Уважаемые специалисты, поделитесь пожалуйста скриптами для Win7 и Win8, отключающими обработку файлов cmd, js и vba? У нас началось ежедневное нашествие, для WinXP alike мы давно сделали (открывается блокнот вместо старта раннера), а для новых осей что-то не получилось создать, вручную прописываь долго, надоело файлы из бекапа вытаскивать, или хотя бы подскажите направления для поиска.

(21) первый абзац к (19)

(21) Делай почту на 1С. И фильтр спама по правилам.
А вообще випам и всем объясняешь, что когда приходит письмо, то первым делом надо посмотреть, от кого оно и кому. Если от Акулины и на адрес [email protected], то не надо, блеать, любопытствовать, что там Акулина хотела сказать gendir'у.
Випам объясняешь уважительно, обычным людям спокойно без эмоций говоришь, что щелкая всякую хрень они по сути отправляют письмо начальству с просьбой их уволить за тупость.

(16) Административными мерами можно снизить количество заражений в несколько раз, но они все равно будут. Хоть ты расстреливай.

Антивирусы не помогают, тот же каспер еженедельно пропускает криптовирь, вот только позавчера разбирали подобную ситуацию.

Помогает комплекс мер:
1. Раз в месяц общая рассылка "господа ссылки в почте это вирус, будьте бдительны, враг не спит, а то будет как с Машей летом"
2. (11)
3. Регулярные показательные порки Маши. "из-за нее мы потеряли ценные данные, щас бухия будет перебивать месяц первички руками. На следующий день айти героически всех спасает.

(24) Ну ахренеть.

Административные меры не помогают.
Антивирусы не помогают.
Помогают административные меры:...

(18) Абсолютной защиты не даст, но помочь может.
1) запрещаем запуск программ из папки куда письма скачиваются.
2) проводим воспитательно- разьяснительную работу.

В итоге - случайно на письмецо если ткнешь, ничего не будет, нельзя оттуда запускать.
Поэтому юзеру придется вытащить его из папки download, а это уже осмысленное действие.

(25) Не всегда.
Каким образом они помогут если заказчик говорит - я хочу работать под админом и никаких ограничений?

(25) ну то есть "просто дать люлей" и все малоэффективно. Люли надо давать публично, и это последний пункт

(27) Ну так тогда и говоришь ему, ты админ, ты и админь. Не тупи, не запускай всякую хрень и т. д., короче соответствуй уровню админа.

(24)+(28) спасибо за совет, но уповать на ответственность людей - дохлый номер, хоть напоминай, хоть показательно пори... Да и за что пороть - за то что человек делал свою работу?

(27) для таких случаев (программа требует админских прав)  можно сделать ярлычок, который стартует именно ее от админа, не давая прав всему сеансу. Но соль в том, что чтобы зашифровать файлы пользователя - права админа не нужны.

(28) А я вроде как и не говорил, что люлей надо давать тихонечко за углом вежливым шепотом.

(29) точнее так - если заказчик требует админские права, то пусть он подпишет бумагу, что берет тем самым на себя ответственность за все последствия. Обычно узнав вероятные последствия сотрудники говорят "дай мне юзера, мне их хватит, а ответственность мне не нужна".

(30) У вас работа сотрудников заключается в том, чтобы обрабатывать непонятные письма от непонятно кого непонятно кому?

(32) Именно. А пока на словах, мы все Жуковы и Наполеоны.

(29) Так а за что он деньги будет мне платить тогда?
Послать то всегда можно.
Но клиенты это такие люди которые денег платят. Если всех будешь посылать можно и без денег остаться.

(33)  А чего в этом криминального ?

Сидит бух.
Приходит письмо с екселем "Акт сверки"
Адресата она может и не знать.
Клик.
vba скрипт и приехали

или екзешник замакированный под архив

что делать то ?

а то люлей люлей

Помогает как раз не восстанавливать файлы из бэкапа - пару десятков договоров перебьют руками после работы - научатся не кликать на все подряд. Из административных мер - в письмах резать все внешние ссылки, резать архивы с чем-то, отличным от doc/xls/pdf, но это нужен свой почтовик.

(32) Ну я делаю немного не так.
У меня клиенты на абонентке.
Я могу настроить чтобы мышь не проскочила, и гарантировать это.
Неудобно?
Тогда я не гарантирую что мышь не проскочит. Я гарантирую что будут бэкапы и все.

