Нарвались на шифратор schet.nomer.10400518-14-01 (2).scr
У секретаря на компе зашифровало файлы диска Д
Если возможность все вернуть в зад )) И набить им морду ))

(0) Секретарь женщина?

(7) Политика безопасности, в данном случае, обобщенное название мер по предотвращению запуска зловредных программ.
1) Политика ограниченного использования программ
2) Антивирус
3) Черные/белые списки для запуска программ

(0) Все...бесполезно у нас пол города так развлекалось

(9) 2 - не поможет.
1 и 3 - дороже выйдет. Проще бэкапы настроить.

(10) Ну почему? ТС указал только название файла, который инициировал процедуру шифрования. Само название не говорит ни о чем. Нужно знать какой именно шифровальщик был. Может для этого случая и есть дешифровка.

(11) Запускал я на стенде с антивирусом один шифровальщик,  антивирус его прекрасно опознал по сигнатуре. Так что лишним точно не будет.

(13) "запускал один шифровальщик" - не маловато для общих выводов? :)
(11) +1

(14) Именно для того шифровальщика этого было достаточно

(9) + Чангу на фикс вложений типа бат, цмд, джава, ехе и т д.

снова ветка про шифровальщик.

Статистика: в ветке про шифровальщик
-80% сообщений о кривых руках админа и безголовом юзере
-15% сообщений о том, какой должна быть система
-5% сообщений о том, что хакерам надо заплатить
-0% сообщений о том, как расшифровать данные

(7) >Каким образом политики безопасности помогут?
1) Запретить запуск программ из папок, куда у пользователя есть доступ на запись.
2) Запретить запись туда, откуда запускаются программы
В большинстве случаев это помогает обходиться даже без антивируса

У нас в прошлом году уволили админа, ответственного за создание бекапов, после эпидемии шифровальщика.

Собственного говоря 100%-ную гарантию защиты от шифровальщиков даёт только настройка бекапов любой мало мальски ценной информации.
Всё остальное (антивирусы, политики безопасности, запреты, дрессировка пользователей и пр. и пр.) не решает проблему.

(17) А ты ожидал что тут найдется кто-то способный расшифровать алгоритм, которым весь мир пользуется для защиты конфиденциальной информации - банки, государство?

(0) Помощи можешь попросить в одном из форумов ниже:
http://forum.kaspersky.com/index.php?showforum=18
http://forum.kasperskyclub.ru/index.php?showtopic=48525
http://forum.drweb.com/index.php?showforum=35
или любом подобном форуме

Так же можешь попробовать утилиты из ответа
https://toster.ru/q/142971

(19) Бэкапы это обязательно в любом случае.
Но они никоим случаем не защищают от шифровальщика.
Они просто позволяют минимизировать ущерб от его действий.


А защита должна быть.
И в первую очередь это политики безопасности.
Грамотно настроенные права.
Проблема только в том, что в мелких организациях это сделать невозможно, т.к собственного админа нет, и пользователям нужны полные права.

В  общем единственная эффективная защита - настройка прав.

(21) Бесполезно.

(20) Антивирусные компании изучают код вируса и по возможности получить ключ шифрования, а не взламывают алгоритм шифрования

(24) Бывает конечно что ключ шифрования пихают в сам защифрованынй файл, но крайне редко.
Большинство современных шифровальщиков не хранит ключ шифрования.

(25) Кто знает, может ТС натолкнулся на один из таких шифровальшиков. Вид шифровальшика так и не указали

(26) Шифровальщики это бизнес.
И он активно развивается и улучшается.
Год назад и ранее можно было встретить такой шифровальщик, более того, по началу они даже не шифровали а банально обфусцировали код.
А сейчас встретить такой шифровальщик нереально.

Распостранение шифровальщика стоит денег, и никому не охота их тратить, если отдачи не будет.

(14) а у меня один прекрасно запускался с обновленным антивирем. через пару дней только реагировать начал.

Единственный способ это бекап
я делаю так
ставлю Proxmon KVM сервер
туда устанавливаю  терминалку
ну и бэкап средствами KVM
уже многогранен спасался таким способом
да минус есть гарантированная защита только сервера

(0) Пункт раз. Решить де будешь пердолить секретутку - на ее столе или на своем.
Пункт два. Отпердолить секретутку.
Пункт два. Поднять из бекапа данные.

