|
Как защититься от вируса из почтового вложения, шифрующего данные? | ☑ | ||
---|---|---|---|---|
0
Alexor
03.11.14
✎
12:29
|
Всем привет.
Есть ситуация. Пошла нездоровая волна. У клиентов. В почтовый ящик приходит письмо. Бла-бла-бла направляем вам акт сверки во вложении. С адреса их контрагента. Бушка естественно жмет архив. Там файл типа акта сверки, на самом деле скрипт. После чего, все доки шифрует и вымогает деньги. Стоит Каперский Интернет Секьюрити, обновляемый постоянно. Не видит он тут вируса. И доктор веб ни видит. Как защититься от такой напасти? Кроме как обучения пользователя? |
|||
1
raykom
03.11.14
✎
12:31
|
Включить в настройках антивируса проверку почты . Не ?
|
|||
2
raykom
03.11.14
✎
12:32
|
Отправить в Др Веб или в Каспера, что бы включили сигнатуру в базу ...
|
|||
3
raykom
03.11.14
✎
12:33
|
Я почти Кэп ...
|
|||
4
Сержант 1С
03.11.14
✎
12:33
|
каспер от нулевых редко помогает
|
|||
5
Alexor
03.11.14
✎
12:33
|
(1) Почта через вебинтерфейс Яндекса.
|
|||
6
Alexor
03.11.14
✎
12:34
|
(4) В сторону чего смотреть?
|
|||
7
Alexor
03.11.14
✎
12:34
|
(2) Это поможет от запуска бушкой?
|
|||
8
Alexor
03.11.14
✎
12:35
|
(1) Да этот файл даже извлекли.
Прогнали через каспер. Не видит он там ничего. |
|||
9
Сержант 1С
03.11.14
✎
12:35
|
(6) в сторону грамотной организации хранения и резервирования данных
|
|||
10
raykom
03.11.14
✎
12:36
|
(5)Перенаправь в ТП Яндекса. Пусть у них все там зашифрует.
Сразу найдут решение. |
|||
11
Сержант 1С
03.11.14
✎
12:37
|
проще всего дать людям квоту на обьем, который надежно резервируется. И обьяснить, что вот даша забила на наши предупреждения, жмет чо попало в почте, поэтому у нее доки зашифровались и не стало квартальной премии.
не хотите задней боли - вот вам безопасное хранилище, за остальное айти отвечать не может |
|||
12
raykom
03.11.14
✎
12:37
|
(7)Ну как правило срабатывание происходит при открытии в интерфейсе почты. Или при переходе по ссылкам, которые в письмах левых.
Нахер они вообще открывают письма которые не ждут ? |
|||
13
Сержант 1С
03.11.14
✎
12:38
|
можно включать "версии файлов", можно теневые копии, но это гемор
|
|||
14
Сержант 1С
03.11.14
✎
12:39
|
> Нахер они вообще открывают письма которые не ждут ?
а почему бы им не открывать? отвечать-то будет айти. Редко где пользователь несет ответственность за свои действия. |
|||
15
Alexor
03.11.14
✎
12:51
|
(12) Там причем если открыть архив на вебморде, то яндекс вроде предупреждает.
Если Скачать архив себе и открыть в компе. То антивирус молчит гад. (14) Там контора мелкая, ИТ нет. Поэтому отвечают пользователи. Вот надо их подстраховать. Резервирование есть. |
|||
16
Сержант 1С
03.11.14
✎
12:54
|
> Резервирование есть.
тогда забей, данные в безопасности, пусть шифруют. Чем быстрее получат криптопраздник, тем быстрее научатся думать головой |
|||
17
ifso
03.11.14
✎
13:09
|
(0)
> Бла-бла-бла направляем вам акт сверки во вложении. нихай заказным шлют ) |
|||
18
ice777
03.11.14
✎
13:10
|
амно каспер.
юзаю нод. |
|||
19
КонецЦикла
03.11.14
✎
13:11
|
>>Кроме как обучения пользователя?
