Руками блондинистых рук бухгалтера был скачан архив из почты, и теперь все файлы в формате da_vinci_code, а на рабочем столе заставка «Внимание. Все важные файлы зашифрованные….». Самое обидное, что Нод32 пропустил и вирус-гад зашифровал базы 1С 8.2. Архивов, к сожалению не делали. Кто-то может, сталкивался с таким шифровальщиком  - что делать и есть ли  лекарство????

и вопрос оплачивать или разводилово ?

(76) А как сам думаешь?! Даже если и представят все, что обещали - даже в этом случае - разводилово.

(76) Это вам решать.
Есть ли у вас теневые копии. Прямые руки.
И до какой степени там у буха нужная информация :)

Вероятность получения кода и дешифратора равна 50%...
Т.е. нет ни гарантии ни честного Я от тех кто вымогает.
Ибо Вор не тот субъект, что будет с вами честен :)

Про бэкапы уже было?

Если вариантов восстановления из бэкапа не будет, то больше всех в восстановлении информации из зашифрованных файлов сейчас продвинулся Др. Веб.

Купите лицензию, она там стоит рублей 600, и пришлите им на анализ. Иногда они справляются с шифровщиками. У одного знакомого файлы накрылись, после чего Др. Веб на основе шифровщика смог выпустить расшифровщик.

нужно заплатить злоумышленнику. Там не больно какие деньги. Максимум 30 тысяч. Сис админу депремирование за то, что допустил такое. Нельзя было давать админские права женщинам.

(81) Мы не ведём переговоры с террористами.

(78) так это не бух,  девочка дома

(83) Девочки дома забить на файлы.
Срочно форматнуть винт, установить все по новой.
И в будущем поставить девочке вот прогу и подобную в (54)

Вроде есть еще несколько халявных средств по защите от шифровальщиков.

(84) Не нужно ставить разные какашки от маленьких "гениальных" фирм!

(71) Нет.
Невозможно даже теоретически отличить шифровальщик, от штатного ПО шифрования.
Можно минимизировать угрозу, но не исключить.

(85) +100

(72) На домашнем компе я под админскими правами живу уже спокойно года 3, не лажу по левым сайтам, не открываю спам... Это-то все понятно, но от случайного нажатия никто не застрахован.... (((

(86) понятно, спасибо! Будем бдительными )))

(89) Дык твое дело сделать правильно. Под админом не работать!

Повторю инструкцию.
Выдержка из Осторожно! Свежий вирус шифровальщик, теперь с расширением *.wsf

Кратко как себя обезопасить:

1) про Бэкапы всем известно.
+ Бэкапы должны писаться от другой учетки. У всех учеток, кроме специальной не должно быть прав на запись, даже у системных и админских.
Если пользователи работают не под админом, могут помочь теневые копии (предыдущие версии файлов)

Не используем в работе подключенные диски.
Только ярлыки на сетевые папки. (Хотя думаю, скоро шифровальщики научатся и это)

Есть возможность - используем перемещаемые профили.
Есть возможность - используем белые списки приложений (желательно по хэшу, но это трудоемко)

Из под админской учетки не работаем, даже админы!

2)Если винда xp/7/8/10 Pro/Ent то используем SRP
software restriction policies
https://www.anti-malware.ru/reviews/Software_Restriction_Policies

еще поможет поможет подмена открывающего приложения на Notepad.exe для расширений *.scr, *.js, *.hta, *.vbs и еще ряд.

3) Если есть свои прокси и почтовик, то есть варианты блокировать файлы и вложения содержащие двойное расширение *.*.* или конкретные расширения.
Можно настроить запрет открытия ссылок через почтовые клиенты.

Кратенько все. Может у кого какие дополнения есть?

Еще есть вариант использование программ "Песочниц".
Но на работе имхо не удобно, а для дома вполне неплохо.
http://www.ixbt.com/soft/sandboxes.shtml
https://xakep.ru/2014/01/03/apps-virtualisation-tools/
http://www.comss.ru/list.php?c=HIPS

ПС: Дополнение в броузерах используем дополнения uBlock+Ghostery, и если не лень заморачиваться NoScript

ПС2: Раз в месяц минимум такая тема создается. Может кто-нибудь kb оформит?

спросили у него как заразились с почты? , написал что не нет ,а "со связки а не с почты", так и не понял как именно , может кто знает что  значит "со связки а не с почты"

что то новое придумали ?