(29)А зачем такой огород для бэкапа?

(28) Они все прекрасно запускаются с обновленным антивирусом, ибо вирусом не являются, и не имеют никаких признаков вирусного кода.

(32) У меня "schet.nomer.10400518-14-01 (2).scr" антивирус съел ещё при скачивании.

(33) Ну народ нарвавшийся жалуется, они сигнатуры в базу кидают.
Хозяева шифровальщика пару байт поменяют, и не съест.

У нас ребята третий раз нарвались. При этом был RDP работал через VPN. Бекапы делались на файловый сервер. У всех права были образаны.
По утверждению IT на момент шифрования злоумышленники имели полный комплект админских паролей включая пароль на файловое хранилище. Диски были отформатированы, файловое хранилище с бекапами тоже. В результате потеряли 18 тыс руб. Грешат на обновляльщика отчетности и шпиона.

Другие нарвались тоже. У этих попроще. Права обрезаны. Бекапы делались в папку к которой имел доступ только архиватор.
  В результате тупо форматнули диск с бекапами. Результат - минус 18 тыс руб.

Оказывается, что в Windows любой пользователь, при небольших усилиях может просто фарматировать диск. И никакие права ему не указ.

(37) Каким образом?

(38) +1.

(35) it пиз..болы, либо кто то из них инсайдер, либо руки из жпо.

(40) Скорее всего ломанули админскую учетку RDP подобрав сложнейший пароль типа 123.

(31) а это чтоб ни у кого не было возможности добраться до бекапов удаленно
(35)т.е. доступ только физически а это уже другая ситуация от этого защиты нет

(42) Ну до бэкапов никто и не должен иметь возможности добраться удаленно, но зачем такой огород с виртуализацией?

Чем плох обычный бэкап? Штатными средствами винды.
Отработал по расписанию и загрузил на удаленный сервер раз в день.
Плюс несколько раз в день теневые копии.

В Windows нельзя правами запретить форматировать диск. Я когда узнал об этом, то был в шоке. Если вы еще сможете групповыми политиками запретить запускать format.exe , но можно запустить какой нибудь norton утилиту или любую другую.

У народа стояла система хранения данных. Пароль на управление системой знало несколько человек. На этой системе хранились все бекапы. Все данные были уничтожены.

Хранилище можно сделать и не на Windows, а шары могут быть только для чтения.

(44) Насчет запрета проверю, вроде нет доступа к форматированию.

А по поводу бэкапов - локально хранят только свежие бэкапы, которые еще не успели слить в сеть.
Т.е бэкап должен быть на удаленном хранилище.

(44) Ой ли? Прямой доступ к тому требует повышения прав.

(44) Обычная учетная запись - форматировать - пароль администратора - форматируем.

Нет пароля администратора - нет форматирования.

(0) Представь, что я тебя глажу по голове и тебе становиться лучше, спокойней...

Только что пришло )

При проведении налоговой проверки у нас была истребована первичка по некоторым нашим операциям начала 2014 года.
Прошу отправить скан-копии актов и фактур в соответствии со списком (в приложении).
Эти документы наша бухгалтерия так и не смогла найти.
Наверное, они были утеряны в ходе нашего переезда в новый офис.
Рассчитываю на Вас, а то нам придется платить штрафы...

Прикрепленные файлы (1):
1. Перечень для ФНС.xlsx

Вместо файла ссылка на Cloud.mail

там файл вида *.xlsx.js

Дальше ясно что происходит.

(51) В скрипте код не прочитать. Обфускация однако.

(0) ТС лох и неудачнег.

(51) можно прочитать
скрипт обычно делает так
1) качать с сайта документ, чтобы показать юзеру
2) качает новый скрипт и запускает его
3) новый скрипт качает скрипт, обычно bat или cmd и зпускает шифрование

Не пойму - зачем шифратор скачивать надо было минимум три раза?

Если свой почтовик используется, то очень удобно сделать примерно так: я на своих почтовиках для защиты прописал стандартные запреты: двойные расширения, и всё, что связано с cmd, bat, scr, js - год полёта, заражений нет, попытки - в среднем 10-30 в день. Простая защита, но работает, и кстати, очень странно что это не практикуют хотя бы опционально публичные сервера.

На скачивание чего-либо из инета - у юзеров запрет на прокси.
Теневые копии 2 раза в сутки на win-шарах и регулярные бэкапы.

