Руками блондинистых рук бухгалтера был скачан архив из почты, и теперь все файлы в формате da_vinci_code, а на рабочем столе заставка «Внимание. Все важные файлы зашифрованные….». Самое обидное, что Нод32 пропустил и вирус-гад зашифровал базы 1С 8.2. Архивов, к сожалению не делали. Кто-то может, сталкивался с таким шифровальщиком  - что делать и есть ли  лекарство????

Четко по закону можно действовать.
Сотрудник (с блондинистыми руками) не обладая нужной квалификацией допустил порчу оборудования организации.
Далее составляем список ответственных с кого будет списан ущерб. Сумма по оценке ущерба это или оплата вымогателям или оплата работы по восстановление оборудования (документы, базы данных и т.д.)

(1)>>алее составляем список ответственных с кого будет списан ущерб

Сдается мне, ущерб будет списан с ТС: :-)

(2) Ну если ТС принимал на работу бухгалтера с проведением инструктажа по ТБ и росписью да еще и мат. ответственное лицо за данные на компах и в БД то вполне возможно.

(3)А то чего бы он тут темы поднимал?:-)

(4) ТС неувиновен)Архивы не дело электриков!

У нас фирма молодая и маленькая, должности администратора нет, я манагер/продвинутый юзер :) - попросили разобратся и по возможности решить проблему.

(5) Повеселил

(6) Похоже ваша маленькая фирма скоро прирастет админом.
Ваш опыт показывает, что он вам нужен.

Хотя... может потери не очень и велики? Раз фирма маленькая.

(6) Многие фирмы на западе прекратили свое существование при подобных обстоятельствах:сможете ли вы с нулья как Феникс возродиться неизвезвестно.Одно несомненно: админов которые делают архивы будет больше.

(0) Лекарства от шифровальщиков нет.
Забудьте про данные.

>>>Самое обидное, что Нод32 пропустил и вирус-гад зашифровал базы 1С 8.2.

Поймите одну простую вещь - NOD32 это антивирус!
Его задача блокировать вирусы, и он с ней справляется довольно успешно, как и другие антивирусы.

Шифровальщик это просто вредоносная программа, вирусом не является, и антивирусы против нее бесполезны.

Более менее обезопасить себя можно только грамотной настройкой прав.
И бэкапы!!!

(1)>>Сотрудник (с блондинистыми руками) не обладая нужной квалификацией допустил порчу оборудования организации.

А сотрудник при чем?
Был ли проведен инструктаж сотрудника на предемет опасности заражения? Был ли определен регламент действий с письмами?
Если нет - какие вопросы к сотруднику?

Это вина админа и руководства - не обеспечили безопасность.

(6) Как показывает практика подобных тем - единственный шанс - заплатить вымогателям :) Либо забыть о данных.

(13) +1, все остальное отлукавого )

(13) иногда вымогатели криворукие или успели из розетки выдернуть ))

Несколько раз удавалось восстановить из теневых копий.
Они часто по дефолту на системном диске включены.
Но редко кто держит базы на системном.
Да и шифровальщики сейчас стараются грохнуть теневые копии по окончании работы.

(0) Не обращай вниманимание что тут всякие клоуны говорят. А у тебя только 1 вариант. Связываешься с вымогателями, узнаешь сумму выкупа (кстати в последнее время эти суммы ниже чем раньше) хотя возможно это связано что многие перестали с биткоинтами иметь дело, так как большой гимор объяснить пользователю как купить и как перевести(пользователь всегда думает что его на каждом из шагу разводят). Если сумма не большая, то скажут номер телефона куда по киви перевести деньги, если большая 10-20 тыс, то биткоинтами придётся банчить, но тут эту сумму можно уговорить снизить чутли не в 2 раза.      Короче деньги переводишь и получаешь дескриптор, который все расшифровывает. Систему можно потом не переставлять. А вот бэкапы сделать.

(16) +100500. Однажды в system volume information нашел *.dt выгрузку основной базы (самая большая была) - бухгалтер неделю спасибо говорила, остальные 5 баз по первичке восстановили

Был у меня знакомый, 3 дня без сна и смог восстановить базу 1с за данными за пару лет учета. Как делал не спрашивал у него, но по факту базу восстановил.

