Всем привет.

Есть ситуация. Пошла нездоровая волна.

У клиентов.
В почтовый ящик приходит письмо.
Бла-бла-бла направляем вам акт сверки во вложении. С адреса их контрагента.
Бушка естественно жмет архив. Там файл типа акта сверки, на самом деле скрипт.

После чего,  все доки шифрует и вымогает деньги.

Стоит Каперский Интернет Секьюрити, обновляемый постоянно.
Не видит он тут вируса. И доктор веб ни видит.

Как защититься от такой напасти?
Кроме как обучения пользователя?

Включить в настройках антивируса проверку почты . Не ?

Отправить в Др Веб или в Каспера, что бы включили сигнатуру в базу ...

Я почти Кэп ...

каспер от нулевых редко помогает

(1) Почта через вебинтерфейс Яндекса.

(4) В сторону чего смотреть?

(2) Это поможет от запуска бушкой?

(1) Да этот файл даже извлекли.
Прогнали через каспер. Не видит он там ничего.

(6) в сторону грамотной организации хранения и резервирования данных

(5)Перенаправь в ТП Яндекса. Пусть у них все там зашифрует.
Сразу найдут решение.

проще всего дать людям квоту на обьем, который надежно резервируется. И обьяснить, что вот даша забила на наши предупреждения, жмет чо попало в почте, поэтому у нее доки зашифровались и не стало квартальной премии.

не хотите задней боли - вот вам безопасное хранилище, за остальное айти отвечать не может

(7)Ну как правило срабатывание происходит при открытии в интерфейсе почты. Или при переходе по ссылкам, которые в письмах левых.
Нахер они вообще открывают письма которые не ждут ?

можно включать "версии файлов", можно теневые копии, но это гемор

> Нахер они вообще открывают письма которые не ждут ?

а почему бы им не открывать? отвечать-то будет айти. Редко где пользователь несет ответственность за свои действия.

(12) Там причем если открыть архив на вебморде, то яндекс вроде предупреждает.
Если Скачать архив себе и открыть в компе. То антивирус молчит гад.

(14) Там контора мелкая, ИТ нет. Поэтому отвечают пользователи. Вот надо их подстраховать.

Резервирование есть.

> Резервирование есть.

тогда забей, данные в безопасности, пусть шифруют. Чем быстрее получат криптопраздник, тем быстрее научатся думать головой

(0)
> Бла-бла-бла направляем вам акт сверки во вложении.
нихай заказным шлют )

амно каспер.
юзаю нод.

>>Кроме как обучения пользователя?

Ну это по-любому... а то натворят делов.
Пусть админа заведут хорошего, аутсортера.
Сейчас восстанавливаю базу после шифрования, в принципе получается. Последний архив (и то случайно) - у меня, апрельский. Пипец какая нудная работа...

Да никак. Антивири не работают. Запрет скриптов во вложении поможет.

(18) нод реагирует на эту херь оперативнее, но тоже не панацея. А уж в корпоративных средах вообще не конкурент.

(20) они будут сохранять на рабочий стол и запускать оттуда )

(22) Если есть свой почтовик - пусть не пускает.

(19) это нормально.
как вспомню, как у нас прогер год сидел с порнорекламой, так смех берет.

А как запретить запуск скрипта?

лучше запретить на почтовике вложения *zip и *js

(26) Так бывают шлют документы в архиве.

Вот как бы проверять в архиве на наличие js?

Не открывать вложения не предлагать?
Бекап не предлагать?

Обратитесь к Zak555 (не знаю, как тут ссыль вставлять на пользователя), он с этим много воевал.

Вот кстати зашифрованы файлы keybtc@gmail_com

(0) Попробуй убрать дописанную скриптом концовку.

(0) Два раза сталкивался с подобной темой. Оба раза платили.

Один раз подобрали пароль по RDP от админа, Второй раз запустили файл в письме от известного контакта.

А защита от этого - это только резервное копирование и запрет доступа к резервным копиям.

+(30) Столкнулся с такой проблемой, поначитался кучу инфы про закодированные 128битным шифровальщиком файлы... Всё оказалось банально просто, скрипт дописывал к расширению файла свою дописку и всё на этом. Убрали все дописки и все заработало как прежде.

Вообще-то, запрещаете запуск неизвестных exe-файлов, а также перенаправляете сценарии VbScript и т.п. на блокнот - и пусть открывают всё, что хотят.

Хотел скачать вирус, который выложили тут зашифрованы файлы keybtc@gmail_com, но НОД32 закричал и не дал скачивать. Таким образом НОД32 видет в этом вирус.

(35) Мля... и почему я так жить не могу... блажен тот кто не ведает. Вытащи скрип и карантина замусори код "пару тройку абзацев из книги "Какой антивирус лучше? с пометкой Для чайников" и возрыдай над НОДом ;)

(0)То что антивирус не видит, это нормально. Шифратор вирусом не является.
По поводу как защититься - идеально помогает встроенный механизм теневого копирования.

