|
Как защищаетесь от шифровальщиков ? | ☑ | ||
---|---|---|---|---|
0
orangekrs
15.11.15
✎
17:50
|
У себя на конторе ещё не ловил, но от знакомых периодически слышу случаи. Держу в запасе ящик вазелина... Но это всё пассивная защита ) причем от последствий. Хочу спросит у мистян: кто как защищается от этой напасти. У самого следующие мысли:
1.) Разговор с пользователями - явно неэффективно. Часто шифровальщики приходят во вложениях в письмах с темой: "акт сверки" (а внутри эксель/ворд файл) - и что, им сверятся запретить ? 2.) Отключение скриптов ворда/экселя тоже как бы не особо вариант, ибо используется в работе такие файлы 3.) Про антивирусы даже говорить нечего. Лично видел случаи заражения со всеми известными лицензионными, обновленными ав. 4.) Пользовательские права вообще ни от чего не спасут 5.) Бэкапы делаются. Делаются правильно, на физически отчуждаемое хранилище. Но опять же это защита от последствий. В случае заражения всё равно будет простой на время восстановления. 6.) ??? А больше что-то в голову и не приходит. Всё вроде. |
|||
1
Рэйв
15.11.15
✎
17:52
|
(0)Не ходить по порносайтам+ не принимать левую почту= 90% защиты
|
|||
2
orangekrs
15.11.15
✎
17:53
|
(1) Насчет 90% я бы поспорил..Ну ок, допустим 90%. А что есть "левая почта" и как её не принимать?
|
|||
3
Рэйв
15.11.15
✎
17:54
|
(2)Пишет тебе какойто сайт что ты пля- самый успешный и выиграл миллион. Надо быть идиотом чтобы пойти по ссылкам.
|
|||
4
RomanYS
15.11.15
✎
17:55
|
(3) (1) вопрос я так понимаю, не про тебя, меня или ТС. А про пользователей
|
|||
5
Рэйв
15.11.15
✎
17:56
|
(4)Есть же политики.
|
|||
6
Рэйв
15.11.15
✎
17:56
|
+ и фильтры
|
|||
7
ДенисЧ
15.11.15
✎
17:57
|
убиваю админов, у которых такое случилось
Другое (укажу в сообщении) |
|||
8
orangekrs
15.11.15
✎
17:57
|
(3) Не, не так это работает. Такую лажу не пропустит спам-фильтр. А пропустит "акт сверки" или заказ/запрос счета. И что, не переходить по ссылке юзеру?
|
|||
9
BigHarry
15.11.15
✎
17:57
|
Политики ограниченного запуска программ, в шаблон расширений добавить JS. Бэкапы - это уже само собой, и не только из-за шифровальщиков...
Другое (укажу в сообщении) |
|||
10
RomanYS
15.11.15
✎
17:58
|
(5) (6) вот про это и вопрос
|
|||
11
Рэйв
15.11.15
✎
17:58
|
(8)Есть такое понятие "доверенные адреса" .Все остальное - в корзину
|
|||
12
GROOVY
15.11.15
✎
17:59
|
Мак. Синхронизация данных с собственным RAID-5, гугл драйв, iCloud. Версионифицирование есть везде. Рабочие базы и документы, видеосырцы, фотки. Все синхронизируется.
Итого 5 копий. Не напрягаюсь. Делаю бэкапы, при заражении брошу всё и буду восст |
|||
13
dmpl
15.11.15
✎
18:01
|
(0) Пусть все сохраняют в песочницу. Перенос на корпоративные ресурсы - по акту от отдела анализа корпоративной безопасности.
Другое (укажу в сообщении) |
|||
14
spectre1978
15.11.15
✎
18:03
|
Основное - быкапы всего боле-менее ценного. Затем - применение почтовых клиентов, которые в принципе не позволяют ничего с опасными расширениями из почты запускать (TheBat!), блокировка JS и VBS на исполнение, антивирус (иногда паче чаяния помогает, как ни странно).
Делаю бэкапы, при заражении брошу всё и буду восст |
|||
15
Формат строки
15.11.15
✎
18:03
|
Автоматическое одностороннее копирование на яндекс диск/гугл с фильтром на расширение файлов. Если и зашифруют, то буду уверен что зашифрованные файлы не синхронизировались.