Большинству удобен второй вариант - ну поймали, хреново, потеряли полдня, поматерились, и дальше работать.

(38) а как бэкапы то надежно храните? чтобы в процессе бэкапирования шифровщик заодно и там все допом не забэкапировал ))

habrahabr.ru/post/269531/

Еще проблема бэкапов что пользователи файлы хранят где угодно, кто то умудряется рабочие документы в Temp держать и открывать из истории...

(39)В идеале на другой машине.
Если нет - права убираем и радуемся жизни.

(35) Хех. Обычно не за это платят. Все понимают, что в случае "А дай мне админские права" странно пенять на админа, что он не уследил, как ты собственноручно запустил какую-то прилетевшую в почту программу.

(41) Ну это решается просто - воспитательная работа.
Подходишь к юзеру и объясняешь вот тут и тут можно хранить документы, если они окажутся в другом месте - вы их потеряете.

(40) не понял и чем оно спасет от зашифровывания файлов в общих папках?

(42) это я прекрасно понимаю, как а что если вирусня/шифровщик запустился/работает в сам момент длительного создания бэкапа?

(43) Ну так трудно им без админских прав.
А ежели программу поставить надо? Чо будешь делать?

(36) Практически всегда присылают вложенные файлы, а не ссылки или архивы.
Прилетела ссылка или архив — будь вдвойне внимателен.

(41) Ты не поверишь - есть кадры которые хранят документы в корзине.

(37) Соглашусь.

(45) И что? пусть работает? Чем это помешает?

(44) эээ

проблема в том что при нынешней нехватке вменяемых кадров,
проблема пользователям вообще объяснить про "разные места хранения файлов на одном компьютере"
вот флешки еще понимают что отдельно

(50) расширение то у бэкапа какое? с чего бы шифровщику заодно не зашифровать?

нужно нечто вроде ftp с доступом по паролю

(47) А во вложено файле скрипта не может быть ?

Да тупо сделать екзешник и приладить к нему иконку екселя.

(46) Так еще раз говорю, ликбез надо проводить.
Плюс админские права просто дать логин и пароль, но запуск осознанно вручную.
И говорили же, что шифровальщику админские права не нужны.

(51) Ну пойми - мне то на это грубо говоря вообще пофиг.
Я за определенную плату гарантирую определенные вещи.
Все оговорено, и написано на бумаге.
Положили документы в корзину и потеряли? Ну молодцы, я тут не причем, поэтому не помогу, но абонентку вы оплатите.

(53) Может. Но таких писем гораздо меньше. Гораздо.

Хм. Вот пришла мысль. А может система документооборота спасет ?
Файлы в базе в двоичном формате


Не ?

(54) Ну вот сегодня - юзерские права были.
А у юзера есть право на запись в папку с базами и документами.

Когда говорится про запрет админских прав, предполагается что учетка сильно урезана в  правах. Например нет права на запуск программ.

А бывает еще смешнее ))

Когда "особо вумные" вымогатели целевым способом пытаются шифровщик запустить ))

Социальными методами через skype и прочие мой мир@майл.ру...

Меня самого так не очень давно пытались раскрутить
Причем настойчивые заразы, один раз посылаешь так снова лезут...

(57) не спасет, точнее тогда нужно офис внутрь встраивать
легко спасает вся работа в онлайне в т.ч. с документами, и причем на входящем трафике сидит цензор ))

(60) Ну вот на сервере у тех кто тебе онлайн дает,  схватят шифровальщика или поломают их и трындец.
Так что то  же самое.

Только в онлайне кроме простоев из за шифровальщика, будут еще простои из за отсутствия интернета.

(60) Почему не спасет? Файл же в базе. Как его шифровать ?
Я предполагаю  что офис встроен. Открыл док из базы отредактировал и он там сохранился.

(63) Док сохраняется в базу по осознанному действию пользователя.

(64) Ну и ....

Пользователь открыл док.
Там вирус.
Вирус пытается зашифровать все что есть на дисках
На дисках ничего нет - все в базе
В базу док этот док понятно сохранять необязательно

самый лучший вариант: запрет запуска программ не из папок програм файлз, виндир

(65) Пользователь открыл док.
Там вирус.
Вирус пытается зашифровать все что есть на дисках
На дисках дохрена всего - все в падлу помещать все обратно и файлы висят в режиме редактирования, то есть на диске месяцами и годами
В базу такие уже зашифрованные доки эти доки понятно обязательно сохранят, по закону Мерфи и среднестатистического наличия идиотов в коллективе

(67) В нормальном офисе заперщены скрипты

(67) "всем в падлу"

(68) Эээ... ты прочитал предыдущие посты в ветке?

