Подхватил вирус, все файлы зашифровались в формат *.breaking bad.
Так выглядит имя зашифрованного файла. Может кто то сталкивался?

1ivoFLTuZx67Z5BOFZcNwlp+51kqpjOagbIGEmw5jiBJ90CQZ6gHk9f145nQtRPeN00iakzxaIju-0kHbKsC286dgzxoiA0hYmpHLl-JNQH380pKEe9J2HlJ9r087pv8kxctV49tGDEyquG6H8Ij7g==.CD17FC3CE0E15FFD09FD.breaking_bad

мило
не сталкивался

имхо, либо прощайся с инфой, либо готовь бабло (в р-не 15т.р.)
где зацепил то?

(2) на почту пришло

(0) Не вижу никаких проблем. надо поднять данные из бекапа. Ведь человек, тыкающий все подряд, что приходит на почту, просто обязан делать бекапы.

(4) Если бы он был :)

Ну вот, еще один человек научится делать бэкапы и не открывать что попало.

Философски рассуждая, и от вымогателей есть какая-то польза.

(0) Все уже сталкивались, так что не ты первый.

(5) Ну значит будет.

Секретарям на почту приходит обычно Платежка_НазваниеОрганизаци.exe

Я ток одного не понимаю почему сразу у Секретарей на запретят открывать exeшники тем более с почты :).

У нас были бэкапы :).

Было такое у ноутбучника. Антивирус не спас.

Решение одно - средствами доменной политики или gpedit.msc запрет запуска из всех мест, кроме конкретных каталогов с программами и системой.

(11) Да, при этом некоторый софт перестанет обновляться, есть разработчики, которые апдейт делают путем запуска экзешника в каталоге временных файлов..

(0) Молодец.

(9) чтобы из аутлука запустить присланный ехешник надо очень сильно постараться

(14) Если хотеть этого сильно (платежка же пришла) - то можно)).

(15) секретарю политикой запретили запускать. Проинструктировали, и т.д.
однажды ее временно замещала деввочко из кадров. на почту пришла эта гадость. Естественно, не открылась. Естественно, она переслала "своим девочкам из кадров", "чтобы они открыли и переслали ей"... :-)))
мартышки - они всегда мартышки...

(0) Поздравляю вашу компанию... Теперь вы в курсе, что бекапы Рулят. Если вы не умели делать бекапы, то после этого происшествия, научитесь.

...Поздравляю... Вы тот счастливчик, кому выпало такая возможность понять всю прелесть шифрования данных... :)

+ В Полицию не забудь заявление оформить :)

(14) У некоторых программ Екзешник вообще нельзя прислать.
Его попросту екчендж вырежит :)

(12) Обновления на рабочих станциях вас не спасут... Увы, вот обновления на сервера уже критичны :)

(9) Да пойми. расширения файлов, по привычки почему то прячут политикой виндовс... А админы не любят его показывать пользователям. Мотивируясь тем, что типо переименуют и оно не будет работать :)
А вот придти им в голову, что человек потом при переименовывании файлов и отгребании за это тумаков, начнет нормально именовать, им не приходит :)

(14) Присылают как правило архив, а в нём уже вредонос. Чаще всего дроппер к нему - vbs или js, так что почтовый сканер на сервере ничего не найдет. Соответственно, при клике файл копируется в temp и оттуда запускается. Если это дроппер - то он скачивает основное тело вредоноса и запускает уже его.

(22) зачем vbs открывается на запуск автоматически - я вообще не понимаю. По идее, майкам давно надо запретить это по умолчанию. Кому надо - пуск - выполнить - wscript script.vbs

(23) Самое правильное - вообще запретить запуск из тех каталогов, к котором у пользователя есть доступ на запись.

(24) несильно поможет. Функции определения временной папки и поиска файлов никто не запрещал...

хотя с другой стороны - верно, не сможет запускать самостоятельно установленные программы

(26) Вот если бы МС всерьез думал о безопасности - такая политика была бы по умолчанию(

(22) У нас на почтовом сервере архивы тоже проверяются.
Шифрованные архивы не пускает.
Про exe все забыли давно.

