Имя: Пароль:
IT
Админ
как защитится от шифровальщиков?
,
0 vde69
 
11.03.15
09:37
собственно переодически всплывают темы "у нас все пропало, вирус все зашифровал", не минула сия чаша и нашу компанию, разумеется с 1с все нормально, но у юзеров почта, ексельки и прочее навернулось.

хотелось-бы реальных советов как защищатся...

сразу скажу, что НЕ РАБОТАЕТ
1. антивирусы - не работают, по тому как это не вирус...
2. файловые права - не работают, по тому как шифруются данные пользователя а на них права нужны
3. запрет ява, вб, актив-х и прочего, тогда не работают клиент банк, тендерные площадки и еще много чего полезного...
104 Torquader
 
12.03.15
13:28
Отдельный комп для интернета спасает от шифровальщиков только частично, а зато использование flash-дисков позволяет разносить "традиционные" вирусы.
Очень труднопобедимыми оказались вирусы, которые ставят в exe-файл иконку папки, а папку с файлами скрывают - в итоге - ничего не понимающий пользователь "запускает" такую папку на ура.
105 zyto
 
12.03.15
13:32
(0)Уже отвечал на вопрос какой антивирус?
106 Krendel
 
12.03.15
13:35
Храните файлы в документообороте, работайте под терминалами с ограниченным запуском программ и будет вам счастье
107 Сержант 1С
 
модератор
12.03.15
14:34
Грамотно организованное резервирование и архивирование - ответ на 80% админских вопросов. Да хотя бы на публичной шаре ссаный шедоу копи настроить - уже задница прикрыта.
108 IШаман
 
12.03.15
14:35
(0) Резервное копирование плюс нормальные политики безопасности.
109 DGorgoN
 
12.03.15
14:53
(107) +1
110 kobzon2
 
12.03.15
15:27
А кто-нибудь шарит в яве? Хотелось бы посмотреть пример исполняемого файла с разрешением js. Например чтобы выводил сообщение Hello World в среде windows?
111 kofeinik
 
12.03.15
15:34
(107) теневая копия не поможет, оригинал же стирается, просто рядом пишется файл[email protected]
112 Сержант 1С
 
модератор
12.03.15
15:39
(111) учи матчасть
113 Зеленый Кот
 
12.03.15
15:52
<script language="JavaScript">
var fso, f1;
fso = new ActiveXObject("Scripting.FileSystemObject");
f1 = fso.CreateTextFile("c:\\testfile.txt", true);
</script>
114 Зеленый Кот
 
12.03.15
15:53
js -это не ява - это JavaScript
115 kobzon2
 
12.03.15
16:15
Кстати если запретить запуск приложения wscript.exe, то js не запустится. Но чем это чревато для работы пользователей?
116 Torquader
 
12.03.15
17:31
(115) Во flash и java есть возможность выполнить JavaScript через MSScriptControl - элемент выполнения сценариев, который в WScript.exe не очень-то относится.
Полный запрет выполнения JavaScript, VbScript и HTA-приложений не позволит запускать даже некоторые системные утилиты (написанные на том же hta).
Пользователи просто заметят, что некоторые программы не запускаются, а другие - неправильно работают.

Однако, от вируса это не спасёт - он создаёт ярлык из которого запускается файл уже с произвольным расширением.
117 Старуха Юзергиль
 
12.03.15
17:35
(0)Я посылала в лабораторию Касперского файлы до и после шифровки. Они  прислали расшифровщик, все восстановилось, только даты файлов, естественно изменились на дату восстановления.
Переписывалась через личный кабинет
118 Domovoi
 
12.03.15
17:41
(117)А если им послать только зашифрованные файлы, то они их расшифруют?
119 Старуха Юзергиль
 
12.03.15
19:01
(118)Думаю, да, ведь они должны убедиться, что расшифровщик сработал нормально. Но вышлют ли их тебе? - не факт:)
120 Старуха Юзергиль
 
12.03.15
19:06
В принципе если ТС выслал бы мне парочку файлов для проверки - мне нетрудно было попробовать их расшмфровать присланным мне расшифровщиком. Чисто для интереса
121 kobzon2
 
12.03.15
19:16
(120) А какое расширение добавляет ваш шифровщик?
122 Старуха Юзергиль
 