ни кто так и не знает

(39) Априори бухгалтер должен думать, куда он кнопки нажимает. Если я буду весь день сидеть на порносайте, то тут админ только виноват, что не поставил файервол. Так что ли?

да походу он и есть

каждый день 500 р требует

(94) Шифровальщиков ловят не на порносайтах, а открыв письмо пришедшее по почте.
Одна из обязанностей этого самого бухгалтера просматривать корреспонденцию от контрагентов.
Поэтому она должна открывать эти письма, а админ должен обеспечить, чтобы это было безопасно.

(97) (91) читаем

(97) какой почты ? читать не думал?

(97) Вот любят перекладывать ответственность друг на друга.
Админ на бухгалтера, бухгалтер на админа, админ на антивирус и т.д.

Бухгалтер открыл письмо, там вложение - скан документов.
Или выгрузка акта сверки в Эксель. Открыл документы.
Что дальше?
Если это исполняемый файл - антивирус может определить по сигнатуре возможность вложенного скрипта?
А если это .exe-файл с картинкой листа эксель, тоо что должен сделать антивирус?

Блондинистые ручки? Я всегда в виндовом проводнике настраиваю отображать расширения зарегистрированных типов айлов.
И вижу - картинка ю-торрента, а расширение .exe - запущу ли я этот файл? Если запущу, кто будет виноват в этом?

(100) У бухгалтера задача открыть документ.

У админа задача сделать чтобы исполняемый файл, при всем желании бухгалтера банально не запустился, ибо запрещено.
Т.е ограничение на запуск из определенных директорий.

Антивирус в это время должен вирусы ловить, против шифровальщиков он бесполезен.

В идеале у бухгалтера вообще не должно быть прав на запуск левых программ.
Но это в идеале, когда есть домен, админ и все дела.
А в реальности в небольшой организации права отобрать у юзера нереально.
Поэтому просто приходится их мягко ограничивать.

(74) "Внимательно сверяйте адрес". Ага. "Ой, а я денежки получил, а вы мне неправильный адрес выслали".

(88) Вот, кстати и про админские права. Не отключать UAC и частично это поможет видеть, какая программа пытаетс получить админправа.

(102) Но тут визг и писк "а как же наши любимые ПГП-шифрователи отчетности, им, отчетностм, админправа нужны". Зачем-то

еще раз для упорытых
"со связки а не с почты"

что вы тупите ? какая почта ?

Пользуемся Касперским , подробная инструкция настройки, для предотвращения шифрования данных https://support.kaspersky.ru/10905#block1 . Сталкивались с таким злавредом, отправили в КасперскийЛаб образцы зашифрованных файлов, через некоторое время(2-3 дня) прислали программку которая расшифровала все файлы

как вариант купить лицензию Касперского и отправить на иследование, может как и нам, вам повезет

(99) Основной источник распространения - почта, так же бывает взломанный удаленный доступ, других не встречал.
Что конкретно читать?

(106) Что за бред?

"со связки а не с почты"
ПОХОДУ ОН ТУТ СИДИТ ЧИТАЕТ

ох капсом написал

(112) Что такое связка?

(99), (107) Немного сдержаннее. И объясни, что такое "связка", которую ты сопоставляешь почте.

(108) Если Каспер "расшифровал" зловреда - значит он их и распространяет. Особенно мне стало ясно когда Вы туда отправили "образцы зашифрованных файлов".

"Архивов, к сожалению не делали"

ну теперь-то будете делать...

Тут пару раз проскакивало, что шифровальщик это не вирус и не ловиться антивирусом. А с каких это пор?

(118) Что значит - "с каких это пор?".
Шифровальщик никогда не был вирусом.
Поэтому и антивирусы бесполезны.

(119)А что тогда антивирус ловит?

(118) Возьми, например, шифровальщик 7zip и скажи - в каком месте он является вирусом.
(120) Шифровальщику надо сначала запуститься. Вот пути запуска антивирус и "ловит". Типа ссылки в почте, левые файлы и т.д.

(120) В основном вирусы, иногда и другое вредносное ПО, которое может детектировать.

(121) Ну по пути запуска трудно что-то детектировать.
Определение вредоносных программ идет в большинстве случаев либо по сигнатуре, либо по поведению.
Если нет подозрительних сигнатур, и нормальное поведение - антивирус ничего не блокирует.

(123) Скрипты же можно, например, детектировать. Блокировать подозрительные вложения в почте. Ну и защита от известных дыр в ОС.