С публичными почтовиками на этом уровне сложнее - долго мучался с защитой в одной конторе с публичным мейл-сервером (типа мейл-яндекс), и сетью, без домена, на десяток инвалидов, в итоге плюнул, периодически, если ловят шифровальщика - откатывают на теневую копию нужный файл/ресурс, в крайнем случае достают из ежедневного бэкапа.

(45) > У народа стояла система хранения данных. Пароль на управление системой знало несколько человек. На этой системе хранились все бекапы. Все данные были уничтожены.

Какая грустная история. Какая неумная организация хранения данных, какая вообще глупость критичные данные доверять "нескольким людям".

(55) А чтобы не поймали.
То что попадает на компьютер - это троян, он просто открывает доступ к системе.
Чтобы пользователь ничего не заподозрил, он показывает нужный документ.
Паралельно загружается и запускается на выполнение шифратор.

Шифратор отрабатывает все файлы, после чего обязательно самоуничтожается - полностью затирает свой код.

Само шифрование занимает от нескольких секунд, до получаса, в зависимости от количества документов.

А в это время создатель шифровальщика пьет кофе и читает все наши сообщения....

(0) Можно сделать с секретарем, даже с вазелином :)

(17) >>> -0% сообщений о том, как расшифровать данные

Для расшифровки, это должно этого стоить :)

(59)Создатель шифровальщика занимается исключительно продажей своего продукта.
Он данные не шифрует.
Этим занимаются те кто его купит, и настроит под себя.

(34) Это, что за наивные, устанавливают такие приложения...
Раньше тупо, такие содержали вирусы :)... Драть, таких надо, а не Секретарем быть :)

(62) Хороший, бизнес. Но думается людям в погонах будет побоку, какую дозу он продал. Будет сидеть, как ключевое звено. Без него не полетело бы вообще все :)

(42) Сервер в датацентре в другой конце города/другой городе/другой стране/другой планете, вселенной.
Доберись до него физически, если в датацентр пускают только при определенных условиях: письмо из конторы, паспорт входящего и личный телефонный звонок с мобильного директора ИТ.

(44) Можно сильно ограничить, настроив своп на этот диск. Минимальный. но система будет его держать.
Другое дело, когда форматирование может быть (хотя навряд ли) отложено до перезапуска ОС, как это делают с проверкой дисков chkdsk

(51) Кто-то из ваших контрагентов поймал почтовый вирус.
Было такое на моей памяти году так в 2012.
Тогда всем срочно разослали рассылку, не отвечать на подобные письма и перезванивать своим контрагентам.
А в другой раз по офису пришла рассылка на иностранном от нашего отдела ВЭД, естественно, никто не поверил и еще раз провели профилактику подобных писем и рассылок.

(64) Люди в погонах до него вряд ли доберуться.
Кому он интересен? Чтобы его поймать это уровень ФСБ и интерпола, ибо в другой стране.

(67) Профилактика мало помогает.
Точнее помогает только тем, кому редко приходят письма.
А когда пользователь обрабатывает десятки писем в день, он не будет смотреть и вчитываться.
Похоже что от контрагента - откроет.

Тут надо просто блокировать исполнение файлов из папок загрузки.

Внесли в базы drweb
JS.Muldrop.77

может кому поможет не поймать, хотя их сотни, если не тысячи новых делают.

(70) Их немного - штук двадцать разновидностей.
Но это генераторы - т.е человек вбивает нужные настройки и генератор выдает шифровальщика готового к распостранению.
Можно генерировать новый каждую секунду, с новыми параметрами.

(68) Главное знать Кто... а что бы поймать, голубчик рано или поздно сам сделает роковой шаг. И въедет в страну, откуда его этапируют куда надо :)

Пока антивирусники не начнут писать проверку на попытки шифрования документов и другой фигни, средствами форточек или подобно, с подписями. Все будет по прежнему :)

Либо вообще полностью выпиливать момент шифрования и если встречается, значит все плохо :)

(72) А как узнать кто? Это расследование надо проводить, в другой стране, и не в одной.
Дорого это и сложно.
Поэтому такие вещи делают если сильно надо.
А в данном случае - кому оно надо? Я думаю никому.
Пишет - ну и нехай пишет.