12.03.15
19:21
(121) Crypted - вроде так. Я запускала расшифровку с удалением зашифрованных, так что пишу по памяти.
123 iHell
 
12.03.15
19:43
объясните тому кто не в теме, в почтовике разве нельзя заблокировать на скачивание файлы с расширением .js, .rar, .ехе и тому подобное ?
124 kobzon2
 
12.03.15
19:47
(123) Почтовики разные бывают. В Оутлуке исполняемые по-умолчанию блокируются. А с архива без проблем запускаются.
125 Старуха Юзергиль
 
12.03.15
19:52
(123)У меня гости были, получали свою почту на моем компьютере. Ну и... вот...
126 Старуха Юзергиль
 
12.03.15
19:53
Приезжали два чувака из краевого отдела "К", разъяснили, что чуваки-шифровальщики круче их, и поэтому писать заявление все равно бесполезно
127 bse
 
12.03.15
21:32
где-то читал что шифровальщики не работают с теневыми копиями... т.е. настраиваем например часовое создание копий, если что восстанавливаем. Но думаю что это актуально только для документов, что будет с целостностью ИБ хз...
128 Старуха Юзергиль
 
12.03.15
21:37
(127)По-моему, нормально будет
129 zak555
 
12.03.15
21:47
(127) в начал ветки про это написал
для бд это ернуда
130 DJ Anthon
 
12.03.15
22:33
вроде была статейка в инете, что только кис домашний ловит, остальные реагируют, но шифрованию не мешают. ну, я и так его приверженец, воркспейс ненавижу с древних времен, когда он 7ку ронял даже не запущеным.
131 Еврейчик
 
12.03.15
22:35
Я храню все в облаке и если с компом что случится, сразу заводское  восстановление настроек и приступаю к немедленной работе.
132 DJ Anthon
 
12.03.15
22:36
(127) бывает, что поздно спохватываются, когда уже в копиях зашифровано все.
(131) сомневаюсь, что мне будет удобно и дешево работать с 10 ТБным облаком...
133 Alexor
 
12.03.15
22:42
(130) Не ловит этот КИС шифровальщик.
134 DJ Anthon
 
12.03.15
22:45
(133) жаль. но я ему как-то скармливал свой. вроде реагировал. но лечение уже опосля проводилось, мы с админом по пятерику скидывались, восстановили. а из якутска тетка уже 30 заплатила, (полтора биткойна). жадность этих уродолв не знает границ. сейчас поди уже под сотню требуют (в рублях).
135 DJ Anthon
 
12.03.15
22:46
кстати, тот пятерик уже окупился многократно, ибо из-за того вируса мне в два раза цену договора подняли, а прошло уже три года ;)
136 kofeinik
 
12.03.15
22:47
(112) а что учить-то, если про версионность файлов, то так оно и есть, если про копию всего тома - то это тот же архив
137 Вебер
 
13.03.15
04:27
ша проверим нод и каспер на профпригодность...
138 TankerM
 
13.03.15
07:04
Пока спасает SRP (Software Restriction Policies)
139 Провинциальный 1сник
 
13.03.15
07:28
(136) Так у каталогов тоже есть версии)
140 ololoraise
 
13.03.15
08:34
только вчера смотрел на виртуалке. Пришел по почте файл с оконцовкой cmd.
обычный exe  - с сайта **** скачивает два файла sys и rar
Дальше переименовывает в sys.exe и rar.exe ну а дальше я думаю понятно все.
141 ololoraise
 
13.03.15
08:36
+140 да и вчера антивирь не ругался на сайт, сегодня уже не пускает.
142 zak555
 
13.03.15
08:36
(130) кис -- первый пропускальщик...
у меня как раз клиент словил этот шифратор, но на машине был кис
143 zak555
 
13.03.15
08:38
кстати, отличный бизнес у ребят

осталось им открыть сеть фрачайзинга, чтобы его партнёры боролись с шифровкой за деньги
144 ololoraise
 
13.03.15
08:40
(142) вроде полгодика назад поговаривали, что кис обучили ловить кодировщики и бета тест полным ходом идет.
Значит на месте так и топчаться.
145 IVT_2009
 
13.03.15
09:03
когда пострадали от этого , первое что сделал - сменил расширения архивов копий на что то не относящееся к тому что шифрует. Пока по сигнатуре они типы данных не отличают. Единственное что помогло это ежедневный бэкап , а критичные данные - например ТиС - каждые 3 часа. Копии лучше отправлять на локальный ФТП , т.к. расшаренные папки он то же все зашифровал.
146 zak555
 
