У себя на конторе ещё не ловил, но от знакомых периодически слышу случаи. Держу в запасе ящик вазелина... Но это всё пассивная защита )  причем от последствий. Хочу спросит у мистян: кто как защищается от этой напасти. У самого следующие мысли:
1.) Разговор с пользователями - явно неэффективно. Часто шифровальщики приходят во вложениях в письмах с темой: "акт сверки" (а внутри эксель/ворд файл) - и что, им сверятся запретить ?
2.) Отключение скриптов ворда/экселя тоже как бы не особо вариант, ибо используется в работе такие файлы
3.) Про антивирусы даже говорить нечего. Лично видел случаи заражения со всеми известными лицензионными, обновленными ав.
4.) Пользовательские права вообще ни от чего не спасут
5.) Бэкапы делаются. Делаются правильно, на физически отчуждаемое хранилище. Но опять же это защита от последствий. В случае заражения всё равно будет простой на время восстановления.
6.) ??? А больше что-то в голову и не приходит. Всё вроде.

(0)Не ходить по порносайтам+ не принимать левую почту= 90% защиты

(1) Насчет 90% я бы поспорил..Ну ок, допустим 90%. А что есть "левая почта" и как её не принимать?

(2)Пишет тебе какойто сайт что ты пля- самый успешный и выиграл миллион. Надо быть идиотом чтобы пойти по ссылкам.

(3) (1) вопрос я так понимаю, не про тебя, меня или ТС. А про пользователей

(4)Есть же политики.

+ и фильтры

убиваю админов, у которых такое случилось

(3) Не, не так это работает. Такую лажу не пропустит спам-фильтр. А пропустит "акт сверки" или заказ/запрос счета. И что, не переходить по ссылке юзеру?

Политики ограниченного запуска программ, в шаблон расширений добавить JS. Бэкапы - это уже само собой, и не только из-за шифровальщиков...

(5) (6) вот про это и вопрос

(8)Есть такое понятие "доверенные адреса" .Все остальное - в корзину

Мак. Синхронизация данных с собственным RAID-5, гугл драйв, iCloud. Версионифицирование есть везде. Рабочие базы и документы, видеосырцы, фотки. Все синхронизируется.
Итого 5 копий. Не напрягаюсь.

(0) Пусть все сохраняют в песочницу. Перенос на корпоративные ресурсы - по акту от отдела анализа корпоративной безопасности.

Основное - быкапы всего боле-менее ценного. Затем - применение почтовых клиентов, которые в принципе не позволяют ничего с опасными расширениями из почты  запускать (TheBat!), блокировка JS и VBS на исполнение, антивирус (иногда паче чаяния помогает, как ни странно).

Автоматическое одностороннее копирование на яндекс диск/гугл с фильтром на расширение файлов. Если и зашифруют, то буду уверен что зашифрованные файлы не синхронизировались.

(4) Да, речь про юзеров
(5) Да, ответ ) И чего там политики? Новый законопроект придумали ) ?
(9) Работает без домена?
(11) Мы с тобой в одной реальности находимся? Т.е. к фигам клиентов, мы такие уникальные, что работать с нами нужно по приглашениям?
(12) Да чего вам этот рэйд5 так нравится? Это же фигня, которая при нормальных объемах несколько суток восстанавливаться будет. И опять же - это спасет уже по факту, когда кирдык уже пришёл. Сколько времени уйдет на востановление, и уверен ли ты, что восстановление пройдет гладко ?

(16)>>что работать с нами нужно по приглашениям?
Ну тогда наслаждайся.

(9) Политики ограниченного запуска программ тоже не спасут. Из за ярлыков .Если сам ярлык находится в той папке, откуда юзеру можно запускать (рабочий стол), то такой ярлык запустит что угодно. Ну вот так устроена ОС.

(16) Сутки восстановления меня не напрягают, 8TB видео мне вряд-ли оперативно понадобится. А то что надо оперативно лежит в гугловых и яблочных облаках.

(16) Да, ответ ) И чего там политики? Новый законопроект придумали ) ?

Жжете

(19) Так а вот смотри. Словил ты шифровальщика, пошифровал он твои 8тб видео и остальное. Ты ОСь оставишь ? Т.е. просто удалишь шифрованные файлы и зальешь обратно из бэкапа? А с ОС что делать?