(67) Думаешь файлы открытые в режиме редактирования подвергнутся шифрованию .
Зашифруются временные копии и пользователь их сохранит в базу ?

(70) а что там было?

А если путь временных копий задать не в штатный каталог а по URL ?

(71) Да е мое. Ты в курсе как работает Документооборот? Какие открытые в режиме редактирования?
Вася открыл из ДО файл, тот сохранился на диск, в ДО файл помечен как редактируемый.
Вася две минуты поредактировал файл, закрыл ворд и ухреначил домой.
Через месяц все зашифровалось нахрен.
Через полгода Петя позвонил Васе и спросил? с какого хрена тот падла держит файл полгода. Вася вспомнил, что у него захвачен файл и конечно же поместил его в ДО вместо нормального файла. Почему? Ну потому что же этот идиот там что-то редактировал полгода назад.
После этого имеем описанную мной ситуацию.

(72) Так как раз говорилось про запрет скриптов.

(73) Эээ... а открывать тоже по URL?

(73) В смысле по URL? Как это?
По протоколу http загружать на другой сервер.
Или по просто копировать на диск не имеющий буквы?

(0) Software Restriction Policies (SRP)

Источник: http://www.anti-malware.ru/reviews/Software_Restriction_Policies

(0) Тема ни-о-чем. Обычная личная нечистоплотность и безграмотность и надежда на того парня, который всегда разгребет.
Ну тогда - разгребай.

UAC не помогает, антивирус не помогает, групповые политики не помогают, что за ерунда?

(80) Жадность. Один раз нанять толкового спеца жаба душит.

а... и административные меры... м.. это колхоз, сэр

(82) А это вот неправда. Человеческий фактор другими мерами не свести к минимуму.

(83) убрать возможности запуска неподписанных файлов и т.д. и забыть про этот фактор

(84) а вообще просто нужно позвать админа и не страдать ерундой

(84) Найдется умник и вернет. Тут без официального обещания анальных кар не обойтись.
(85) Точно.

(11)
>Хорошо действует запрет на запуск приложений из папки куда качает браузер, или почтовый клиент.

Если бы все было так просто.
Мозилла умудряется сохранить минуя права установленные на папку (игнорирует наследование).
Задали на папку запрет выполнения, скачали файл, а у него запрета нет. Хотя если просто скопировать файл в папку, то запрет есть.

(87) При чем тут наследование? И каким боком тут мозилла?

Пользователь не имеет права на запуск файлов находящихся в определенной папке.
А какие там права на папку, и на файлы у кого - вообще пофигу.

(87) Не может такого быть, только если мозилла запущена от другого имени

(0) А почту чем смотрят? У меня нод стоит, постучу по дереву, мало что пролазит. Бьется еще на взлете. Плюс Outpost Firewall. Тоже не дремлет.

Может лучше почту смотреть в виртуалке с линуксом к примеру?
VirtualBox в руки и поперло...

(91) садомазо однако

(90) Это дает определенную защиту, но полностью не защищает.
Шифровальщик сам по себе вирусом не является и антивирусными программами не детектируется.
Вирусы если и используются то только для доставки шифровальщика на целевую машину.

Поэтому такая связка спокойно пропускает письма с шифровальщиком.

что то до сих пор нет предложений перейти на linux

(94) см (91)

А вообще да, просто нуна в броузер встроить виртуалку и все скачанное с инета открывать по умолчанию там ))

(95) Можно, но неудобно.

Безопасность вообще очень просто настроить.
Но только усиленные настройки безопасности сильно мешают работать.
Поэтому приходится искать компромисс. Чтобы и волки целы, и овцы сыты.

(96) не понял зачем нужно "волки целы"?

(89) Один пользователь. На  двух компах проверял.

(97) А зачем полезную животину уничтожать? Волки санитары леса, и должны быть целы :)
Даже если они мешают нормально питаться овцам.

(98) Да какая разница сколько пользователей.
Просто запрещаем выполнять программы из конкретной папки, всем пользователям.
Какие там права на файлы в этой папке никакого значения не имеет.

(100) Проверь у себя

(101) Я этим пользуюсь постоянно, разумеется проверяю когда настраивают насколько эффективно работает.