Ну это по-любому... а то натворят делов. Пусть админа заведут хорошего, аутсортера. Сейчас восстанавливаю базу после шифрования, в принципе получается. Последний архив (и то случайно) - у меня, апрельский. Пипец какая нудная работа... |
|||
20
DGorgoN
03.11.14
✎
13:17
|
Да никак. Антивири не работают. Запрет скриптов во вложении поможет.
|
|||
21
Сержант 1С
03.11.14
✎
13:17
|
(18) нод реагирует на эту херь оперативнее, но тоже не панацея. А уж в корпоративных средах вообще не конкурент.
|
|||
22
Сержант 1С
03.11.14
✎
13:18
|
(20) они будут сохранять на рабочий стол и запускать оттуда )
|
|||
23
DGorgoN
03.11.14
✎
13:19
|
(22) Если есть свой почтовик - пусть не пускает.
|
|||
24
ice777
03.11.14
✎
13:20
|
(19) это нормально.
как вспомню, как у нас прогер год сидел с порнорекламой, так смех берет. |
|||
25
Alexor
03.11.14
✎
13:26
|
А как запретить запуск скрипта?
|
|||
26
Сержант 1С
03.11.14
✎
13:28
|
лучше запретить на почтовике вложения *zip и *js
|
|||
27
Alexor
03.11.14
✎
13:31
|
(26) Так бывают шлют документы в архиве.
Вот как бы проверять в архиве на наличие js? |
|||
28
floody
03.11.14
✎
13:38
|
Не открывать вложения не предлагать?
Бекап не предлагать? |
|||
29
GreatOne
03.11.14
✎
13:48
|
Обратитесь к Zak555 (не знаю, как тут ссыль вставлять на пользователя), он с этим много воевал.
Вот кстати зашифрованы файлы keybtc@gmail_com |
|||
30
GreyK
03.11.14
✎
14:25
|
(0) Попробуй убрать дописанную скриптом концовку.
|
|||
31
maxnn
03.11.14
✎
15:22
|
(0) Два раза сталкивался с подобной темой. Оба раза платили.
Один раз подобрали пароль по RDP от админа, Второй раз запустили файл в письме от известного контакта. |
|||
32
maxnn
03.11.14
✎
15:25
|
А защита от этого - это только резервное копирование и запрет доступа к резервным копиям.
|
|||
33
GreyK
03.11.14
✎
15:38
|
+(30) Столкнулся с такой проблемой, поначитался кучу инфы про закодированные 128битным шифровальщиком файлы... Всё оказалось банально просто, скрипт дописывал к расширению файла свою дописку и всё на этом. Убрали все дописки и все заработало как прежде.
|
|||
34
Torquader
05.11.14
✎
00:28
|
Вообще-то, запрещаете запуск неизвестных exe-файлов, а также перенаправляете сценарии VbScript и т.п. на блокнот - и пусть открывают всё, что хотят.
|
|||
35
Vexcel
05.11.14
✎
01:02
|
Хотел скачать вирус, который выложили тут зашифрованы файлы keybtc@gmail_com, но НОД32 закричал и не дал скачивать. Таким образом НОД32 видет в этом вирус.
|
|||
36
Death Moroz
05.11.14
✎
01:31
|
(35) Мля... и почему я так жить не могу... блажен тот кто не ведает. Вытащи скрип и карантина замусори код "пару тройку абзацев из книги "Какой антивирус лучше? с пометкой Для чайников" и возрыдай над НОДом ;)
|
|||
37
Jump
05.11.14
✎
03:07
|
(0)То что антивирус не видит, это нормально. Шифратор вирусом не является.
По поводу как защититься - идеально помогает встроенный механизм теневого копирования. |
|||
38
13_Mult
05.11.14
✎
07:50
|
Печально когда пользователи под админом работают.))
|
|||
39
Chai Nic
05.11.14
✎
08:09
|
(37) А разве теневые копии в несерверных виндах работают? Насколько я знаю, там их функциональность принудительно урезали до "сделать снапшот перед бэкапом, а после бэкапа удалить"
|
|||
40
dmpl
05.11.14
✎
08:13
|
(0) Пусть запускает в песочнице или виртуальной машине.
|
|||
41
dmpl
05.11.14
✎
08:15
|
(8) Естественно. Сигнатурный антивирус не найдет вирус до тех пор, пока он не будет добавлен в базу. А если вирус редкий и рассылается только "своим" - вероятность его попадания в базу минимальная.
|
|||
42
dmpl
05.11.14
✎
08:16
|
(15) Ну отключи интеграцию. Пусть акт сверки вручную из офиса открывают.