(19) 1) Сам поломал - сам "восстановил". Не вижу чуда.
2) Ты - Великий Сказочник, но это в будущем, когда печататься начнешь. А пока твой жанр - байки под пивко.

А вот интересно, существует ли хотя бы теоретическая возможность поймать этих вымогателей?

(20) а че сразу сказочник? может он 3 дня бэкапы искал ))

(21) теоретически можно любого поймать )

(0) Ну вот теперь ты будешь делать бэкапы

(23) И с чего ты бы начал поиски?

(25) начал бы искать генерала в фсб

(25) На самом деле, не такое уж сложное дело. Поиски можно начать с:
1.) Если осталось тело вируса, можно попробовать в нём найти адрес командного центра
2.) Может навести адрес, с которого был отправлен сам вирус
3.) Злоумышленнику придётся выйти на связь, чтобы получить денежку, тоже может спалиться

>> Архивов, к сожалению не делали.
Админы делятся на две категории. Одни делают бэкапы, вторые уже делают бэкапы.

А полный текст письма? Наверно было чтото типа претензия щас подадим в суд... вы бабки должны и тп?

(27) Начитался сказок.

(30) Почему сказок?

На хабре было несколько статей по взлому таких сетей.

Предыстория. Как правило, создатели подобных шифровальщиков сами заражением не занимаются. Они продают "конструктор" и предоставляют "командный центр".

Программист "заразил виртуалку", отследил поэтапно что происходит, выловил "командный центр". Дальше путем хакинга взломал этот центр, выяснил реальные данные организаторов и передал все в правоохранительные органы. Ну и потом уже статью на хабре разместил.
По итогу на этого программиста завели дело за взлом этой сети  ))) А сеть открылась на другом домене. там правда "хабро эффектом" положили эту сеть ...

Ну и куча других примеров есть, что "горе" создатели подобных шифровальщиков сами делают ошибки и восстановить информацию будет невозможно.

(27) Ага, пойдет владелец бизнеса выходить на связь с каким-то лохом.
Деньги снимают наркоманы. Их контролируют силовики.
Ни те, ни другие владельца бизнеса не знают, и выполняют конкретную работу, за деньги.
Владелец бизнеса в такие тонкости как правило не лезет.

По поводу командного центра в теле вируса - ну найдешь, ты его и что дальше?
Предьявишь претензии владельцу хостинга, где он хоститься, или что?

А адрес с которого отправлен вирус - тоже арендованный сервер, или зараженный компьютер твоего соседа.

(28) Неправада ваша.
На три категории они делятся.
Третья категория еще и проверяет бэкапы.

http://pk-help.com/security/the-virus-encrypts-files/

(0) погляди теневые копии диска, я успешно с них восстанавливался

+(36) если сервак у вас 2008 или выше, там автоматом теневые копии должны идти, если защиту восстановления системы не отключали полностью.

(37) Все так, только они по умолчанию только на системном диске, а базы редко кто держит на системном диске.

(1)>> Сотрудник (с блондинистыми руками) не обладая нужной квалификацией допустил порчу оборудования организации.
Виноват во всем этом админ. Он обязан предотвратить подобные явления.
Априори бухгалтер не обязан думать есть вирус или нет.
И это правильно.

Резюме - раз квалификации админа нет - пусть оплачивает услуги по востановлению.

+(39) >> Архивов, к сожалению не делали.
Учитывая это - админ/1с-ник виноват полюбасу!
Пусть оплачивает банкет.

Блин! Это же азы!

(39) Не факт.
Вы делаете поспешные выводы.
Как админ может быть виноват если его нет?

(0) В конце прошлого года пригласили на подобный случай.
Утрировано, все вирусы шифровальщики делятся на 2 типа:
1) старые - когда ключ хранился на компе пользователя - для подобных на сайте DrWeb и тематических сайтах есть множество софта (берешь расширение или окончание имени файла и вперед...)
2) новые - после того как опубликовали статью о своих успехов, автор вируса ответил, что провел "работу над ошибками" и начал выпускать новые версии с пересылкой ключей на внешний сервер. Такие файлы не расшифровываются.

