Добрый день.
Сегодня на почтовый клиент Mozilla Thunderbird пришло фейковое письмо якобы от клиента, с вложением "Скан_копия_от_блаблабла_срочно подписать_выгружено_из_1с_dferio.js". Благо юзер, засомневался и не открыл вложение. Но ведь юзеры бывают разные: усталость, не внимательность, пофигизм и в итоге все файлы на компе зашифрованы.

Есть ли, более-менее эффективные способы обезопасить компьютер от запуска шифраторов? расскажите пожалуйста..

Админ грамотный лучшее средство от всех болячек

Сейчас выяснится что автор и есть админ) И да будет пятница...

(2) Аминь :)

Максим, в проводнике показывать расширения файлов (снять флажок "Скрывать зарегистрированные расширения файлов").
Это если винда.

Пользователям убрать админские права - тогда как минимум, системные файлы не будут затронуты или утсановлены программы, ихменя.щие стистемные данные, некоторые разделы реестра, прописывающие себя в localhost и т.д.

(0) Есть приложение, вечером скину ссылку на него :)

Ножницы - самое лучшее средство

(6) прострелить коленку - лучше

(0) Не давать админских прав. Минимум сетевых шар для общей работы. Бэкапы и базы - чтоб у юзеров не было доступа (кроме файловых конечно).

Самый лучший способ - отключить интернет, ящитаю.

(4) сейчас вирусы не трогают системные, достаточно пользовательские зашифровать

(0)
1. Перейти с обычных почтовых клиентов на веб-клиенты в браузере (яндекс, гугл и т.д.). Там есть возможность "почта для домена" и адреса будут свои а интерфейс их.

2. Для каталога download браузера настроить запрет запуска скриптов.

3. Нанять админа, хотя это лучше п.0 и чтобы он настроил бэкапы разностные ежедневные на облачное или какое другое надежное хранилище.

(0) Мозг

а у меня почтовый сервак потрошил всю почту, дропал все файлы с левыми расширениями (в т.ч. и в архивах), и тыкал остальные в антивирус

(0) Держи...

Програмка для блокировки от шифровальщиков
https://www.foolishit.com/

(14) По мне, так это развод. Теоретически невозможно однозначно определить изменение файла это шифрование или нет.

(15) Проверь, что мешает :)
https://www.virtualbox.org/

(15) Возможно запросто, но будет блочить к примеру похожие процессы/приложения, когда на архивацию с удалением исходных запустят архиватором например.

По сути все шифровальщики легко определяются в момент попытки "затереть" исходные файлы записью в них левых данных - других файлов с тем же именем и той же или большей длиной.
Причем не дописать в начало/середину/конец а подряд переписывают файл с начала и до конца.

Вот с переводом :)
http://www.spyware-ru.com/cryptoprevent-opisanie-otzyvy-instruktsiya/

Через политику ограниченного использования программ. Разрешить только запуск приложений из каталогов, куда пользователь не имеет доступа на запись.

(0) Загрузку файлов браузера и почтового клиента в строго отведенную папку.
Далее идем в политику и запрещаем запуск программ из этой папки всем!

Это самое простое, необходимый минимум.
А по уму более жесткие права на запуск вообще, в идеале только из строго отведенных системных папок запуск разрешаем.

(17) Как ты определишь что это шифровальщик?
Так работают архиваторы, БД, система.

(22) Затирание файлов - не в списке разрешенных с подписями - блочим и сообщение пользователю.

Так работал древний адинф http://adinf.com/ru/

Гарантированно спасает запрет на запуск всего, кроме разрешённого (в том числе и скриптов вообще).
Но, не все пользователи могут работать в таком режиме.
Что касается отлова шифровальщика по последовательному доступу к файлам, то, может оказаться, что на каждый файл будет запущен отдельный процесс.
С другой стороны, понятно, что, например, Excel-файлы записывать может только Excel, но, если применить такое ограничение, то, например, DropBox работать перестанет.

(23) Пока он доберется до твоих файлов, он половину компа зашифрует.
Опять же сработает ли блокировка.

(25) Ну пиши свой драйвер ФС )) Кстати в случае SSD можно даже "после затирания средствами ОС" попытаться восстановить если TRIM уже не успел поработать.

у нас у секретарши в день с десяток подобных писем приходит. что то антивирус отлавливает, что то сама барышня. админ устал бороться. у пользователй стоят ограниченные права. вообщем, от чел.фактора никто не застрахован. в любом случае кликнут на письмо.

Кста почта это фигня, вот когда мессенджеры учетки ломают/уводят и через них...