(73) Это невозможно.
Как можно сделать проверку на попытки шифрования вообще?
Ну увидел ты попытку шифрования, что дальше?

Шифрование используется везде и повсеместно. Поэтому если проложение шифрует, значит так оно и надо.

(75) просто некоторые индусы когда винду писали не учли почему то опыт доса
и не сделали песочницу как в макоси

когда приложение на запись дальше своей папки не умеет
а для всего прочего есть публик интерфейсы с проверкой и которые можно контролить

(76) У каждого свой подход. У каждого есть свои плюсы и минусы.
Когда приложение дальше своей папки не умеет это банально неудобно, я рад что этого не сделали.
Поэтому макосью и не пользуюсь.

(75) Как, как... Да просто. Если приложение не подписанное лезет в документы или картинки, то тревожить пользователя. :)
Если это вообще скрипт, то как правило оно использует стандартный механизм от форточек и отлавливать такой скрипт.

...
Главное, было бы желание :)

+ Ну и да, найти писателя шифровальщика и подвесить за яйца, показательно. Это многого стоить будет :)

Мыши давились, кололись, плакали, но продолжали жрать кактус...

(80) Все любят халяву :)

(78) Ну так кто мешает запретить запуск неподписанных программ самому?
Это легко реализуется штатными средствами?

У меня сегодня тоже словили товарищи плюшку. Локальный комп зашифрован весь минут за 40. Сотрудники были предупреждены, но самое странное, что изначально позвонил клиент - типа отправил доки, сначала пришел троян (с левой почты), а следом письмо от клиента - в веб интерфейсе время прихода обоих писем одинаковое 16:10.
З.Ы.: Одно радует - пох.

Вопрос к пострадавшим, на ПК где файлы зашифровались, были установлены программы:
1. Астрал Отчет
2. Крипто Про CSP?
Потому что если запускать SCR файл "как пользователь" то антивирус блокирует сразу, и ещё до установки Астрала, антивирус ругался на mercuryTray как на троянец
Собираю статистику, так как подозреваю именно Астрал в распространении вируса.
Т.е. через удаленный админ в астрале запустили, а крипто про как раз для шифрования )

(84) ты нанюхался что ли?

(85) не думаю

(84) ыыы, не по обычной почте, а по каналу с ЭЦП пришел троян да?

кста есть простоя метода по подмена "серверов обновления" или "плохой сотрудник фирмы разработчика" для построения ботнетов и прочего распространения всякого

у меня на днях зашифровали домашний сервачек пока я спал, а жена что то там делала в интернете. Так все ценные данные были в облаке ) Удалил все зашифрованные файлы и сказал злоумышленникам спасибо, что подстегнули почистить диск...

а они просили выкуп 1 Биткоин.

(87) Надеюсь зашифрованный сервачок с облаком успел синхронизироватсья?

(84) Бред фееррический.
Астрал Отчет это вообще что за контора? Ваша местная мелкая фирмочка?
Крипто Про CSP это софт провайдера электронной подписи, и шифрует он не лучше и не хуже чем тот же Winrar, или Firefox.

По поводу шифроальщика - ему нет нужды пользоваться сторонними программами для шифрования - реализация AES довольно простая и легкая штука, и встраивается в программу если нужна.

(84) хм...
Астрал-отчет использует криптопровайдер Vipnet CSP.
Ну а Крипто Про CSP - это сам по себе CSP.
это два РАЗНЫХ криптопровайдера и заставить их корректно ПОЛНОЦЕННО работать на одном компе - сам по себе тот еще геморр.
Нахрен их употреблять вместе всуе - нипанятна.


(89) стыдно...
стыдно не знать кормящую всю рать 1-сников
1С:отчетность.
В итоге все равно базирующуюся на Калуге Астрал.
шоб далеко не ходить, вспомним начало начал здесь же: Новый продукт 1С: Отчетность. Калуга-астрал решила порвать рынок электронной отчетности.
Так вот оттуда же (или туда же) -  и Астрал Отчет.
Фига се "местечковая мелкая фирмочка" - всю 1С:отчетность на своих плечах (своими ЭЦП) поддерживает.