Т.о. в зависимости от версии вируса ситуация может оказаться не такой безнадежной...
P.S. Спецы DrWeb при наличии подписки на свой продукт и исходной версии файлов занимаются подбором/генерацией ключа - присылаешь им исходные и зараженные файлы (2-3шт). Но уже в прошлом году примерные сроки оценивались в районе месяца(

(42) Таких чтобы хранили ключ на клиенте уже давно нет.

краткая инструкция борьбы с шифровальщиками
Осторожно! Свежий вирус шифровальщик, теперь с расширением *.wsf

пора уже в Книгу Знаний добавить ,)

(20)  Да да, сказочник, работал во франче тогда я, и к нам обратилась компания которую не сопровождали мы, и за эту работу взялся чел с нашей конторы... И да, продолжай думать что это сказки. Это твой выбор

(16) Вчера вечером, по вашей наводке, нашел на этом сайте( http://itsecurity-ru.com/viruses/da_vinci_code ) информацию о теневых копиях и о ShadowExplorer. Сегодня с утра запустил, и на удивление откатились базы 1С, почти все файлы МС Офиса и еще что-то по мелочи. Я просто не поверил своим глазам.
В итоге провел беседу с блондинистыми руками, отключил макросы в офисе и установил Malwarebytes Antiransomware.
(28) Да, вы правы - сейчас думаю, как делать регулярные бекапы на внешний носитель.
Всем спасибо, обошлись легким испугом!

(46) Скажи спасибо майкрософту который стал включать это автоматом.

Вещь очень удобная, и без всяких шифровальщиков.
Звонит бухша клиента, и говорит - у меня тут выгрузка была, я ее три дня назад удалила, а она нужна.
Открываешь папку на нужную дату и достаешь файл.

Хотя использовать в качестве бэкапа их тоже не стоит.

По поводу защиты  - запретите пользователям запуск программ из левых директорий, чтобы запускались только из программ файлз, и других четко прописанных папок.
И бэкапы.

(47) Зделаю, спасибо за совет!

(46) А какой Нод 32 у тебя стоит?

(49) А какая разница в данном контексте?
При чем тут вообще антивирус, если речь про шифровальщик?

(47) При правильном подходе. Все там подчищается :)

(51) Не понял. При каком правильном подходе и что подчищается?

(52) При написания правильного вируса, все копии чистятся.

Народ. А кто какие еще программки знает?
Чет гугл поисковик на каспера кажет.
Неужели больше нет халявы? :)

Malwarebytes Anti-Ransomware Beta*
http://www.comss.ru/page.php?id=2847

(53) Ну во первых мы говорим не про вирусы.
Во вторых - кто то спорит что чистятся?

(30) (32) Ну вот этих вот https://www.youtube.com/watch?v=s28_c6AM7zM
как-то поймали, значит есть способы.

(56) Да студенты какие-то. Поэтому и взяли.
Серьезные люди не попадаются.

(57) Просто для серьезных людей нужны более серьезные розыскные мероприятия. Думаешь нельзя взять бомжа или наркомана на съеме бабок с бабкомата и расколоть его до #опы? Органы если захотят, то очень хорошо искать умеют, просто эти самые серьезные люди еще не задели интересов других серьезных людей, которые могут "простимулировать" серьезные поиски.

+ (58) Вот наглядный пример, что бывает, когда затрагиваются интересы тех кто может дать ответку. https://tjournal.ru/p/tinkoff-pump-water
Думаю там бабки немалые были на поиски потрачены.
>>По словам представителей банка, выйти на хакера им удалось «собственными силами». Служба безопасности ТКС отследила порядок заражения компьютеров, участвовавших в DDoS-атаке, проанализировала их IP-адреса и установила тот, с которого началось заражение.

(50) Типа этого в ESET SMART SECURITY
https://forum.esetnod32.ru/forum9/topic11235/?PAGEN_1=10

(50) Почему антивирус не должен чистить шифровальщик? Разве шифровальщик - не зловредное ПО? А антивирь разве не должен бороться со зловредным ПО?

Потому что шифрование имеет место быть как элемент защиты данных.