Делаю бэкапы, при заражении брошу всё и буду восст |
|||
16
orangekrs
15.11.15
✎
18:04
|
(4) Да, речь про юзеров
(5) Да, ответ ) И чего там политики? Новый законопроект придумали ) ? (9) Работает без домена? (11) Мы с тобой в одной реальности находимся? Т.е. к фигам клиентов, мы такие уникальные, что работать с нами нужно по приглашениям? (12) Да чего вам этот рэйд5 так нравится? Это же фигня, которая при нормальных объемах несколько суток восстанавливаться будет. И опять же - это спасет уже по факту, когда кирдык уже пришёл. Сколько времени уйдет на востановление, и уверен ли ты, что восстановление пройдет гладко ? |
|||
17
Рэйв
15.11.15
✎
18:06
|
(16)>>что работать с нами нужно по приглашениям?
Ну тогда наслаждайся. |
|||
18
orangekrs
15.11.15
✎
18:08
|
(9) Политики ограниченного запуска программ тоже не спасут. Из за ярлыков .Если сам ярлык находится в той папке, откуда юзеру можно запускать (рабочий стол), то такой ярлык запустит что угодно. Ну вот так устроена ОС.
|
|||
19
GROOVY
15.11.15
✎
18:09
|
(16) Сутки восстановления меня не напрягают, 8TB видео мне вряд-ли оперативно понадобится. А то что надо оперативно лежит в гугловых и яблочных облаках.
|
|||
20
spectre1978
15.11.15
✎
18:12
|
(16) Да, ответ ) И чего там политики? Новый законопроект придумали ) ?
Жжете |
|||
21
orangekrs
15.11.15
✎
18:13
|
(19) Так а вот смотри. Словил ты шифровальщика, пошифровал он твои 8тб видео и остальное. Ты ОСь оставишь ? Т.е. просто удалишь шифрованные файлы и зальешь обратно из бэкапа? А с ОС что делать?
|
|||
22
orangekrs
15.11.15
✎
18:14
|
(20) Ну, дык, а чего он? "Есть же политики"...
|
|||
23
spectre1978
15.11.15
✎
18:18
|
(21) зависит от того что и как бэкапить, и от наличия достаточного места под бэкапы. С осью - более громоздко, но можно.
|
|||
24
GROOVY
15.11.15
✎
18:21
|
(21) На маке? Шифровальщик? Ну и хрен с ней с осью. Нажму кнопку "Сделать хорошо" и через 10 минут у меня новый комп. Через час все синхронизируется, включая программы, виртуальные машины и документы.
|
|||
25
orangekrs
15.11.15
✎
18:21
|
(23) Мысли вслух. Если,допустим, бэкапить 30 машин, ~ 80гб на каждую. 2,5тб. Ну,впринципе, реально...вот только актуализировать эти копии при изменении - геморрой
|
|||
26
GROOVY
15.11.15
✎
18:21
|
Про Time Machine же не нужно никому рассказывать?
|
|||
27
orangekrs
15.11.15
✎
18:22
|
(24)Даа...проблемы бедных богатым не понять
|
|||
28
dmpl
15.11.15
✎
18:26
|
(27) Поднимай машинки на Linux'е. Дешево.
|
|||
29
orangekrs
15.11.15
✎
18:33
|
(28) Была такая мысля. С вордом/экселем как быть?
|
|||
30
Garykom
гуру
15.11.15
✎
18:36
|
(29) прекрасно работает MS Office это если Libre не хватает
|
|||
31
orangekrs
15.11.15
✎
18:39
|
(30) wine ?
|
|||
32
Garykom
гуру
15.11.15
✎
19:02
|
||||
33
vde69
15.11.15
✎
19:09
|
||||
34
Winnie Buh
15.11.15
✎
19:28
|
приходит письмо с просьбой выписать счет, реквизиты в файле - что на такой случай предлагается делать?
|
|||
35
Garykom
гуру
15.11.15
✎
19:39
|
(34) посмотреть расширение файла ))
а вообще переведите почту на веб-интерфейс с просмотром всех нужных доков сразу в броузере вот когда в архив засунут exe (js, vbs и подобные) тогда нужен настроенный архиватор чтобы |
|||
36
Федя Тяпкин
15.11.15
✎
19:40
|
На корпоративную почту как то пришло письмо "счет оплатите срочно иначе ..." С почтового ящика одного из руководителей. Несколько пользователей файлик во вложении открыли, там скрипт замаскированный под файл вордовский, но вирус не смог себя докачать из инета, прокся не разрешила ехе да и впринципе не пустила по тому адресу. Вообщем по сабжу запрет на скачку исполняемых файлов.
|
|||
37
orangekrs
15.11.15
✎
19:44
|
(36) Ну это повезло, что exe был, а не js через https. А последние версии шифровальщиков именно такие.
