Delphi будет пропущен антивирусником, мотивирую тем, что на Delphi не пишут вирусы :)

Чет все это пахнет Расизмом...
А еще есть информация, что вирусы из прошлого удаляются из антивирусной БД и сегодня его можно запустить в системе, как обычную добротную программку :)
52 vlandev
 
05.11.14
10:47
Вроде как в каком то касперском появился антишифратор , он на лету типа бэкапы делает шифруемых файлов.
53 Jump
 
05.11.14
12:40
(39)Теневые копии были и есть как в серверных так и в несерверных виндах.
Другое дело что интерфейс управления теневыми копиями там несколько испохабили, и привязали к архивации.
Т.е все работает только управлять через гуи не так удобно.

(43)А при чем тут формализм? Дело не в формальном определении, а в трудностях диагностики.
Антивирус определяет программу как вирус либо по совпадению сигнатуры, либо по шаблонам поведения. Поэтому они любят кряки и средства удаленного управления(трояны)
А шифровщик это чаще всего обычная программа запущенная пользователем, сигнатуры в базе нет, поведение нормальное, чего к нему цепляться.
54 Jump
 
05.11.14
12:43
(52)Шикарная инициатива, конечно от них много чего можно ожидать, но это вообще нечто. И что до сих пор кто то касперским пользуется с такими-то замашками?
55 IVT_2009
 
05.11.14
13:06
Версия КИС какая ? они заявляют что с 15й программа понимает что шифруют и блокирует процесс
56 IVT_2009
 
05.11.14
13:07
меня 2 мес назад только бэкап спас от этой напасти. Теперь стоит nas4free и на ftp все бэкапы заливаются. Расшареные ресурсы то же нафиг все пощифровал
57 Chai Nic
 
05.11.14
16:54
(53) Если бы всё определялось лишь гуем - появились бы альтернативные утилиты работы с теневыми копиями.. поскольку их нет - делаем вывод, что там не только в гуе дело, а сама по себе служба кастрирована.
58 MadJhey
 
05.11.14
17:26
У нас тоже ...
называется эбола. Системщики по потолку бегают.
59 MadJhey
 
05.11.14
17:27
файловые версии 7.7. 8.2. офис.
60 MadJhey
 
05.11.14
17:27
натуральный северный зверек.
61 Lama12
 
05.11.14
17:43
(51) Можно попытаться запустить. Только он не запустится. Попробуй запусти вирус для Dos. Он даже не запустится. Единственный антивирусник который у меня ругался на таких динозавров в Win7 это тренд микро. При этом безбожно тормозил систему пытаясь изолировать и вылечить досовский исполняемый файл, который в Win вообще бы не запустился.
62 romix
 
05.11.14
17:46
Скрипты не должны же запускаться в почте.
Можно все позапрещать в почтовой программе.
С Аутлюками вроде все централизованно.
63 Ksandr
 
05.11.14
18:04
Mac OS как оно не странно - выход.
У двух сотрудников в одной компании стоит Mac Mini, работают в нем, изредка открывая параллелс для работы с 1С.
Почти вся компания получила такие письма, кому акты сверки, кому письма из сбербанка.
Собственно почти все сотрудники и получили себе такой сюрприз.
Собственно те кто за маками - не открылось, да и фиг с ним.
Ну и даже если бы что-то и случилось - бэкап измененных файлов несколько раз в день на уровне ОС с простым и удобным интерфейсом для восстановления:
http://cdn.arstechnica.net/wp-content/uploads/2014/07/10.10-time-machine-980x612.jpg

Так что даже если бы им пришел бы вирус для мака от несертифицированного разработчика, они пошли бы в настройки системы в раздел безопасность и включили бы там запуск программ от несертифицированных разработчиков - последствия устранились бы за минуты.
64 18_plus
 
05.11.14
18:12
(63) джинса
65 Jump
 
05.11.14
19:08
(57)Если тебе не известны утилиты, то совсем не значит что их нет.
Утилита VSSAdmin для работы с теневыми копиями появилась более десяти лет назад, и до сих пор исправно работает на всех десктопных ОС от майкрософта.
66 Jump
 
05.11.14
19:10
+(65)И как они могли что то сделать с службой теневого копирования, если на нее чуть более чем полностью завязана вся архивация в семерке и восьмерке.
67 Beduin
 
05.11.14
19:13
А нельзя настроить, чтобы у пользователя только определенный список программ мог выполняться?!
68 romix
 
05.11.14
19:13
Я кстати для PKZIP делал приблуду для перехвата открывания небезопасного содержимого.
69 Jump
 
05.11.14
19:29
(67)А права для чего тебе?
70 Beduin
 
05.11.14
19:34
(69) Это я к проблеме в (0) Настроить список программ и все.
71 Chai Nic
 
05.11.14
19:38
(65) Эта утилита на XP может только сказать, что "я ничего не могу сделать"
72 Chai Nic
 