(62) Можно же как-то различить доброе и злое шифрование. Да хоть бы в список исключений антивиря добавить добрый шифрователь.
Вот как бы логично же - что если какая-то неведомая хрень (её нет в списке известных прог для шифрования и нет в списке исключений) вдруг начинает шифровать просто всё, до чего дотягивается - напрашивается же логичное действие антивиря - отрубить и убить.

(63) шифровальщик шифрует диски совершенно штатными возможностями ОС, и ты думаешь когда данные защищают шифрованием шифруют файлы выборочно?
как антивирус должен это понять?

т.е. различить доброе шифрование от злого?

(63) Можно. На уровне ОС. Но это уже Вам с претензиями к мягкотелым.

Если ОС разрешает шифровать папки и диски, то она же должна распознавать(!), контролировать и блокировать шифрование там, где ОС и пользователем не было разрешено явно.

(66) а что значит явно, запуск скрипта из письма это не явно? винде надо перед шифрованием 50 раз спросить - а вы действительно хотите зашифровать? у нас на работе все ноуты зашифрованы - админам нех делать как кнопки нажимать периодически, если такое случиться.

(67) пользователь и 100 раз нажмет "Зашифровать" :)

(67) "разрешить шифровать там, где разрешено" - админам ничего не нужно давить. Если у Вас ноуты зашифрованы, то чисто теоретически алгоритм защиты может проверитьключ шифрования, ну или сравнить с ранее использованными.

Не надо на меня бочки катить:( Есть куча сервисов, которые защищают себя от внедрения "из вне" и попыток обхода -ничего нового я не предложил.

(64) а есть какие-нибудь настройки ОС или Касперского того же самого, чтобы запретить шифрование от слова СОВСЕМ? Тогда и проблема в принципе станет неактуальной....

(69) я имел ввиду подготовку ноута к работе.
(71) в поиске - http://support.kaspersky.ru/10905#block3
мне кажется, все антивирусы уже какую-то защиту имеют, иначе их брать не будут.
но лично я на домашнем компе не пользуюсь ими вообще. если не сидеть под админом, не лазить по порносайтам и не открывать спам в почте то можно вполне спокойно жить и так.

+72, ну и бекапы - это святое, учетка под них правда не отдельная.

поймала тут одна гражданка  da_vinci_code
просят :
0.53 биткоина по адресу Address: 1CGugRyGKRtAZ4H2sMPGkgqd95motHMUp8
Оплатить за 5 минут можно на сайте localbitcoins.com
заходите, регистрируетесь(это 10 секунд) , смотрите курсы(вводите деньги на аккаунт,
там больше 100 способов, через карты, через киви, через вэбмани, через яндекс деньги),
у кого выгоднее купить биткоины (выбирайте кто с репутацией , там видно у кого от 100 сделок)
и покупаете 0,53 биткоина и вводите продавцу адрес что я дал
Если совсем не получается или лень то тут https://matbea.com/,либо тут https://24xbtc.com/, что по душе прийдется,
но на localbitcoins выгоднее
После оплаты СРАЗУ присылаю программу, ключ и инструкцию
Внимательно сверяйте биткоин адрес на момент отправки.Бывали случаи когда вирус подменял адрес который я высылаю
будьте предельно внимательны когда копируете номер кошелька

(13) Далеко не факт, что деньги спасут ситуацию.
(16) "Они часто по дефолту" - чушь

и вопрос оплачивать или разводилово ?

(76) А как сам думаешь?! Даже если и представят все, что обещали - даже в этом случае - разводилово.

(76) Это вам решать.
Есть ли у вас теневые копии. Прямые руки.
И до какой степени там у буха нужная информация :)

Вероятность получения кода и дешифратора равна 50%...
Т.е. нет ни гарантии ни честного Я от тех кто вымогает.
Ибо Вор не тот субъект, что будет с вами честен :)

Про бэкапы уже было?

Если вариантов восстановления из бэкапа не будет, то больше всех в восстановлении информации из зашифрованных файлов сейчас продвинулся Др. Веб.