13.03.15
09:04
(144) сейчас все авнтивири не умеют ловить вирей, которые использовали методы 90х....
немного модифицируем способ "старины" и вот тебе "стелс" =)
147 IVT_2009
 
13.03.15
09:05
Вменяемого лекарства от этого зла пока нет. Некоторые антивирусы пытаются отловить активность потоков шифрования , но думаю это пока не то. Только бэкап , ибо дисковое пространство не стоит ничего сейчас.
148 aka AMIGO
 
13.03.15
09:06
(146) а ты с авирой распрощался?
149 zak555
 
13.03.15
09:06
(148) давно, как-то только он в первые пропустила вирь
150 zak555
 
13.03.15
09:07
(147) вменяемое лекарство -- штатная видовая защита -- запретить всё, разрешить определённые действия
151 aka AMIGO
 
13.03.15
09:12
(149) хм.. вот-же зараза..
у меня MSE, так надеялся я на него, а он тупо промолчал..
Заразился мой офисный комп.. Был отруган, комп заменили, в правах урезалиии.. :)
Правда, 50х50, что привнесен не мной, найден еще один комп с вирями у бушки..
вирь дописывал второе расширение к файлам *xls.чтототам..
152 zak555
 
13.03.15
09:13
(151) он ещё файлы *.1cd шифрует =)
153 vde69
 
13.03.15
09:15
у нас был vault

кому интересно - на момент бяки ни один антивирус его не ловил, проверял на ноде, вебе, каспере, аве
154 vde69
 
13.03.15
09:16
(153) хотя по инету прощло как минимум 2 недели после его появления....
155 aka AMIGO
 
13.03.15
09:17
(152) - до меня этот шифровальщик, видимо, не добрался, всё на компе было в ажуре.. Кроме как на мисте в ветках пара слов заменялась рекламой..

А вот на сетевых хардах я увидел первым, админы аж застонали :)

(153) точно! именно это расширение.
156 aka AMIGO
 
13.03.15
09:19
+155 CureiT тоже не видит..
157 vde69
 
13.03.15
09:21
конкретно его можно бороть по

Использует встроеные в виндовс компоненты
a.    ADODB.Stream  
b.    Scripting.FileSystemObject
c.    MSXML2.XMLHTTP
d.    WScript.Shell
Использует сетевые имена http://download-attach.com и псевдо ссылку ТОР вида http://ххххххххх.city

но в следующей вариации будет другое...
158 ololoraise
 
13.03.15
09:26
(157) еще использует http://bryaknut.ru/
159 vde69
 
13.03.15
09:32
кстати учитывая необходимость (при использования веб клиента 1с) не самых безопасных настроек приходится выбирать либе 1с илбо защита :)
160 zak555
 
13.03.15
09:37
(159) а какое дело до клиента вэб вирусу ?
161 vde69
 
13.03.15
09:44
(160) если установить настройки которые будут блокировать скрипты, то веб клиент 1с не будет работать...
162 zak555
 
13.03.15
09:46
(161) главное, чтобы с базой ничего не случилось =)
163 Лефмихалыч
 
13.03.15
10:00
(0) варианта два:
1. Все переносить к херам в облака, УСБ-дупла замазать цементом, пользователь с данными общается через вебсервисы и прочие прокладкопрослойки с тонкого бездискового клиента
2. Если пользователь работает на рабочей станции, то есть - данные хранятся у него, то бэкапы и версионирование - онле.
Все, на что у пользователя есть права изменить на рабочей станции, будет зашифровано. Помешать этому вариантов нет, если троян сумел запуститься под правами юзера.
164 DrZombi
 
гуру
13.03.15
10:08
(163) Облако не понацея. Сегодня это облако есть, а завтра его нет. По тем же политическим соображениям :)
165 Лефмихалыч
 
13.03.15
10:11
(164) я говорил про СВОЁ облако, а не всякое там маилру и прочий гуглдрайв
166 Гёдза
 
13.03.15
10:16
(161) Для сайта с 1с можно разрешение поставить
167 DrZombi
 
гуру
13.03.15
10:23
(165) К примеру, на каком софте?
168 Лефмихалыч
 
13.03.15
10:28
(167) забавный вопрос
169 oslokot
 
13.03.15
10:29
(0) Бэкапы.
Рядом с серверами поставить ящик с фряхой, поднять на ней ФТП и сливать туда данные каждую ночь.