(20) Ну, дык, а чего он? "Есть же политики"...

(21) зависит от того что и как бэкапить, и от наличия достаточного места под бэкапы. С осью - более громоздко, но можно.

(21)  На маке? Шифровальщик? Ну и хрен с ней с осью. Нажму кнопку "Сделать хорошо" и через 10 минут у меня новый комп. Через час все синхронизируется, включая программы, виртуальные машины и документы.

(23) Мысли вслух. Если,допустим, бэкапить 30 машин, ~ 80гб на каждую. 2,5тб. Ну,впринципе, реально...вот только актуализировать эти копии при изменении - геморрой

Про Time Machine же не нужно никому рассказывать?

(24)Даа...проблемы бедных богатым не понять

(27) Поднимай машинки на Linux'е. Дешево.

(28) Была такая мысля. С вордом/экселем как быть?

(29) прекрасно работает MS Office это если Libre не хватает

(30) wine ?

(31) http://webware.biz/?p=174

как защитится от шифровальщиков?

приходит письмо с просьбой выписать счет, реквизиты в файле - что на такой случай предлагается делать?

(34) посмотреть расширение файла ))

а вообще переведите почту на веб-интерфейс с просмотром всех нужных доков сразу в броузере

вот когда в архив засунут exe (js, vbs и подобные) тогда нужен настроенный архиватор чтобы

На корпоративную почту как то пришло письмо "счет оплатите срочно иначе ..." С почтового ящика одного из руководителей. Несколько пользователей файлик во вложении открыли, там скрипт замаскированный под файл вордовский, но вирус не смог себя докачать из инета, прокся не разрешила ехе да и впринципе не пустила по тому адресу. Вообщем по сабжу запрет на скачку исполняемых файлов.

(36) Ну это повезло, что exe был, а не js через https. А последние версии шифровальщиков именно такие.
Причем, кстати, проблема даже отучить юзеров переходить по ссылкам из писем. Несколько контрагентов (транспортная компания и хз что-то ещё) присылают свои доки не вложениями к письмам, а в письмо хреначат ссылку, по которой формируется док.

(37) вообще-то вы  уж очень сильно перестраховываетесь. После шифровальщика всё работает. И word и excel и windows. И 1с работает прекрасно. И интернет прекрасно работает. Ничего этого не надо восстанавливать.

(38) Так дело не в том, работает оно или нет. После шифровальщика система скомпрометирована. Где гарантия, что тело шифровальщика не осталось в ОС и не зашифрует данные повторно?

(25) обычно на машинах пользователей столько не используется, плюс бэкапы сжимаются. На практике получается меньше. Затем, если машины одинаковые или несколько наборов одинаковых машин - можно на всех ось не бэкапить, а просто держать подготовленный образ оси, без данных. В случае чего развернул и восстановил рабочую машину. И, наконец, можно данные пользователей держать не локально на машине, а в сети, и при надобности восстанавливать сетевую папку. Таким образом необходимость бэкапа рабочек можно свести к минимуму.

(37) Ну это повезло, что exe был, а не js через https. А последние версии шифровальщиков именно такие.

js это тупо загрузчик, он закачивает и запускает exe.

(40) Остаются только проблемы с ПК на которых банк-клиенты, аукционы, сбисы и прочие ЭЦП. НО таких немного 3-4... Остальные да, типовые

(37) Причем, кстати, проблема даже отучить юзеров переходить по ссылкам из писем. Несколько контрагентов (транспортная компания и хз что-то ещё) присылают свои доки не вложениями к письмам, а в письмо хреначат ссылку, по которой формируется док.
.
Это не великая проблема, если запрещен запуск активного содержимого. Ну скачает он по ссылке VBS или JS, а запустить не выйдет.

JS и VBS на юзерских компах запускать по расширению вообще не надо. Никому не надо. Если вам как админу понадобится - вы сделаете Пуск-Выполнить - wscript.exe мойскрипт.js. А пользователю со скриптами делать нечего.

Защититься на  100% от любой угрозы попросту невозможно.
Поэтому-
1)Обеспечить нормальные бэкапы. Это основное и главное чтобы не потерять данные.