Купите лицензию, она там стоит рублей 600, и пришлите им на анализ. Иногда они справляются с шифровщиками. У одного знакомого файлы накрылись, после чего Др. Веб на основе шифровщика смог выпустить расшифровщик.

нужно заплатить злоумышленнику. Там не больно какие деньги. Максимум 30 тысяч. Сис админу депремирование за то, что допустил такое. Нельзя было давать админские права женщинам.

(81) Мы не ведём переговоры с террористами.

(78) так это не бух,  девочка дома

(83) Девочки дома забить на файлы.
Срочно форматнуть винт, установить все по новой.
И в будущем поставить девочке вот прогу и подобную в (54)

Вроде есть еще несколько халявных средств по защите от шифровальщиков.

(84) Не нужно ставить разные какашки от маленьких "гениальных" фирм!

(71) Нет.
Невозможно даже теоретически отличить шифровальщик, от штатного ПО шифрования.
Можно минимизировать угрозу, но не исключить.

(85) +100

(72) На домашнем компе я под админскими правами живу уже спокойно года 3, не лажу по левым сайтам, не открываю спам... Это-то все понятно, но от случайного нажатия никто не застрахован.... (((

(86) понятно, спасибо! Будем бдительными )))

(89) Дык твое дело сделать правильно. Под админом не работать!

Повторю инструкцию.
Выдержка из Осторожно! Свежий вирус шифровальщик, теперь с расширением *.wsf

Кратко как себя обезопасить:

1) про Бэкапы всем известно.
+ Бэкапы должны писаться от другой учетки. У всех учеток, кроме специальной не должно быть прав на запись, даже у системных и админских.
Если пользователи работают не под админом, могут помочь теневые копии (предыдущие версии файлов)

Не используем в работе подключенные диски.
Только ярлыки на сетевые папки. (Хотя думаю, скоро шифровальщики научатся и это)

Есть возможность - используем перемещаемые профили.
Есть возможность - используем белые списки приложений (желательно по хэшу, но это трудоемко)

Из под админской учетки не работаем, даже админы!

2)Если винда xp/7/8/10 Pro/Ent то используем SRP
software restriction policies
https://www.anti-malware.ru/reviews/Software_Restriction_Policies

еще поможет поможет подмена открывающего приложения на Notepad.exe для расширений *.scr, *.js, *.hta, *.vbs и еще ряд.

3) Если есть свои прокси и почтовик, то есть варианты блокировать файлы и вложения содержащие двойное расширение *.*.* или конкретные расширения.
Можно настроить запрет открытия ссылок через почтовые клиенты.

Кратенько все. Может у кого какие дополнения есть?

Еще есть вариант использование программ "Песочниц".
Но на работе имхо не удобно, а для дома вполне неплохо.
http://www.ixbt.com/soft/sandboxes.shtml
https://xakep.ru/2014/01/03/apps-virtualisation-tools/
http://www.comss.ru/list.php?c=HIPS

ПС: Дополнение в броузерах используем дополнения uBlock+Ghostery, и если не лень заморачиваться NoScript

ПС2: Раз в месяц минимум такая тема создается. Может кто-нибудь kb оформит?

спросили у него как заразились с почты? , написал что не нет ,а "со связки а не с почты", так и не понял как именно , может кто знает что  значит "со связки а не с почты"

что то новое придумали ?

ни кто так и не знает

(39) Априори бухгалтер должен думать, куда он кнопки нажимает. Если я буду весь день сидеть на порносайте, то тут админ только виноват, что не поставил файервол. Так что ли?

да походу он и есть

каждый день 500 р требует

(94) Шифровальщиков ловят не на порносайтах, а открыв письмо пришедшее по почте.
Одна из обязанностей этого самого бухгалтера просматривать корреспонденцию от контрагентов.
Поэтому она должна открывать эти письма, а админ должен обеспечить, чтобы это было безопасно.

(97) (91) читаем

(97) какой почты ? читать не думал?

(97) Вот любят перекладывать ответственность друг на друга.
Админ на бухгалтера, бухгалтер на админа, админ на антивирус и т.д.