(121)7zip имеет официального производителя и он запускается пользователем. Антивир должен ловить все что не имеет официального производителя и несанкционировано изменяет файл или делает что-то в системе, даже переименование файлов ловится антивирусом нормальным.

+(125)А уж про шифрование некой програмкой на которую не нажимали должно 100% ловится. Просто тот же НОД не ловит вирусы. Он более менее постафктум может что-то накопать но сканер у него некакущий.

(125) Что значит официальный производитель и как понять "официальность производителя" компьютеру?

А шифровальщик не изменяет файлы несанкционированно он делает это с согласия пользователя.

(126) Что значит не нажимали?

Шифровальщик не вирус! Поэтому его запускает сам пользователь.

(126) Если ты не в курсе, то сообщу тебе, что "вирусы-шифровальщики" запускаются пользователями аля-БабаНюра.
Даже безопасность может сработать - запустить бла-бла-бла?! аля-БабаНюра - жмакает да.

И еще ты про какой НОД вещаешь?! Касперу до НОДа еще 30 лет медальки собирать.

(127)В программах забито это. Т.е. тот же касперский все программки написаные нами ловит как вирусы.
Я думал мы запускаем только чтоб шифровальщик качнулся, а запускается сам) Ну в любом случае он не имеет оф производителя.

(125) Берете в обычном батнике пишите перебор всех файлов в цикле, на каждую итерацию вызываете 7зип и упаковываете файлы в запароленный архив, в качестве пароля подставляете случайное число.

Вот вам готовый шифровальщик.

(129)Как бы уже все протестировано давным давно. НОД - только постфактум ищет и удаляет. Не может сканировать. не может лечить.

(130) Я тебе напишу в свойствах файла - производитель Нвидеа. И как ты проверишь?

(130) Есть программы подписанные электронной подписью, с сертификатом.
Если антивирус доверяет сертификату, он его запускает, если нет блокирует.

Но пользователи обычно отключают такую блокировку.

(133)Антивир проверит)

(133) Подпись.

(132) Как-бы пустой трындехь от тебя...

Ну пустой не пустой, а я вирусов не ловлю)))

(136) Удивил!

Даже операционная система Windows без всяких антивирусов блокирует неподписанные файлы.

Проблема лишь в том что пользователю часто надо запускать неподписанные файлы, его раздражают эти блокировки, и он их отключает.

(139) Чем удивил?
Вы не в курсе что такое электронная подпись? И доверенный сертификат?

(138) Только не забудь под другим ником тему запостить "я словил шифровальщика" или "мой лепший друг словил шифровальщика"...

Скиньте кто-нить этот шифровальщик я посмотрю как антивир ловит его или нет.

+(143)Если не поймает - это будет первая вредоносная программа которую не поймал антивирус))))

Забаньте его уже кто нибудь, за призывы к распространению вредносного ПО, и нарушению законодательства.

(141) Да, кэп! В курсе этого маленького неудобства, которое многие игнорируют при сетапе программ, к примеру,...

(145)Да вы тут байки просто рассказываете какие-то))))

(144) У вас антирвирус ловит Punto Switcher?
У меня нет.
Хотя программа вредоносная. Производитель яндекс.

(147) Ты поосторожнее с лихостью. Либо забанят, либо накаркаешь...

(147) Призывы к нарушению закона, это не байки.
Это преступление.

(148)Я им не пользуюсь. Но если мне память не изменяет его в исключения надо ставить в антивирусе.

(143) cmd -> cipher /?
cipher /e /c:temp
Заодно посмотри на реакцию антивируса

Хм... Ушёл воевать с производителем антивируса, штолле(?)

(148) С каких пор Яндекс стал производителем вредоносного ПО? С каких пор "Punto Switcher" стал вносить вредоносные изменения в данные или работу компьютера?

(154) Менеджер файлов от Яндекса - имеет все признаки вредоносного ПО. Ставится без твоего ведома. Делает фикзнает что и нужен фикзнает за чем (нужность известна только Яндексу)...
Ты Удивлен?!

Менеджер файлов = Менеджер браузеров

(155) Я удивлён, да. Ещё ни одно ПО от Яндекса не смогло установиться без моего ведома. И у меня, Вы полагаете, сейчас на всех компах установлен Менеджер браузеров? Ну, рассказывайте, как его наличие определить - и я всенепременно Вам и прочим поверю, что Яндекс = зло)

(154) Он делает мелкие пакости, затрудняет работу - набираешь пароль, а он перехватывает ввод и фигачит белиберду вместо пароля.