Причем, кстати, проблема даже отучить юзеров переходить по ссылкам из писем. Несколько контрагентов (транспортная компания и хз что-то ещё) присылают свои доки не вложениями к письмам, а в письмо хреначат ссылку, по которой формируется док. |
|||
38
hhhh
15.11.15
✎
20:06
|
(37) вообще-то вы уж очень сильно перестраховываетесь. После шифровальщика всё работает. И word и excel и windows. И 1с работает прекрасно. И интернет прекрасно работает. Ничего этого не надо восстанавливать.
|
|||
39
orangekrs
15.11.15
✎
20:15
|
(38) Так дело не в том, работает оно или нет. После шифровальщика система скомпрометирована. Где гарантия, что тело шифровальщика не осталось в ОС и не зашифрует данные повторно?
|
|||
40
spectre1978
15.11.15
✎
20:40
|
(25) обычно на машинах пользователей столько не используется, плюс бэкапы сжимаются. На практике получается меньше. Затем, если машины одинаковые или несколько наборов одинаковых машин - можно на всех ось не бэкапить, а просто держать подготовленный образ оси, без данных. В случае чего развернул и восстановил рабочую машину. И, наконец, можно данные пользователей держать не локально на машине, а в сети, и при надобности восстанавливать сетевую папку. Таким образом необходимость бэкапа рабочек можно свести к минимуму.
|
|||
41
spectre1978
15.11.15
✎
20:42
|
(37) Ну это повезло, что exe был, а не js через https. А последние версии шифровальщиков именно такие.
js это тупо загрузчик, он закачивает и запускает exe. |
|||
42
orangekrs
15.11.15
✎
20:43
|
(40) Остаются только проблемы с ПК на которых банк-клиенты, аукционы, сбисы и прочие ЭЦП. НО таких немного 3-4... Остальные да, типовые
|
|||
43
spectre1978
15.11.15
✎
20:48
|
(37) Причем, кстати, проблема даже отучить юзеров переходить по ссылкам из писем. Несколько контрагентов (транспортная компания и хз что-то ещё) присылают свои доки не вложениями к письмам, а в письмо хреначат ссылку, по которой формируется док.
. Это не великая проблема, если запрещен запуск активного содержимого. Ну скачает он по ссылке VBS или JS, а запустить не выйдет. |
|||
44
spectre1978
15.11.15
✎
20:52
|
JS и VBS на юзерских компах запускать по расширению вообще не надо. Никому не надо. Если вам как админу понадобится - вы сделаете Пуск-Выполнить - wscript.exe мойскрипт.js. А пользователю со скриптами делать нечего.
|
|||
45
Jump
15.11.15
✎
21:21
|
Защититься на 100% от любой угрозы попросту невозможно.
Поэтому- 1)Обеспечить нормальные бэкапы. Это основное и главное чтобы не потерять данные. 2)Обеспечить достаточный уровень защиты чтобы минимизировать риски заражения. Именно минимизировать, но никак не исключить полностью. Тут и настройка политик запуска, и работа с пользователями, и настройка файероволов, общей безопасности сети, обновления безопасности ОС, и прочее. По отдельности они мало эффективны, а в комплексе дают адекватную защиту. Что именно делать и в каких объемах зависит исключительно от ситуации - от цены простоя, от удобства работы со всеми этими наворотами, от цены всех этих работ. Тут каждый выбирает сам. Отдельно хочу сказать про бэкапы - Мало их делать, надо еще их проверять, и что тоже важно, но про что часто забывают - надо иметь четкий план разворачивания из бэкапов, чтобы в случае аварийной ситуации делать это максимально быстро и четко. Делаю бэкапы, при заражении брошу всё и буду восст |
|||
46
Jump
15.11.15
✎
21:24
|
(44)С точки безопасности - не надо.