05.11.14
19:39
(66) Могли тупо запретить постоянные снапшоты. Служба то есть, но пользы от неё - только для бэкапа, чтобы создать временный снапшот.
73 Neg
 
05.11.14
20:20
(0) а нам тоже пришло, отправили касперскому, получили ответ, что они получили, теперь ждем ответ по письму.
74 Vladal
 
05.11.14
23:19
(29) Для никовбез пробелов добавить амперсад или вставить ссылку на профиль.
Например так:
GreatOne
@+GreaateOne = @GreateOne
Еще можно перетащить ник в окно сообщений.
75 Vladal
 
05.11.14
23:20
пардон, @ + GreatOne = GreatOne
76 Сержант 1С
 
06.11.14
00:17
(73) каспер эти вложения только на второй день ловит, специально трижды замеряли. Первым реагировал эссет из топовых. Эссет как правило уже лечил как только от юзеров начинают сыпаться вопросы.
77 DrZombi
 
гуру
06.11.14
06:55
(63) "Неуловимый Джо не потому что он не уловим, просто они никому не нужен" :)
78 dmpl
 
06.11.14
07:21
(77) Да ладно, совсем недавно же гулял "вирус", который описывал пользователю как запустить rm -rf на его эпплодевайсе под видом новой вкусняшки...
79 Chai Nic
 
06.11.14
07:38
(67) Можно конечно. Политиками. На сервере терминалов - обязательное условие.
80 dmpl
 
06.11.14
13:06
(77) Во, кстати, как по заказу:

http://top.rbc.ru/technology_and_media/06/11/2014/545b1b03cbb20fb1a191be74
81 Jump
 
07.11.14
01:33
(80)Ну никто не сомневался в этом.
Фишка в том что на макоси обычные вирусы к которым мы привыкли либо не работают, либо неэффективны.
Но это не значит что никаких угроз нет.

Пока система была малопопулярной, никто на нее ничего не писал, ибо смысла нет. А сейчас начали активно ломать.
Чего только стоит скандал с личными фотками звездных дамочек.
82 dmpl
 
07.11.14
08:32
(81) В том-то и дело, что некоторые всерьез думают, что вирусы - чисто Windows-овское изобретение. Даже несмотря на то, что первые вирусы были для *nix систем.

Да, вероятность подцепить заразу ниже, но по мере роста популярности платформы она будет только расти. Особенно удобна в этом плане Java - кроссплатформенность и дыры есть.
83 Лефмихалыч
 
07.11.14
09:53
бэкапить данные в облаках и не открывать всякое фуфло из вложений
84 Лефмихалыч
 
07.11.14
09:55
+(83) единственный способ защитить данные на компьютере пользователя - это не хранить данные на компьютере пользователя
85 cons74
 
10.11.14
15:21
А цены-то растут. В том году было 10.000руб, теперь словили то же самое, но уже на 35.000руб (((
86 cons74
 
10.11.14
16:07
В общем получилась мысль такая: NAS-сервер, который САМ подключается к боевому и СЧИТЫВАЕТ данные. При этом запись НА NAS закрыта.
Теперь вопрос: есть в конторе банка запыленная - какое ПО для указанной цели на неё поставить?
87 cons74
 
10.11.14
16:08
*я про NAS по-сути только аббревиатуру знаю Х-)
88 Jump
 
10.11.14
16:23
(86)А тебе винду или линукс?
89 18_plus
 
10.11.14
16:24
(87) nas - обычно обычный :) комп с поднятой самбой, nfs и пачкой разной полезности сервисов и утилит.
90 Йохохо
 
10.11.14
16:26
(86) сними галку выполнение в нтфс правах в папке скачивания и документов .. профит
91 18_plus
 
10.11.14
16:32
(89) + сам крутил только qnap. он под линхом. можно скрипт наваять, который, скажем, будет забирать из шары файлы. запускать кроном.
можно c хранилища подключаться и делать быкап (если только 1с или sql-база)
92 cons74
 
11.11.14
08:58
(88) не-не-не, ребята никакого линукса. Я ж на работе жить тогда буду.
93 18_plus
 
11.11.14
09:39
(92) да ну. один вечер посидеть, по инструкциям настроить и забыть.
94 18_plus
 
11.11.14
09:42
развернуть какой-нибудь freenas, настроить оповещения на почту, чтоб при нехватке места или ошибках быть в курсе.
95 cons74
 
11.11.14
10:04
(94) ну если инструкции есть и не на басурманском - так чего же вы молчите? Ссылки в студию!
96 cons74
 
11.11.14
10:05
или там как всегда "гугль знает"? Тогда уж нет, спасибо, плавали, знаем.
97 dmpl
 
11.11.14
10:07
(90) Можно вообще везде ее снять, дать только доверенным программам.
98 18_plus
 
11.11.14
10:07
(95) педевикия, freenas, раздел 'ссылки' - всё на русском и в картинках.
99 cons74
 
11.11.14
10:12
(98) спасибо