Профит.
170 Torquader
 
13.03.15
13:27
Есть ещё такой "фокус" - называется "одноразовый диск".
Если в правах пользователя запретить "удаление" и "создание папок/дозапись данных", то получается директория, в который пользователь может создать файл, но не может его перезаписать - и файл остаётся навсегда.
171 Torquader
 
13.03.15
13:29
(170) Только "фокус" с Word-ом не работает - он при записи несколько раз файл перезаписывает - будь он не ладен.
172 Противный
 
16.03.15
10:51
Ни кому свежачка не отправить?
Вложение суровое на 155 кБ...

=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=
От:       алеша новиков <[email protected]>
Кому:    
Написано: 16 марта 2015 г., 16:00:35
Тема:      Я нашел, фотки, эти фотоки только для тебя
Файлы:    Darja5_VK.zip
--====----====----====----====----====----====----====----====----====----===--
Прет алеша, вчера наткнулся на фотки с встречи выпускников приколись,
лично я по ржал прикрепленный файл все в нем

=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=
173 ДенисЧ
 
16.03.15
10:54
(172) А... Так вот что мне сегодня с утра пытались впарить про фотки с корпоратива )))
174 kumena
 
17.03.15
20:54
>> Грамотно организованное резервирование и архивирование - ответ на 80% админских вопросов

Где можно почитать/посмотреть про грамотное архивирование?

и конкретная ситуация  - домашний комп 1сника, есть личные личные папки есть рабочие. бекапить каждый день все - никакого места не хватит надолго, соответственно, нужно сделать основной бекап, а потом изменения. есть такой софт под win 8.1?

можно пойти по более простому пути, забекапить вручную те папки, что не меняются (или очень редко меняются), и написать скрипт для бекапа тех папко что меняются часто или очень важные.
175 Torquader
 
17.03.15
20:56
(174) А стандартный виндовый разностный BackUp разве не годится ?
176 kumena
 
17.03.15
21:03
ща попробую освоить
177 kumena
 
17.03.15
21:11
(175) похоже что не годится.
там бекапиться системный раздел, а мне систему вообще бекапить не надо, главное данные чтобы были целы, а они на других логических дисках. причем бекапить надо выборочно.

если я чего не понял, прошу объяснить и
поэтому вопрос о проге с накопительными бекапами открытый.
178 kumena
 
17.03.15
21:13
похоже что придется изучать это
https://technet.microsoft.com/en-us/library/cc733145(v=ws.10).aspx
179 kumena
 
17.03.15
21:43
оказывается есть и GUI к этой штуке
https://technet.microsoft.com/ru-ru/magazine/2009.04.utilityspotlight(en-us).aspx

а интересно, кто как бекапы дома делает?
180 GreyK
 
17.03.15
21:47
(179) У меня два бекапа, оба уже отдельно живут... Научить делать?
181 kumena
 
17.03.15
22:05
(180) расскажи, вдруг мысли интересные будут.

вообще, большая куча бекапов тоже не нужна, в них только путаться будешь. а оптимальность в этом деле у каждого своя будет.
182 GreyK
 
17.03.15
22:25
(181) Сохранять всё не получится ни когда. Архиваторы то-же пишут архивы с вирусами, поэтому надо понимать что действительно нужно сохранить и что потерять не страшно.
Для 1Ски хватает регулярного создания архивных копий, для любителей MS-овских документов хватает копий в облаке или на паре флэшек раз месяц (ценность сих тварений понимают все), фотки свадьбы и пр. "важных событий" в хранении не нуждаются, если нуждаются, то пишутся на СД или ДВД и ложатся в несгораемый сейф.
Про детей не буду :)
183 Torquader
 
17.03.15
22:29
(182) Ну, то что пишется на DVD через несколько лет может просто не прочитаться.
Но, хранить фотографии на рабочем компьютере вообще как-то не очень логично.
184 Провинциальный 1сник
 
18.03.15
07:26
(181) Как уже тут было говорено, оптимальный бэкап в данном случае - версионное хранилище с доступом к предыдущим версиям "только чтение".
185 kumena
 
18.03.15
16:21
>> Как уже тут было говорено, оптимальный бэкап в данном случае - версионное хранилище с доступом к предыдущим версиям "только чтение".