(28) у нас мессенджер через ИКС сервер работает. вроде норм.

(28) Один хрен - или почта в Web-браузере или сообщение в какой-то программе - присылают или файл или ссылку.

А если всё запрещать, то потом выясняется, что даже для простой смены даты в системе вызывается приложение, которое через RunDll подгружает библиотеку панели управления, и что все такие действия нужно в список разрешений добавлять - иначе пользователи смотрят на тебя, как на врага.

(27) Ну если настроено нормально то какая проблема в том что кликнут?

(26) Это надо знать логику работы контроллера, и стоить такое восстановление будет как крыло самолета, ибо работы много кропотливой.
Проще заплатить вымогателю.

Зачем такой огород, если стандартными инструментами windows все настраивается за полчаса?

По идее можно лочить все файлы старше 5 минут, которые были закрыты пользователем, устанавливая текущему пользователю запрет на запись.

В контекстном меню и в ассоциациях офисных файлов должен висеть разблокировщик, который оригинал куда-то архивирует, а копию пересоздает заново под текущим пользователем.

Соответственно, изо всяких браузеров нельзя будет перезаписать более ранние файлы, из ворда нельзя будет перезаписать ранее сделанный вордовый документ (кстати, ликвидируется ошибка сохранения не в то имя).

Все шифровщики и браузерные вредоносы обломятся (файл либо заблокирован на редактирование, либо прошло 5 минут и он ушел из прав текущего пользователя), но можно будет двойным кликом их открывать на редактирование, копия при этом будет сохранена.

Операция перезаписи одного файла другим окажется затрудненной, но она и опасна, чаще всего так даже опытный пользователь свои данные потеряет. Пусть запускает проводник (или что там у него) под расширенными правами, и это делает.

(15) Возможно. По резкому уменьшению избыточности данных.

Можно тупо крутить дули процессу, который пытается бахнуть теневые копии.

У моих все важные данные на специальной файлопомойке лежат. Которая ежесуточно бэкапится. Все что не там - считаю неважным. На днях одна особо одаренная "яйцо кащея" словила - 4 уровня вложенных архивов, в конце - скрипт (и откуда такая настырность). Много нового о себе узнала.
Но в итоге 20 минут реанимации системы и все.

+(37) Корпоративная почта dovecot+exim+fetchmail через PDD, просачивается мизер, но видимо буду заморачиваться фильтрацией вложений - сильно активировалась "налоговая" и "полиция" с шифровальщиками на несуществующие адреса домена

чисто для маркетинга, а antivir task manager (http://www.anvir.net/) с шифровальщиками вообще никак?

(34) Как все сложно. Не проще ли уж тогда просто бэкапить?
Ну скажем банальное теневое копирование, а то - лочить, разлочить...

(35) Это как?

(36) Ага, место на диске кончается, записать очередную теневую копию некуда, а удалить старую теневую процесс не может.

(39) Антивирус вещь против шифровальщиков абсолютно бесполежная.
Детектит только морально устаревшие вещи, вышедшие из оборота, по сигнатурам.

(41) https://ru.wikipedia.org/wiki/Избыточность_информации

(44) Что такое избыточность информации я знаю.
Объясните как это может помочь в контексте шифрования?

(45) Шифрование ВСЕГДА резко снижает избыточность.

(46) если есть чего снижать. Современные docx, xlsx представляют собой завёрнутые в архив данные, в частности, xml. Понятно что никакой избыточности у архива нет и шифрование ничего не снизит. То же самое верно для фотографий jpg, аудио mp3 и видео в современных форматах.

Я даже и не знаю, где сейчас у пользователя можно напороться на избыточность. Все жатое. Txt почти нигде не используется... Если только базы данных.

(47) Проверил. Вордовский документ docx размером 17 кБ ВинРаром сжал до 14. Потом зашифровал, сжимается на считанные байты. Так что и тут вполне себе алгоритм сработает.

+(49) сжал естественно исходный docx

+(50) в смысле зашифровал

как защитится от шифровальщиков?

(46) Во первых с чего бы шифрованию резко снизить избыточность? Как может серьезно поменяться избыточность данных если изменено менее 1%?

(46) Во вторых как вы это предлагаете отслеживать?

(49) Вы не правильно проверяете.
Зашифруйте 10-15байт из вордовского документа и сравните его избыточность с оригиналом.

Вы же не думаете что шифровальщик шифрует файлы целиком.

(54) Избыточность можно проверить только частотным анализом встречаемости символов. Это, кстати, небыстро.

(56) Я в курсе что это очень долго и ресурсоемко, но человек как то предлагает.
Только умалчивает как.