Тоже был шифровальщик. И тоже - результат открытия файла приложения из корппочты.
У нас админы долго трудились над серверной инфой. Были все папки доступны всем юзерам. Папки остались, но всем, кроме юзера - RO.
Заодно в биосах отрубили USB. Чтоб, стал-быть, из дому не носили заразу.

ЗЫ. как победили шифровальщик - не в курсе. Это их головная боль, а не моя. После того, как они угробили пару бухий, предпочитаю не иметь с ними общих дел.

(28) Это у вас. А чел может с майл.ру скачать)

Такие шифровальщики рассчитаны на мелкие конторы, поэтому всякие доменные политики и запреты идут в топку.

FTP с паролем защитит от шифровальщика?

а при Билле Гейтсе такой х-ни не было

Появился поклонник доктора айзенберга??? Пора варить мет!

http://forum.kaspersky.com/index.php?showtopic=335358

(35) типа, это они зашифровали, чтобы пациент ихнюю коммерческую лицензию на один год купил, не?)

Вот собственно способ защиты:

https://social.technet.microsoft.com/Forums/ru-RU/0522c96e-8204-4d21-b936-e867dd50aa8b/-?forum=ws2008r2ru

Кратко:

Для целей администрирования вам проще создать переключатель политики, который будет включать/выключать её по запросу администратора:

.reg-файл выключения:

Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\Safer\CodeIdentifiers]
"DefaultLevel"=dword:00040000
.reg-файл включения

Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\Safer\CodeIdentifiers]
"DefaultLevel"=dword:00000000
Поместите оба файла в папку C:\Program Files\SRP, запускайте их правой кнопкой "от имени администратора". Также вы можете создать соответствующие ярлыки на запуск этих файлов на машинах пользователей

(0) Хорошая новость - теперь ты начнешь делать бэкапы. Плохая новость - считай что все зашифрованные данные потеряны.

Платишь бабло, восстанавливаешь данные, вычитаешь из ЗП у провинившегося

(38) Заплатил - данные вернут.

(0) Башляй

А вот интересно, если ценные данные периодически скидывать в облачное хранилище с поддержкой версий файлов - это была бы панацея от вируса? Интересно как хранятся версии файлов в облачном хранилище?

(42) А зачем облачное хранилище?
Версии файлов и на компьютере есть.

(40) Не факт.

Периодически можно складывать хоть на флешку, при количестве копий больше единицы надежность носителя уже не важна

"количестве копий" имеется ввиду на разных носителях

(45) Помню последние годы флопиков... закатаешь мегабайтный файлик на 4 дискетки (чтоб не побился), пока дойдёшь до места читается целиком только одна :))

(38) нифига, вы уже не в теме. Он сначала бекапы шифрует, а потом уже приступает к самим базам.

Сейчас вообще красиво они работают.
Подавали рекламу недавно, куча писем от клиентов - сегодня пришло письмо, адрес - офисное здание на соседней улице, типа помочь со сдачей отчетности, информация в файле Информация.docx.exe

Правда бухи уже ученые, да и из папки загрузки запрещен запуск программ.

(48) А откуда у него права на бэкапы возьмуться?

(48) О как. Ждем пояснений, как это они "сначала бекапы шифруют"

(51) ну разработчики вируса тоже ведь знают, что существуют бекапы. Вы их совсем за дураков держите?

(52) И что им от этого знания?
Локальные бэкапы лежат под другой учеткой, у них банально прав не будет.
А удаленные бэкапы лежат на другой машине, и там другая ОС.

Каким образом они их смогут зашифровать???

(43) надежность хранения в облаке думаю выше, чем на локальном жестком диске, например, локальный диск может накрыться или компьютер вдруг изымут контролирующие органы, или вообще на случай непредвиденных обстоятельств, например пожар в помещении и т.д.

(53) они вам не скажут каким образом. Ожидайте пока.

(55) Какие они однако коварные и всемогущие :)))

http://bubblic.net/posts/images/266.jpg

(54) Облако так же может накрыться. Так что ничуть не выше.

Куда ТС пропал? Раз нет бекапов решил из страны бежать?

(54) Облако, оно может просто исчезнуть. На то оно и облако, вот он есть, а завтра инфо-центр тю тю :)

(59) Слово бекап, и надо его делать, он узнал из первых постов :)

(61) Ну он и исчез после 4 поста :)