|
|||
43
dmpl
05.11.14
✎
08:21
|
(37) Это кто таким формализмом занимается? Антивирусы сейчас наоборот даже чистые кряки к программам или инструменты типа RAdmin за вирус считают...
|
|||
44
DrZombi
гуру
05.11.14
✎
08:49
|
(0) Организуй фильтр по вложенному, все что не относится к документу "Ворд, Ексель и т.д.", то не пропускается :)
|
|||
45
DrZombi
гуру
05.11.14
✎
08:50
|
(43) Вообще-то как правило, находится Кряк, который и антивирусном пропускается :)
Тут стоит задуматься, может все же там есть вирус? ;) |
|||
46
DrZombi
гуру
05.11.14
✎
08:51
|
(15) Нерадивого Наказать, публично, денежно. Остальные начнут думать, что открывать :)
|
|||
47
dmpl
05.11.14
✎
09:02
|
(45) Дизассемблер говорит что нет (просто меняется несколько байтиков в exe-шнике). Просто прописана сигнатура этого файла. Например, на старый добрый проверенный wpa_kill многие ругаются.
|
|||
48
DrZombi
гуру
05.11.14
✎
09:16
|
(47) Боишься халявы, тогда плати деньгу :)
|
|||
49
dmpl
05.11.14
✎
09:53
|
(48) Дык я про то, что антивирусы сейчас катят бочку на вполне безобидные для пользователя программы, так с чего бы на известный шифровальщик резаной свиньей не завизжать?
P.S. Windows 8.1 коробочная без всяких скидок стоит от 4,5 тыр. - смысл свое время тратить на то, чтобы пиратку поставить? |
|||
50
Exec
05.11.14
✎
09:56
|
(49) потому что это служебная, можно сказать, программа.
Юзерам просто стоит быть внимательней, во вложениях, как бы они не назывались - расширение js, да и значок не ворд-ексель, сразу видно. У нас поймали :( Дрвеб и аваст не распознали |
|||
51
DrZombi
гуру
05.11.14
✎
10:27
|
(49) Как читал статью, что к примеру Вирус написанный на той же Delphi будет пропущен антивирусником, мотивирую тем, что на Delphi не пишут вирусы :)
Чет все это пахнет Расизмом... А еще есть информация, что вирусы из прошлого удаляются из антивирусной БД и сегодня его можно запустить в системе, как обычную добротную программку :) |
|||
52
vlandev
05.11.14
✎
10:47
|
Вроде как в каком то касперском появился антишифратор , он на лету типа бэкапы делает шифруемых файлов.
|
|||
53
Jump
05.11.14
✎
12:40
|
(39)Теневые копии были и есть как в серверных так и в несерверных виндах.
Другое дело что интерфейс управления теневыми копиями там несколько испохабили, и привязали к архивации. Т.е все работает только управлять через гуи не так удобно. (43)А при чем тут формализм? Дело не в формальном определении, а в трудностях диагностики. Антивирус определяет программу как вирус либо по совпадению сигнатуры, либо по шаблонам поведения. Поэтому они любят кряки и средства удаленного управления(трояны) А шифровщик это чаще всего обычная программа запущенная пользователем, сигнатуры в базе нет, поведение нормальное, чего к нему цепляться. |
|||
54
Jump
05.11.14
✎
12:43
|
(52)Шикарная инициатива, конечно от них много чего можно ожидать, но это вообще нечто. И что до сих пор кто то касперским пользуется с такими-то замашками?
|
|||
55
IVT_2009
05.11.14
✎
13:06
|
Версия КИС какая ? они заявляют что с 15й программа понимает что шифруют и блокирует процесс
|
|||
56
IVT_2009
05.11.14
✎
13:07
|
меня 2 мес назад только бэкап спас от этой напасти. Теперь стоит nas4free и на ftp все бэкапы заливаются. Расшареные ресурсы то же нафиг все пощифровал
|
|||
57
Chai Nic
05.11.14
✎
16:54
|
(53) Если бы всё определялось лишь гуем - появились бы альтернативные утилиты работы с теневыми копиями.. поскольку их нет - делаем вывод, что там не только в гуе дело, а сама по себе служба кастрирована.
|
|||
58
MadJhey
05.11.14
✎
17:26
|
У нас тоже ...