Печально когда пользователи под админом работают.))

(37) А разве теневые копии в несерверных виндах работают? Насколько я знаю, там их функциональность принудительно урезали до "сделать снапшот перед бэкапом, а после бэкапа удалить"

(0) Пусть запускает в песочнице или виртуальной машине.

(8) Естественно. Сигнатурный антивирус не найдет вирус до тех пор, пока он не будет добавлен в базу. А если вирус редкий и рассылается только "своим" - вероятность его попадания в базу минимальная.

(15) Ну отключи интеграцию. Пусть акт сверки вручную из офиса открывают.

(37) Это кто таким формализмом занимается? Антивирусы сейчас наоборот даже чистые кряки к программам или инструменты типа RAdmin за вирус считают...

(0) Организуй фильтр по вложенному, все что не относится к документу "Ворд, Ексель и т.д.", то не пропускается :)

(43) Вообще-то как правило, находится Кряк, который и антивирусном пропускается :)
Тут стоит задуматься, может все же там есть вирус? ;)

(15) Нерадивого Наказать, публично, денежно. Остальные начнут думать, что открывать :)

(45) Дизассемблер говорит что нет (просто меняется несколько байтиков в exe-шнике). Просто прописана сигнатура этого файла. Например, на старый добрый проверенный wpa_kill многие ругаются.

(47) Боишься халявы, тогда плати деньгу :)

(48) Дык я про то, что антивирусы сейчас катят бочку на вполне безобидные для пользователя программы, так с чего бы на известный шифровальщик резаной свиньей не завизжать?

P.S. Windows 8.1 коробочная без всяких скидок стоит от 4,5 тыр. - смысл свое время тратить на то, чтобы пиратку поставить?

(49) потому что это служебная, можно сказать, программа.
Юзерам просто стоит быть внимательней, во вложениях, как бы они не назывались - расширение js, да и значок не ворд-ексель, сразу видно.
У нас поймали :( Дрвеб и аваст не распознали

(49) Как читал статью, что к примеру Вирус написанный на той же Delphi будет пропущен антивирусником, мотивирую тем, что на Delphi не пишут вирусы :)

Чет все это пахнет Расизмом...
А еще есть информация, что вирусы из прошлого удаляются из антивирусной БД и сегодня его можно запустить в системе, как обычную добротную программку :)

Вроде как в каком то касперском появился антишифратор , он на лету типа бэкапы делает шифруемых файлов.

(39)Теневые копии были и есть как в серверных так и в несерверных виндах.
Другое дело что интерфейс управления теневыми копиями там несколько испохабили, и привязали к архивации.
Т.е все работает только управлять через гуи не так удобно.

(43)А при чем тут формализм? Дело не в формальном определении, а в трудностях диагностики.
Антивирус определяет программу как вирус либо по совпадению сигнатуры, либо по шаблонам поведения. Поэтому они любят кряки и средства удаленного управления(трояны)
А шифровщик это чаще всего обычная программа запущенная пользователем, сигнатуры в базе нет, поведение нормальное, чего к нему цепляться.

(52)Шикарная инициатива, конечно от них много чего можно ожидать, но это вообще нечто. И что до сих пор кто то касперским пользуется с такими-то замашками?

Версия КИС какая ? они заявляют что с 15й программа понимает что шифруют и блокирует процесс

меня 2 мес назад только бэкап спас от этой напасти. Теперь стоит nas4free и на ftp все бэкапы заливаются. Расшареные ресурсы то же нафиг все пощифровал

(53) Если бы всё определялось лишь гуем - появились бы альтернативные утилиты работы с теневыми копиями.. поскольку их нет - делаем вывод, что там не только в гуе дело, а сама по себе служба кастрирована.

У нас тоже ...
называется эбола. Системщики по потолку бегают.

файловые версии 7.7. 8.2. офис.

натуральный северный зверек.

(51) Можно попытаться запустить. Только он не запустится. Попробуй запусти вирус для Dos. Он даже не запустится. Единственный антивирусник который у меня ругался на таких динозавров в Win7 это тренд микро. При этом безбожно тормозил систему пытаясь изолировать и вылечить досовский исполняемый файл, который в Win вообще бы не запустился.

Скрипты не должны же запускаться в почте.
Можно все позапрещать в почтовой программе.
С Аутлюками вроде все централизованно.