(157) Если будешь ставить ПО от Яндекса, эта фигнюшка тоже просетапится. Я даже об этом самому Яндексу писал - в ответ - тишина...
https://habrahabr.ru/company/yandex/blog/175091/
Особенно показательны комменты.
Нет, Яндекс не зло. Я поддерживаю отечественного производителя. Если будет один монополист - хорошего будет еще меньше.

(157) А кто-то говорил, что яндекс зло?

Надо просто понимать, что вредоносность - понятие относительное.
То что один считает вредом, для другого может оказаться пользой.

(161) Кейлоггер с отправкой на неизвестный сервис; Атаки каких-то интернет-ресурсов - несомненно, для кого могут оказаться пользой, иначе бы - зачем их делать, собственно. Правда, от этого их вирусность и вредоносность не уменьшается даже для того, кому это в пользу.

(158) "Вы просто не умеете его готовить!"

(160) А к чему Вы вообще тут пишете тогда, если даже контекст прочитать не удосужились?

(162) Не путайте вирусы и вредоносные программы - вирус это программа, которая умеет распространяться сама.

А вредоносная программа просто наносит вред. У нее нет механизмов распространения.
Ее устанавливает и запускает пользователь.

(164) Я в курсе контекста, и в этом контексте никто не говорил что яндекс зло.

Я говорил что яндекс распространяет вредоносную программу.

1cка тоже бывает распространяет вирус зловредный.

каспер ругался и блокировал 7.7 от сохранинеия мд еще со времен, когда еще мисты в помине не было. и попробуй догадайся у клиента что это он мешается, когда им не пользуешься совсем.

в начале восьмерки на 8.0 были случаи, когда инсталляторы 1ски в определенных обстоятельствах очищали диск С. позднее - права админские сносили с виндовых учеток при установке платформы. поставил восьмерку - и оказываешься без админских прав.

на ошибку инсталятора с лишением админских прав я сам налетел. пришлось винду переустанавливать.

(167) Это поворот в другую сторону. То есть ты ставишь себе на комп гулюшку от 1С и втихоря ставится 8.0 и лишает тебя админских прав или после установки гулюшки в правом нижнем углу 8.0 начинает радостно тебе сообщать о своей активности?!
Подчеркиваю, что Яндекс СПЕЦИАЛЬНО для неведомых целей распространяет целый куст разной неведомой программной фигни для неведомых целей и ставит их втихоря (до кучи, в нагрузку, так сказать).

(169) Не только яндекс этим балуется, а практически все крупные интернет компании.
И цели очень даже известны.

(165) а если так?
"Здравствуйте! Я маленький албанский вирус. К сожалению, из-за слабого развития в моей стране высоких технологий я не могу самостоятельно причинить ущерб вашему компьютеру. Если вам не трудно, пожалуйста, удалите с вашего жёсткого диска все важные файлы и перешлите это письмо по адресной базе всем вашим знакомым". (цы)

(170) Есть цели публичные, есть - иные... Хочется думать, что я не все об этом знаю.

(172) А что там знать? Все элементарно.
Тот же яндекс контролирует все ваши запросы, и имеет на этом огромные деньги продавая контекстную рекламу.
Но он не может видеть что вы делаете на других сайтах.
А это тоже деньги.
Плагин позволяет делать это - собирать нужные данные.

Домовой веселит. Весь вечер на арене цирка.
(126) "А уж про шифрование некой програмкой на которую не нажимали должно 100% ловится"
Расскажи, дорогой, как антивирь отличит легальный и полезный скрипт по архивированию базы 1С (по расписанию архивится с паролем указанная папка) от вредоносного шифровальщика, который по расписанию заархивит с паролем указанную папку? Причем заархивит тем же "легальным" архиватором.
(125) "7zip имеет официального производителя и он запускается пользователем"
Шифровальщик тоже запускается недалеким пользователем. И - сюрприз - может использовать тот же 7zip. И - сюрприз - 7zip не подписан доверенным сертификатом, а значит, антивирь не уверен насчет его производителя.

(130) "В программах забито это. Т.е. тот же касперский все программки написаные нами ловит как вирусы. "
Нет. Далеко не все. Но иногда он мои дельфийские ехе помечал как подозрительные - видимо, какие-то сигнатуры были похожие. Но давно это было.