Бухгалтер открыл письмо, там вложение - скан документов.
Или выгрузка акта сверки в Эксель. Открыл документы.
Что дальше?
Если это исполняемый файл - антивирус может определить по сигнатуре возможность вложенного скрипта?
А если это .exe-файл с картинкой листа эксель, тоо что должен сделать антивирус?

Блондинистые ручки? Я всегда в виндовом проводнике настраиваю отображать расширения зарегистрированных типов айлов.
И вижу - картинка ю-торрента, а расширение .exe - запущу ли я этот файл? Если запущу, кто будет виноват в этом?

(100) У бухгалтера задача открыть документ.

У админа задача сделать чтобы исполняемый файл, при всем желании бухгалтера банально не запустился, ибо запрещено.
Т.е ограничение на запуск из определенных директорий.

Антивирус в это время должен вирусы ловить, против шифровальщиков он бесполезен.

В идеале у бухгалтера вообще не должно быть прав на запуск левых программ.
Но это в идеале, когда есть домен, админ и все дела.
А в реальности в небольшой организации права отобрать у юзера нереально.
Поэтому просто приходится их мягко ограничивать.

(74) "Внимательно сверяйте адрес". Ага. "Ой, а я денежки получил, а вы мне неправильный адрес выслали".

(88) Вот, кстати и про админские права. Не отключать UAC и частично это поможет видеть, какая программа пытаетс получить админправа.

(102) Но тут визг и писк "а как же наши любимые ПГП-шифрователи отчетности, им, отчетностм, админправа нужны". Зачем-то

еще раз для упорытых
"со связки а не с почты"

что вы тупите ? какая почта ?

Пользуемся Касперским , подробная инструкция настройки, для предотвращения шифрования данных https://support.kaspersky.ru/10905#block1 . Сталкивались с таким злавредом, отправили в КасперскийЛаб образцы зашифрованных файлов, через некоторое время(2-3 дня) прислали программку которая расшифровала все файлы

как вариант купить лицензию Касперского и отправить на иследование, может как и нам, вам повезет

(99) Основной источник распространения - почта, так же бывает взломанный удаленный доступ, других не встречал.
Что конкретно читать?

(106) Что за бред?

"со связки а не с почты"
ПОХОДУ ОН ТУТ СИДИТ ЧИТАЕТ

ох капсом написал

(112) Что такое связка?

(99), (107) Немного сдержаннее. И объясни, что такое "связка", которую ты сопоставляешь почте.

(108) Если Каспер "расшифровал" зловреда - значит он их и распространяет. Особенно мне стало ясно когда Вы туда отправили "образцы зашифрованных файлов".

"Архивов, к сожалению не делали"

ну теперь-то будете делать...

Тут пару раз проскакивало, что шифровальщик это не вирус и не ловиться антивирусом. А с каких это пор?

(118) Что значит - "с каких это пор?".
Шифровальщик никогда не был вирусом.
Поэтому и антивирусы бесполезны.

(119)А что тогда антивирус ловит?

(118) Возьми, например, шифровальщик 7zip и скажи - в каком месте он является вирусом.
(120) Шифровальщику надо сначала запуститься. Вот пути запуска антивирус и "ловит". Типа ссылки в почте, левые файлы и т.д.

(120) В основном вирусы, иногда и другое вредносное ПО, которое может детектировать.

(121) Ну по пути запуска трудно что-то детектировать.
Определение вредоносных программ идет в большинстве случаев либо по сигнатуре, либо по поведению.
Если нет подозрительних сигнатур, и нормальное поведение - антивирус ничего не блокирует.

(123) Скрипты же можно, например, детектировать. Блокировать подозрительные вложения в почте. Ну и защита от известных дыр в ОС.

(121)7zip имеет официального производителя и он запускается пользователем. Антивир должен ловить все что не имеет официального производителя и несанкционировано изменяет файл или делает что-то в системе, даже переименование файлов ловится антивирусом нормальным.

+(125)А уж про шифрование некой програмкой на которую не нажимали должно 100% ловится. Просто тот же НОД не ловит вирусы. Он более менее постафктум может что-то накопать но сканер у него некакущий.

(125) Что значит официальный производитель и как понять "официальность производителя" компьютеру?