Случаем нет сервиса еще проверки на вирусы онлайн по CRC или MD5 файлов?
Т.е. не файл чтобы закачивать, просто хеш отправить и в ответ чисто или возможно вирус

(103) Смысла в этом 0. Нужно отправлять именно файл для поиска сигнатуры вируса. А как можно сигнатуру найти по хеш?

И вообще, уже +100500 раз писали про самое эффективное средство против шифровальщиков: SRP, Applocker. Ну и у некоторых антивирусов появилась функция "черный/белый" список программ.

(103)Когда грузишь на вирустотал, он ДО загрузки обычно говорит:
"Этот файл уже проверяли тогда то, посмотреть результат или проверить еще раз?"
(105) +1 http://habrahabr.ru/post/269531/ Тоже заюзал не нарадуюсь, вирусы перестали быть в один момент

(105), (106)  Ну это эффективно, но не всегда применимо.
Чем жестче настройка безопасности - тем меньше возможностей у юзера.
Т.е юзер не может скачать и запустить программу, да ничего сделать не может.
И ему придется по каждому чиху вызывать админа.
А админы бесплатно не приходят.
По этому в некоторых случаях такая настройка выйдет дороже чем уничтожение файлов шифровальщиком.

(107)Обычно к приходу админа, набор ПО нужного для работы уже устаканен. Достаточно проверить перед уходом админа, что бы все нужное запускалось. В большинстве случаев "скачать и запустить программу" все равно приведет к вызову админа для чистки компа от вирусов. Я понимаю бывают разные случаи и мб "скачать и запустить программу" надо из доверенного источника. Можно оставить пароль от учетки с админскими правами и просьбой звонить перед попыткой воспользоваться этим паролем. Но это не самый крайний случай.

+(108)*Но это НА самый крайний случай.

Есть ещё мнение, что пользователям можно настроить запуск браузера от имени другого пользователя с более обрезанными правами - особенно в сторону МоиДокументы и т.п.

К сожалению, в Windows семействе нет безопасности на уровне процессов, а есть только на уровне пользователей, но процессы от разных пользователей могут работать на одном рабочем столе.

(81) Один раз - не получится. Если толковый один раз настроит системы так, что вредонос не сможет запуститься - со стопроцентной вероятностью не сможет запуститься и какое-то очень нужное приложение, которое по прихоти авторов пишет в темп экзешник и запускает его оттуда. Всякие приложения для доступа к государственным органам (ФСТ, ФАС и т.п.) очень это любят делать.

скажите, а он пингвинов тоже жрёт?
и как так быстро можно зашифровать большие объемы? может чото на низком уровне, типа заголовки меняются или размер кластера меняет или еще чо?
а есть какие нить диспетчеры за активностью диска? при повышенной активности по тихому взорваться?

а если фоты запаралелены на гугл или яндекс диск. она там такие же шифрованные становятся?

(113) Если установлено и запущено приложение для синхронизации с облаком - то да.

У меня был случай, на ПК клиента  пришло письмо типа "Ваша лицензия 1С не действительна, так как нарушены 7 из 11 пунктов лицензионного соглашения. Прилагаем Вам уведомление (архив)". До этого я переносил 1С с одного ПК на другой. Клиент позвонив мне, поставил меня в ступор, решил проверить на вирусы. Были троянцы на ПК, которые мониторили почтовый ящик. Так что мошенники стали еще хитрее.

(109) Ну я с клиентами которыми работаю никак не гарантирую что подъеду в течении дня.
Норма выезда - 3дня. Хотя конечно стараюсь побыстрее.
Но тем не менее - замучаться ждать, чтобы программу поставить.

(112) Объемы шифрования крайне небольшие.
Обычно шифруется три блока по несколько килобайт - в начале, середине и конце файла.
Быстро и эффективно - какой бы длинный файл не был шифрование все равно несколько килобайт.
А структуру рушит.
(113) Он работает на компьютере, а не в облаке.
Если у вас стоит синхронизация, то она конечно синхронизирует изменившиеся файлы.

(116) 3 дня? 99% моих клиентов меня за такую норму послали бы...

(118) Специфика.
Реально быстрее, но норма, которая оговоренна именно 3дня.
Если не устраивает, я же не настаиваю.
Плюс к некоторым я физически не могу подъехать.

(119) Работай удалённо...
Админы из нашей конторы гарантируют реакцию на заявку пользователя в течение часа...

(120) Я и так удаленно работаю.
Но максимум тем не менее большой.
Клиенты не посылают, ибо их это устраивает.