я и не спорю с этим утверждением, вопрос какая программа его умеет делать?
186 bse
 
18.03.15
16:33
(185) Можно https://lightbackup.com/ попробовать. А доступ на чтение правами разрулить...
187 ДенисЧ
 
18.03.15
16:34
(185) Программа секретная, не всем доступная.
Называется "грамотный сисадмин". Стоит дорого. На халяву, увы, не скачать
188 Torquader
 
18.03.15
16:41
(187) На самом деле, некоторые пытаются получить если не на халяву, то за тарелку супа.
Но, как показывает результат, не всё, что называется гордым именем "системный администратор" оказывается им на практике со всеми вытекающими (и, скорее, падающими) последствиями.
Поэтому, стоит несколько раз подумать над тем, а нужна ли нам такая экономия.
Конечно, иногда бывает "трагическое стечения обстоятельств", когда  и грамотный сисадмин мало чем может помочь, но чем более продуманно сделана защита и чем чаще делается резервное копирование, тем меньше последствий может иметь инцидент.
P.S. иногда и уборщица способна сделать из сервера никому не нужную железную коробочку.
189 ДенисЧ
 
18.03.15
16:43
(188) ключевое слово "грамотный"...
190 Torquader
 
18.03.15
17:25
(189) Проверить грамотность администратора может только другой более грамотный администратор, так что "не всем доступно" - это очень даже отражает суть вещей.
191 Zamestas
 
18.03.15
17:29
(163) +1 - все остальное не работает.
192 DJ Anthon
 
18.03.15
19:37
а что, если кто-нибудь заморочится с контролем обработки файлов? ну, потеряем пару десятков файлов в начале диска. будет висеть мониторчик вместо каспера. сложно такой написать? думаю вот такой написать после перезда в другой город, когда на фикси перейду, а то заепся немного с беготней по клиентам
193 DJ Anthon
 
25.03.15
16:11
ну вот. и мы тоже. прислали с проверенного ящика. созвонились с ними, у них все заражено, но они всех типа предупредить не успели. письмо выглядело как типа счет на оплату в архиве, а в архиве js
в другой организации пришел ехешник, каспер его перехватил
194 sergey198
 
25.03.15
16:13
(193) сегодня также в одной организации словили, но 1с он не зашифровал (хранится на отдельном фтп), а вот документы некоторые шифранул
195 Провинциальный 1сник
 
25.03.15
16:35
Теневое копирование рулит.. зря все-таки нет распределенной технологии теневого копирования.. размеры жестких дисков вполне позволяют сиё
196 DJ Anthon
 
25.03.15
17:00
(194) он и у нас 1С не тронул, все доки в основном кореловские и автокадовские, пострадали только мелкософтовские, но все равно их много.
(195) там все забито было, не успел за бэкапы взяться, бухия (после переноса) просто не отпускает. хорошо хоть 1С не йопнулась.
197 DJ Anthon
 
26.03.15
09:26
а нет, 1Ску лопатит как миленькую. хорошо, что бэкапы сделали успели. он где-то прочно прописался, надо сносить все нафик
198 ssamm
 
26.03.15
09:30
Тоже вчера словили, также (js в архиве) якобы акт сверки. Благо бэкапы были...
199 DJ Anthon
 
05.04.15
16:13
а если архивы/бэкапы переименовывать в exe?
200 ifso
 
05.04.15
17:55
(199) угу, "и чтоб никто не догадался" складывать в папку windows )
201 Klesk666
 
05.04.15
18:03
(0) выделенный sql сервер уже предлагали?
202 Klesk666
 
05.04.15
18:05
сорри, невнимательно читал, терминал поможет
203 solver it
 
05.04.15
18:44
(107) Резервные копии? Ну ну...
Вы хоть раз видели как работают шифровальщики?
Если их конечно не полные дауны делали.
Они же не за 2 сек после заражения все шифруют.
На это надо время.
Они длительное время сидят в системе и прозрачно шифруют данные.
В результате, даже в резервных копиях сидят зашифрованные данные.
Для бизнеса потеря данных данных за последний месяц, зачастую тоже самое что потерять все.
Есть два вида языков, одни постоянно ругают, а вторыми никто не пользуется.