ну а Крипто Про CSP - это не " софт провайдера электронной подписи", как ты его изволил обозвать, а полноценный криптопровайдер, который реализует разные алгоритмы, и в том числе
"- Алгоритм зашифрования/расшифрования данных и вычисление имитовставки реализованы в соответствии с требованиями ГОСТ 28147-89 "Системы обработки информации. Защита криптографическая"."
так что шифрует он куда как лучше Winrar'a или Firefox'a.
По ГОСТу шифрует, однако, зараза.
:)

хотя это не отменяет сказанного тобой ,что шифровальщику и нафик сторонние криптопровайдеры не нужны.

(84) По поводу кАстрал Отчета - могу сказать одно, не у всех это кривое гуано удаеться запустить без выключения UAC. А выключенный UAC это дырища в безопасности.

(90) Ну с Астралом я не сталкивался.
Везде Сбис стоит, и все ими пользуются кого знаю.
Т.е 95% народа сдают отчетность через Сбис, а уж остальные 5% через прочих.


Крипто Про CSP  это именно софт криптопровайдера.
Полноценный крипотопровайдер это огранизация, в которой работают люди!
Да Крипто Про реализует различные алгоритмы шифрования по ГОСТу, только вот мошенникам нафиг не сдалось шифрование по ГОСТу.
Им надо быстро, просто и удобно.

(91)Поскольку не сталкивался не могу утверждать, но как то сомневаюсь чтобы UAC смог помешать запустить софт.
В чем там проблема?

(92) веселый ты парень. это я насчет людей..  :)

ну вот, к примеру, хоть здесь посмотри, что такое на самом деле "полноценный криптопровайдер":

https://ru.wikipedia.org/wiki/Криптопровайдер

(92) Плясок много, многим проще вырубить и не напрягать мозги. Как сейчас не знаю, но раньше при установке требовали.

(93) Да, ошибся, я считал что провайдер это поставщик услуг, т.е организация которая поставляет софт.

(87) хм.. и как облако не даст зашифровать файлы?
возьмем например дропбокс, на домашнем компе стоит агент, облако подключено. Шифратор закодирует файлы в папке обменника - они автоматом уйдут по синхронизации в облако...
..или я что-то не понимаю..?

(88)(96)нет!!! у меня не запущено никаких автоматических синхронизаторов с облаком. Хватит! Доигрался я однажды. Приложение не знаю что то там сделало, так у меня из облако удалились ценные фотки... Я синхронизирую все вручную. Беру просто файл или папку, с которыми мне нужно работать, копирую ее из облака на комп, работаю, а потом обратно закидываю туда. На компе только ненужный хлам типа скачанных обучающих курсов - та инфа, которая не представляет ценности.

(97) Вот и первый нормальный человек, осознавший, что значит автоматизация работы с облаками :)

(98) доверь паше хер хрустальный..

>> И набить им морду
Им - это айтишникам? можно, начни с этого

(97) Ты точно правильно профессию выбрал?

Зато не скучно.

Адинэснег глянь плз почту

(96) Если шифратор зашифровал файлы в облаке и пользователь это заметил - то например дропбокс хранит изменения за месяц и их можно откатить. Моих знакомых это уже спасало (но пришлось повозиться с откатом - файлов было много).

(104) Не все сервисы хранят историю.
На своем сервере или ПК проще настроить историю файлов.

Сегодня пришло сразу два "замечательных" письма:
Первое:
=======================================
from [email protected] <[email protected]>
Отправляю исправленный счет за услуги связи.        
Новый документ во вложенных файлах или тут:    https://cloud.m a i l.ru/p u b l i c/BAp3/kwWeNytB6  
=========================================
Второе:
========================================
from Отдел по борьбе с кор <[email protected]>
subj Необходимо внести обязателный плaтеж
Доброго времени суток.
Отличная новость для программистов и не только!
Даже если вы совсем не разбираетесь в программировании,
языках java и тд, не беда, у вас все равно есть отличная
возможность использовать данный скрипт.
Что он делает?
Устанавливается на ПК, закачивает файл конфигурации
и подключается в системе Яндекс. Далее идет секретная часть, после установки которой, вы будете получать 25 pyблей каждую минуту.

Скачать скрипт

Отдел тех. поддержки.
  
--------------------------------------------------------------------------------

Не хочу получать письма
Пожаловаться на спам
Все три ссылки скачивают скрипт        
=======================================
Для желающих скачать - в ссылке убираем лишние пробелы :)

(106) Отошли письма в DrWeb и Kaspersky
Может кому-то и поможет ...