2)Обеспечить достаточный уровень защиты чтобы минимизировать риски заражения.
Именно минимизировать, но никак не исключить полностью.
Тут и настройка политик запуска, и работа с пользователями, и настройка файероволов, общей безопасности сети, обновления безопасности ОС, и прочее.
По отдельности они мало эффективны, а в комплексе дают адекватную защиту.
Что именно делать и в каких объемах зависит исключительно от ситуации - от цены простоя, от удобства работы со всеми этими наворотами, от цены всех этих работ.
Тут каждый выбирает сам.


Отдельно хочу сказать про бэкапы -
Мало их делать, надо еще их проверять, и что тоже важно, но про что часто забывают - надо иметь четкий план разворачивания из бэкапов, чтобы в случае аварийной ситуации делать это максимально быстро и четко.

(44)С точки безопасности - не надо.
Но есть еще такая штука как производственная необходимость и банальное удобство.
Что толку от безопасности, если работать невозможно или неудобно.

Например на JS работают многие банк-клиенты.
Или необходимые для работы сайты не могут корректно функционировать без JS.

(46) сайты другое дело. Я веду речь про запуск js-файлов через интепретатор Windows Script по щелчку мыши.

что касаемо сайтов, то без js сейчас вообще почти ничего нормально работать не будет, весь вебдваноль на js

(25)Существует куча способов экономии дискового пространства.
Например в конторе десять машин на Win8 и файловый сервер.
Во первых надо иметь образы всех систем.
Чисто система со всеми установленными программами занимает примерно 30-50Гб на машину. Для их хранения потребуется 300-600гб
Но не забываем что эти образы практически одинаковы.
Включаем дедупликацию и вместо 300-600гб получаем 50-80Гб.


С данными тоже самое - многие вещи прекрасно сжимаются и/или дедуплицируются.

(7)Ну у меня такое случалось, в чем претензии?

1. Фильтруем всю входящую почту на почтовике на предмет аттачей .js и прочих еретических расширений (в т.ч и в архивах-аттачах).
2. Не устанавливает яву обычным юзерам, ибо нефиг. Только у бухов.
3. Бэкапы/теневые копии (последнеи особенно рулят для скоростного восстановления в случае факапа)

(51)
1. архив запаролен, пароль в письме. Как фильтровать?
2. какая ява?

(52) запретить запароленные архивы )

(53) Проще вообще почту запретить )))

(54) запароленный сам не запустится, а значит, виноват тот кто после инструктажа открыл архив с паролем (1ый выговор) и запустил его содержимое, пришедшее неизвестно от кого (2ой выговор)

Ко мне приходит вот уже второй день "Акт об увольнении" мож уволили с работы? Кому переслать, ко поглядит?

читаем всю почту на простеньком корпоративном смартфоне;))

(56) АКТ об увольнении - это сильно! Странно что не МегаАкт.
:))

(52)Да не фильтровать надо а банальными политиками запуска рулить.

Пришел экзешник, скачали в папку Download - запретить запуск оттуда.
Пришел в архиве - архиватор развернет в %TEMP% - запретить запуск из темпа, либо переопределить временную папку для дежурного архиватора и запретить запуск оттуда.

Теперь с шифровальщиком столкнулся и я.
Что пришло - рассылка на почту - пришел запароленный архив. В письме указан пароль 111. Антивирь такие не грызет.
Такие архивы - сигнал на рассмотрение с админом.
В архиве - scr.

В общем, клиентам помочь не смог. Да и не собирался. Мои просьбы о резервных копиях, антивире - полный игнор. Что будут делать - хз.

(61) думаю заплотют
вопрос сколько раз?

Кстати когда ставил на нетбук с линуксом мсофис, случайно обратил внимание что даже фотошоп 6 уже пашет в wine

Как бы основная отмазка для всяких того?
А разный софт (отчетно/банковский) можно выкинуть на один комп на котором все запрещено

Я защищаюсь от шифровальщиков списком разрешённых для запуска программ.

(62) Думаю, да.
(64) Способов много. Главное - этим заняться. И не терять чистоплотность в инфосреде: типа как руки мыть.