называется эбола. Системщики по потолку бегают. |
|||
59
MadJhey
05.11.14
✎
17:27
|
файловые версии 7.7. 8.2. офис.
|
|||
60
MadJhey
05.11.14
✎
17:27
|
натуральный северный зверек.
|
|||
61
Lama12
05.11.14
✎
17:43
|
(51) Можно попытаться запустить. Только он не запустится. Попробуй запусти вирус для Dos. Он даже не запустится. Единственный антивирусник который у меня ругался на таких динозавров в Win7 это тренд микро. При этом безбожно тормозил систему пытаясь изолировать и вылечить досовский исполняемый файл, который в Win вообще бы не запустился.
|
|||
62
romix
05.11.14
✎
17:46
|
Скрипты не должны же запускаться в почте.
Можно все позапрещать в почтовой программе. С Аутлюками вроде все централизованно. |
|||
63
Ksandr
05.11.14
✎
18:04
|
Mac OS как оно не странно - выход.
У двух сотрудников в одной компании стоит Mac Mini, работают в нем, изредка открывая параллелс для работы с 1С. Почти вся компания получила такие письма, кому акты сверки, кому письма из сбербанка. Собственно почти все сотрудники и получили себе такой сюрприз. Собственно те кто за маками - не открылось, да и фиг с ним. Ну и даже если бы что-то и случилось - бэкап измененных файлов несколько раз в день на уровне ОС с простым и удобным интерфейсом для восстановления: http://cdn.arstechnica.net/wp-content/uploads/2014/07/10.10-time-machine-980x612.jpg Так что даже если бы им пришел бы вирус для мака от несертифицированного разработчика, они пошли бы в настройки системы в раздел безопасность и включили бы там запуск программ от несертифицированных разработчиков - последствия устранились бы за минуты. |
|||
64
18_plus
05.11.14
✎
18:12
|
(63) джинса
|
|||
65
Jump
05.11.14
✎
19:08
|
(57)Если тебе не известны утилиты, то совсем не значит что их нет.
Утилита VSSAdmin для работы с теневыми копиями появилась более десяти лет назад, и до сих пор исправно работает на всех десктопных ОС от майкрософта. |
|||
66
Jump
05.11.14
✎
19:10
|
+(65)И как они могли что то сделать с службой теневого копирования, если на нее чуть более чем полностью завязана вся архивация в семерке и восьмерке.
|
|||
67
Beduin
05.11.14
✎
19:13
|
А нельзя настроить, чтобы у пользователя только определенный список программ мог выполняться?!
|
|||
68
romix
05.11.14
✎
19:13
|
Я кстати для PKZIP делал приблуду для перехвата открывания небезопасного содержимого.
|
|||
69
Jump
05.11.14
✎
19:29
|
(67)А права для чего тебе?
|
|||
70
Beduin
05.11.14
✎
19:34
|
(69) Это я к проблеме в (0) Настроить список программ и все.
|
|||
71
Chai Nic
05.11.14
✎
19:38
|
(65) Эта утилита на XP может только сказать, что "я ничего не могу сделать"
|
|||
72
Chai Nic
05.11.14
✎
19:39
|
(66) Могли тупо запретить постоянные снапшоты. Служба то есть, но пользы от неё - только для бэкапа, чтобы создать временный снапшот.
|
|||
73
Neg
05.11.14
✎
20:20
|
(0) а нам тоже пришло, отправили касперскому, получили ответ, что они получили, теперь ждем ответ по письму.
|
|||
74
Vladal
05.11.14
✎
23:19
|
(29) Для никовбез пробелов добавить амперсад или вставить ссылку на профиль.
Например так: GreatOne @+GreaateOne = @GreateOne Еще можно перетащить ник в окно сообщений. |
|||
75
Vladal
05.11.14
✎
23:20
|
пардон, @ + GreatOne = GreatOne
|
|||
76
Сержант 1С
06.11.14
✎
00:17
|
(73) каспер эти вложения только на второй день ловит, специально трижды замеряли. Первым реагировал эссет из топовых. Эссет как правило уже лечил как только от юзеров начинают сыпаться вопросы.
|
|||
77
DrZombi
гуру
06.11.14
✎
06:55
|
(63) "Неуловимый Джо не потому что он не уловим, просто они никому не нужен" :)
|
|||
78
dmpl
06.11.14
✎
07:21
|
(77) Да ладно, совсем недавно же гулял "вирус", который описывал пользователю как запустить rm -rf на его эпплодевайсе под видом новой вкусняшки...
|
|||
79
Chai Nic
06.11.14
✎
07:38
|
(67) Можно конечно. Политиками. На сервере терминалов - обязательное условие.
|
|||
80
dmpl
06.11.14
✎
13:06
|
(77) Во, кстати, как по заказу:
http://top.rbc.ru/technology_and_media/06/11/2014/545b1b03cbb20fb1a191be74 |
|||
81
Jump
07.11.14
✎
01:33
|
(80)Ну никто не сомневался в этом.