А шифровальщик не изменяет файлы несанкционированно он делает это с согласия пользователя.

(126) Что значит не нажимали?

Шифровальщик не вирус! Поэтому его запускает сам пользователь.

(126) Если ты не в курсе, то сообщу тебе, что "вирусы-шифровальщики" запускаются пользователями аля-БабаНюра.
Даже безопасность может сработать - запустить бла-бла-бла?! аля-БабаНюра - жмакает да.

И еще ты про какой НОД вещаешь?! Касперу до НОДа еще 30 лет медальки собирать.

(127)В программах забито это. Т.е. тот же касперский все программки написаные нами ловит как вирусы.
Я думал мы запускаем только чтоб шифровальщик качнулся, а запускается сам) Ну в любом случае он не имеет оф производителя.

(125) Берете в обычном батнике пишите перебор всех файлов в цикле, на каждую итерацию вызываете 7зип и упаковываете файлы в запароленный архив, в качестве пароля подставляете случайное число.

Вот вам готовый шифровальщик.

(129)Как бы уже все протестировано давным давно. НОД - только постфактум ищет и удаляет. Не может сканировать. не может лечить.

(130) Я тебе напишу в свойствах файла - производитель Нвидеа. И как ты проверишь?

(130) Есть программы подписанные электронной подписью, с сертификатом.
Если антивирус доверяет сертификату, он его запускает, если нет блокирует.

Но пользователи обычно отключают такую блокировку.

(133)Антивир проверит)

(133) Подпись.

(132) Как-бы пустой трындехь от тебя...

Ну пустой не пустой, а я вирусов не ловлю)))

(136) Удивил!

Даже операционная система Windows без всяких антивирусов блокирует неподписанные файлы.

Проблема лишь в том что пользователю часто надо запускать неподписанные файлы, его раздражают эти блокировки, и он их отключает.

(139) Чем удивил?
Вы не в курсе что такое электронная подпись? И доверенный сертификат?

(138) Только не забудь под другим ником тему запостить "я словил шифровальщика" или "мой лепший друг словил шифровальщика"...

Скиньте кто-нить этот шифровальщик я посмотрю как антивир ловит его или нет.

+(143)Если не поймает - это будет первая вредоносная программа которую не поймал антивирус))))

Забаньте его уже кто нибудь, за призывы к распространению вредносного ПО, и нарушению законодательства.

(141) Да, кэп! В курсе этого маленького неудобства, которое многие игнорируют при сетапе программ, к примеру,...

(145)Да вы тут байки просто рассказываете какие-то))))

(144) У вас антирвирус ловит Punto Switcher?
У меня нет.
Хотя программа вредоносная. Производитель яндекс.

(147) Ты поосторожнее с лихостью. Либо забанят, либо накаркаешь...

(147) Призывы к нарушению закона, это не байки.
Это преступление.

(148)Я им не пользуюсь. Но если мне память не изменяет его в исключения надо ставить в антивирусе.

(143) cmd -> cipher /?
cipher /e /c:temp
Заодно посмотри на реакцию антивируса

Хм... Ушёл воевать с производителем антивируса, штолле(?)

(148) С каких пор Яндекс стал производителем вредоносного ПО? С каких пор "Punto Switcher" стал вносить вредоносные изменения в данные или работу компьютера?

(154) Менеджер файлов от Яндекса - имеет все признаки вредоносного ПО. Ставится без твоего ведома. Делает фикзнает что и нужен фикзнает за чем (нужность известна только Яндексу)...
Ты Удивлен?!

Менеджер файлов = Менеджер браузеров

(155) Я удивлён, да. Ещё ни одно ПО от Яндекса не смогло установиться без моего ведома. И у меня, Вы полагаете, сейчас на всех компах установлен Менеджер браузеров? Ну, рассказывайте, как его наличие определить - и я всенепременно Вам и прочим поверю, что Яндекс = зло)

(154) Он делает мелкие пакости, затрудняет работу - набираешь пароль, а он перехватывает ввод и фигачит белиберду вместо пароля.