Но есть еще такая штука как производственная необходимость и банальное удобство. Что толку от безопасности, если работать невозможно или неудобно. Например на JS работают многие банк-клиенты. Или необходимые для работы сайты не могут корректно функционировать без JS. |
|||
47
spectre1978
15.11.15
✎
21:25
|
(46) сайты другое дело. Я веду речь про запуск js-файлов через интепретатор Windows Script по щелчку мыши.
|
|||
48
spectre1978
15.11.15
✎
21:26
|
что касаемо сайтов, то без js сейчас вообще почти ничего нормально работать не будет, весь вебдваноль на js
|
|||
49
Jump
15.11.15
✎
21:33
|
(25)Существует куча способов экономии дискового пространства.
Например в конторе десять машин на Win8 и файловый сервер. Во первых надо иметь образы всех систем. Чисто система со всеми установленными программами занимает примерно 30-50Гб на машину. Для их хранения потребуется 300-600гб Но не забываем что эти образы практически одинаковы. Включаем дедупликацию и вместо 300-600гб получаем 50-80Гб. С данными тоже самое - многие вещи прекрасно сжимаются и/или дедуплицируются. |
|||
50
Jump
15.11.15
✎
21:39
|
(7)Ну у меня такое случалось, в чем претензии?
|
|||
51
Exec
16.11.15
✎
09:57
|
1. Фильтруем всю входящую почту на почтовике на предмет аттачей .js и прочих еретических расширений (в т.ч и в архивах-аттачах).
2. Не устанавливает яву обычным юзерам, ибо нефиг. Только у бухов. 3. Бэкапы/теневые копии (последнеи особенно рулят для скоростного восстановления в случае факапа) Другое (укажу в сообщении) |
|||
52
ДенисЧ
16.11.15
✎
09:59
|
(51)
1. архив запаролен, пароль в письме. Как фильтровать? 2. какая ява? |
|||
53
MM
16.11.15
✎
10:16
|
(52) запретить запароленные архивы )
|
|||
54
ДенисЧ
16.11.15
✎
10:16
|
(53) Проще вообще почту запретить )))
|
|||
55
MM
16.11.15
✎
10:36
|
(54) запароленный сам не запустится, а значит, виноват тот кто после инструктажа открыл архив с паролем (1ый выговор) и запустил его содержимое, пришедшее неизвестно от кого (2ой выговор)
|
|||
56
RadioTesla
16.11.15
✎
10:38
|
Ко мне приходит вот уже второй день "Акт об увольнении" мож уволили с работы? Кому переслать, ко поглядит?
|
|||
57
MetaDon
16.11.15
✎
11:14
|
читаем всю почту на простеньком корпоративном смартфоне;))
Другое (укажу в сообщении) |
|||
58
NikVars
16.11.15
✎
11:37
|
(56) АКТ об увольнении - это сильно! Странно что не МегаАкт.
:)) |
|||
59
Jump
16.11.15
✎
15:03
|
(52)Да не фильтровать надо а банальными политиками запуска рулить.
Пришел экзешник, скачали в папку Download - запретить запуск оттуда. Пришел в архиве - архиватор развернет в %TEMP% - запретить запуск из темпа, либо переопределить временную папку для дежурного архиватора и запретить запуск оттуда. |
|||
60
NikVars
17.11.15
✎
09:38
|
Теперь с шифровальщиком столкнулся и я.
Что пришло - рассылка на почту - пришел запароленный архив. В письме указан пароль 111. Антивирь такие не грызет. Такие архивы - сигнал на рассмотрение с админом. В архиве - scr. |
|||
61
NikVars
17.11.15
✎
09:39
|
В общем, клиентам помочь не смог. Да и не собирался. Мои просьбы о резервных копиях, антивире - полный игнор. Что будут делать - хз.
|
|||
62
Garykom
гуру
17.11.15
✎
09:42
|
(61) думаю заплотют
вопрос сколько раз? |
|||
63
Garykom
гуру
17.11.15
✎
09:46
|
Кстати когда ставил на нетбук с линуксом мсофис, случайно обратил внимание что даже фотошоп 6 уже пашет в wine
Как бы основная отмазка для всяких того? А разный софт (отчетно/банковский) можно выкинуть на один комп на котором все запрещено |
|||
64
UFO
17.11.15
✎
09:55
|
Я защищаюсь от шифровальщиков списком разрешённых для запуска программ.
|
|||
65
NikVars
17.11.15
✎
09:57
|
(62) Думаю, да.
(64) Способов много. Главное - этим заняться. И не терять чистоплотность в инфосреде: типа как руки мыть. |
Форум | Правила | Описание | Объявления | Секции | Поиск | Книга знаний | Вики-миста |