Фишка в том что на макоси обычные вирусы к которым мы привыкли либо не работают, либо неэффективны. Но это не значит что никаких угроз нет. Пока система была малопопулярной, никто на нее ничего не писал, ибо смысла нет. А сейчас начали активно ломать. Чего только стоит скандал с личными фотками звездных дамочек. |
|||
82
dmpl
07.11.14
✎
08:32
|
(81) В том-то и дело, что некоторые всерьез думают, что вирусы - чисто Windows-овское изобретение. Даже несмотря на то, что первые вирусы были для *nix систем.
Да, вероятность подцепить заразу ниже, но по мере роста популярности платформы она будет только расти. Особенно удобна в этом плане Java - кроссплатформенность и дыры есть. |
|||
83
Лефмихалыч
07.11.14
✎
09:53
|
бэкапить данные в облаках и не открывать всякое фуфло из вложений
|
|||
84
Лефмихалыч
07.11.14
✎
09:55
|
+(83) единственный способ защитить данные на компьютере пользователя - это не хранить данные на компьютере пользователя
|
|||
85
cons74
10.11.14
✎
15:21
|
А цены-то растут. В том году было 10.000руб, теперь словили то же самое, но уже на 35.000руб (((
|
|||
86
cons74
10.11.14
✎
16:07
|
В общем получилась мысль такая: NAS-сервер, который САМ подключается к боевому и СЧИТЫВАЕТ данные. При этом запись НА NAS закрыта.
Теперь вопрос: есть в конторе банка запыленная - какое ПО для указанной цели на неё поставить? |
|||
87
cons74
10.11.14
✎
16:08
|
*я про NAS по-сути только аббревиатуру знаю Х-)
|
|||
88
Jump
10.11.14
✎
16:23
|
(86)А тебе винду или линукс?
|
|||
89
18_plus
10.11.14
✎
16:24
|
(87) nas - обычно обычный :) комп с поднятой самбой, nfs и пачкой разной полезности сервисов и утилит.
|
|||
90
Йохохо
10.11.14
✎
16:26
|
(86) сними галку выполнение в нтфс правах в папке скачивания и документов .. профит
|
|||
91
18_plus
10.11.14
✎
16:32
|
(89) + сам крутил только qnap. он под линхом. можно скрипт наваять, который, скажем, будет забирать из шары файлы. запускать кроном.
можно c хранилища подключаться и делать быкап (если только 1с или sql-база) |
|||
92
cons74
11.11.14
✎
08:58
|
(88) не-не-не, ребята никакого линукса. Я ж на работе жить тогда буду.
|
|||
93
18_plus
11.11.14
✎
09:39
|
(92) да ну. один вечер посидеть, по инструкциям настроить и забыть.
|
|||
94
18_plus
11.11.14
✎
09:42
|
развернуть какой-нибудь freenas, настроить оповещения на почту, чтоб при нехватке места или ошибках быть в курсе.
|
|||
95
cons74
11.11.14
✎
10:04
|
(94) ну если инструкции есть и не на басурманском - так чего же вы молчите? Ссылки в студию!
|
|||
96
cons74
11.11.14
✎
10:05
|
или там как всегда "гугль знает"? Тогда уж нет, спасибо, плавали, знаем.
|
|||
97
dmpl
11.11.14
✎
10:07
|
(90) Можно вообще везде ее снять, дать только доверенным программам.
|
|||
98
18_plus
11.11.14
✎
10:07
|
(95) педевикия, freenas, раздел 'ссылки' - всё на русском и в картинках.
|
|||
99
cons74
11.11.14
✎
10:12
|
(98) спасибо
|
Форум | Правила | Описание | Объявления | Секции | Поиск | Книга знаний | Вики-миста |