(157) Если будешь ставить ПО от Яндекса, эта фигнюшка тоже просетапится. Я даже об этом самому Яндексу писал - в ответ - тишина...
https://habrahabr.ru/company/yandex/blog/175091/
Особенно показательны комменты.
Нет, Яндекс не зло. Я поддерживаю отечественного производителя. Если будет один монополист - хорошего будет еще меньше.

(157) А кто-то говорил, что яндекс зло?

Надо просто понимать, что вредоносность - понятие относительное.
То что один считает вредом, для другого может оказаться пользой.

(161) Кейлоггер с отправкой на неизвестный сервис; Атаки каких-то интернет-ресурсов - несомненно, для кого могут оказаться пользой, иначе бы - зачем их делать, собственно. Правда, от этого их вирусность и вредоносность не уменьшается даже для того, кому это в пользу.

(158) "Вы просто не умеете его готовить!"

(160) А к чему Вы вообще тут пишете тогда, если даже контекст прочитать не удосужились?

(162) Не путайте вирусы и вредоносные программы - вирус это программа, которая умеет распространяться сама.

А вредоносная программа просто наносит вред. У нее нет механизмов распространения.
Ее устанавливает и запускает пользователь.

(164) Я в курсе контекста, и в этом контексте никто не говорил что яндекс зло.

Я говорил что яндекс распространяет вредоносную программу.

1cка тоже бывает распространяет вирус зловредный.

каспер ругался и блокировал 7.7 от сохранинеия мд еще со времен, когда еще мисты в помине не было. и попробуй догадайся у клиента что это он мешается, когда им не пользуешься совсем.

в начале восьмерки на 8.0 были случаи, когда инсталляторы 1ски в определенных обстоятельствах очищали диск С. позднее - права админские сносили с виндовых учеток при установке платформы. поставил восьмерку - и оказываешься без админских прав.

на ошибку инсталятора с лишением админских прав я сам налетел. пришлось винду переустанавливать.

(167) Это поворот в другую сторону. То есть ты ставишь себе на комп гулюшку от 1С и втихоря ставится 8.0 и лишает тебя админских прав или после установки гулюшки в правом нижнем углу 8.0 начинает радостно тебе сообщать о своей активности?!
Подчеркиваю, что Яндекс СПЕЦИАЛЬНО для неведомых целей распространяет целый куст разной неведомой программной фигни для неведомых целей и ставит их втихоря (до кучи, в нагрузку, так сказать).

(169) Не только яндекс этим балуется, а практически все крупные интернет компании.
И цели очень даже известны.

(165) а если так?
"Здравствуйте! Я маленький албанский вирус. К сожалению, из-за слабого развития в моей стране высоких технологий я не могу самостоятельно причинить ущерб вашему компьютеру. Если вам не трудно, пожалуйста, удалите с вашего жёсткого диска все важные файлы и перешлите это письмо по адресной базе всем вашим знакомым". (цы)

(170) Есть цели публичные, есть - иные... Хочется думать, что я не все об этом знаю.

(172) А что там знать? Все элементарно.
Тот же яндекс контролирует все ваши запросы, и имеет на этом огромные деньги продавая контекстную рекламу.
Но он не может видеть что вы делаете на других сайтах.
А это тоже деньги.
Плагин позволяет делать это - собирать нужные данные.

Домовой веселит. Весь вечер на арене цирка.
(126) "А уж про шифрование некой програмкой на которую не нажимали должно 100% ловится"
Расскажи, дорогой, как антивирь отличит легальный и полезный скрипт по архивированию базы 1С (по расписанию архивится с паролем указанная папка) от вредоносного шифровальщика, который по расписанию заархивит с паролем указанную папку? Причем заархивит тем же "легальным" архиватором.
(125) "7zip имеет официального производителя и он запускается пользователем"
Шифровальщик тоже запускается недалеким пользователем. И - сюрприз - может использовать тот же 7zip. И - сюрприз - 7zip не подписан доверенным сертификатом, а значит, антивирь не уверен насчет его производителя.

(130) "В программах забито это. Т.е. тот же касперский все программки написаные нами ловит как вирусы. "
Нет. Далеко не все. Но иногда он мои дельфийские ехе помечал как подозрительные - видимо, какие-то сигнатуры были похожие. Но давно это было.