Mac OS как оно не странно - выход.
У двух сотрудников в одной компании стоит Mac Mini, работают в нем, изредка открывая параллелс для работы с 1С.
Почти вся компания получила такие письма, кому акты сверки, кому письма из сбербанка.
Собственно почти все сотрудники и получили себе такой сюрприз.
Собственно те кто за маками - не открылось, да и фиг с ним.
Ну и даже если бы что-то и случилось - бэкап измененных файлов несколько раз в день на уровне ОС с простым и удобным интерфейсом для восстановления:
http://cdn.arstechnica.net/wp-content/uploads/2014/07/10.10-time-machine-980x612.jpg

Так что даже если бы им пришел бы вирус для мака от несертифицированного разработчика, они пошли бы в настройки системы в раздел безопасность и включили бы там запуск программ от несертифицированных разработчиков - последствия устранились бы за минуты.

(63) джинса

(57)Если тебе не известны утилиты, то совсем не значит что их нет.
Утилита VSSAdmin для работы с теневыми копиями появилась более десяти лет назад, и до сих пор исправно работает на всех десктопных ОС от майкрософта.

+(65)И как они могли что то сделать с службой теневого копирования, если на нее чуть более чем полностью завязана вся архивация в семерке и восьмерке.

А нельзя настроить, чтобы у пользователя только определенный список программ мог выполняться?!

Я кстати для PKZIP делал приблуду для перехвата открывания небезопасного содержимого.

(67)А права для чего тебе?

(69) Это я к проблеме в (0) Настроить список программ и все.

(65) Эта утилита на XP может только сказать, что "я ничего не могу сделать"

(66) Могли тупо запретить постоянные снапшоты. Служба то есть, но пользы от неё - только для бэкапа, чтобы создать временный снапшот.

(0) а нам тоже пришло, отправили касперскому, получили ответ, что они получили, теперь ждем ответ по письму.

(29) Для никовбез пробелов добавить амперсад или вставить ссылку на профиль.
Например так:
GreatOne
@+GreaateOne = @GreateOne
Еще можно перетащить ник в окно сообщений.

пардон, @ + GreatOne = GreatOne

(73) каспер эти вложения только на второй день ловит, специально трижды замеряли. Первым реагировал эссет из топовых. Эссет как правило уже лечил как только от юзеров начинают сыпаться вопросы.

(63) "Неуловимый Джо не потому что он не уловим, просто они никому не нужен" :)

(77) Да ладно, совсем недавно же гулял "вирус", который описывал пользователю как запустить rm -rf на его эпплодевайсе под видом новой вкусняшки...

(67) Можно конечно. Политиками. На сервере терминалов - обязательное условие.

(77) Во, кстати, как по заказу:

http://top.rbc.ru/technology_and_media/06/11/2014/545b1b03cbb20fb1a191be74

(80)Ну никто не сомневался в этом.
Фишка в том что на макоси обычные вирусы к которым мы привыкли либо не работают, либо неэффективны.
Но это не значит что никаких угроз нет.

Пока система была малопопулярной, никто на нее ничего не писал, ибо смысла нет. А сейчас начали активно ломать.
Чего только стоит скандал с личными фотками звездных дамочек.

(81) В том-то и дело, что некоторые всерьез думают, что вирусы - чисто Windows-овское изобретение. Даже несмотря на то, что первые вирусы были для *nix систем.

Да, вероятность подцепить заразу ниже, но по мере роста популярности платформы она будет только расти. Особенно удобна в этом плане Java - кроссплатформенность и дыры есть.

бэкапить данные в облаках и не открывать всякое фуфло из вложений

+(83) единственный способ защитить данные на компьютере пользователя - это не хранить данные на компьютере пользователя

А цены-то растут. В том году было 10.000руб, теперь словили то же самое, но уже на 35.000руб (((

В общем получилась мысль такая: NAS-сервер, который САМ подключается к боевому и СЧИТЫВАЕТ данные. При этом запись НА NAS закрыта.
Теперь вопрос: есть в конторе банка запыленная - какое ПО для указанной цели на неё поставить?

*я про NAS по-сути только аббревиатуру знаю Х-)

(86)А тебе винду или линукс?

(87) nas - обычно обычный :) комп с поднятой самбой, nfs и пачкой разной полезности сервисов и утилит.

(86) сними галку выполнение в нтфс правах в папке скачивания и документов .. профит

(89) + сам крутил только qnap. он под линхом. можно скрипт наваять, который, скажем, будет забирать из шары файлы. запускать кроном.
можно c хранилища подключаться и делать быкап (если только 1с или sql-база)

(88) не-не-не, ребята никакого линукса. Я ж на работе жить тогда буду.

(92) да ну. один вечер посидеть, по инструкциям настроить и забыть.

развернуть какой-нибудь freenas, настроить оповещения на почту, чтоб при нехватке места или ошибках быть в курсе.

(94) ну если инструкции есть и не на басурманском - так чего же вы молчите? Ссылки в студию!

или там как всегда "гугль знает"? Тогда уж нет, спасибо, плавали, знаем.

(90) Можно вообще везде ее снять, дать только доверенным программам.

(95) педевикия, freenas, раздел 'ссылки' - всё на русском и в картинках.

(98) спасибо