Доброго времени суток.
нашёл такие настройки на сайте каспера. Что скажете? кто пробовал? работает нет?
Пункт "локальная настройка"
https://support.kaspersky.ru/10905#block1

(0) Эх, была у меня в своё время подборка вирусов но пропала, удалил случайно.

(0) От шифрования антивирусами защититься невозможно. Поведенческий анализатор может остановить  шифровальщик после того, как он зашифрует 3-5 файлов. Это в лучшем случае. Лучше бэкапы делать.

(0) "Перед установкой патчей для продуктов Лаборатории Касперского необходимо временно вернуть первоначальные настройки"

перед каждой обновой менять назад и потом заново? Они издеваются?

(2) Не антивирус, в антивирусе модуль-контроль активности программ. В настройках можно указать- не давать изменять заданные нами типы файлов, (например .doc, .docx и т.д.) недоверенным программам, а давать изменять только подписанным и доверенным.
Программа шифровальщик врятли попадёт в список доверенных и подписанных, хотя может и шифровальщики умнее стали.

От шифровальщиков защититься можно только отдельным компом под почту, который не жалко грохнуть если что.
Потому как, если  раньше шифровальщики присылали архивы или ссылки, то сейчас уже присылают обычные файлы office (якобы), было такое, открываем файл doc, он мутный, и сообщение, для открытия файла щёлкните 2 раза. Естественно юзер щёлкнет, файл то вордовский.

(2) 3-5 файлов это лучше, чем все.

(5) да ладно, все можно сделать и довольно просто. Для пользователя обычно критична потеря файлов данных (doc, xls и т.д.) и баз данных (1сd, mdb, ace и т.д.). Значит, на самом деле для защиты от шифровальщиков достаточно жестко указать в системе, что определенные типы файлов обрабатываются на модификацию и удаление не всеми, а только определенными программами. Среди таких программ обязательно файл-менеджер (explorer, FAR, Total Commander по вкусу) и непосредственно программа которая с этими файлами работает (скажем MS Office для doc, xls). Все прочие при попытке модификации или удаления получают отлуп (или запрос на повышение прав). Вот и вся защита.

в этом случае скрипт, пришедший на почту, и начавший шифровать файлы - в худшем случае насорит этими шифрованными файлами. А в лучшем - в нем начнут происходить массовые ошибки при попытках открытия файлов на запись.

(8) Или выйдет шифровальщик чуть поумнее и внедрится в процесс Explorer.

(9) Внедрение в процессы, по-моему, уже довольно давно ограничивается касперским...

(0) Да будет работать в принципе.
Только это настраивать надо.
Проще системными средствами ограничить.

(9) Такие фокусы отсекаются активным антивирусом.

(5) Банальный запрет на исполнение макросов в офисных файлах.

(7) Шифровальщик будут не сами шифровать, а при помощи разрешенных программ. Вот и все.

(14) Каким образом? Для этого разрешенные программы должны уметь шифровать. Много ли таких?

(14) технически сделать существенно сложнее, да и (10) и (12) никто не отменял.

(15) только инъекция DLL с нужным кодом в процесс. Но это тоже довольно давно отсекается антивирями

(15) ... хм... теоретически, конечно, возможен вариант, что, например, шифровальщик с помощью ворда, скажем, запаролит файлы doc.

или с помощью 1С сменит все пароли всех пользователей, в том числе и административные

(19) А что злоумышленником даст смена паролей?
Каким образом она им денег принесет?

(20) выкуп за набор паролей.

другое дело, что подобные административные функции могут не автоматизироваться вовсе (только пользователь и только ручками) или автоматизироваться с серьезными ограничениями. Тогда вероятность подобного близка к нулю.

хотя в случае с 1С я, конечно, погорячился, там для любых подобных действий понадобится войти под администратором. Пароля администратора "шифровальщик" не знает. А вот ситуацию с документами вполне представить себе можно. Вполне реально и может быть сделано из-под пользователя.

(21)Пароли восстановит любой приходящий админ за пять минут.

(24) хорошо, когда это возможно сделать за 5 минут. А если нет? Не у всех программ пароли взламываются за 5 минут. Например, разрешения могут быть у архиватора, заархивировали файлы с серьёзным паролем и удалением исходных файлов. Сделаем за 5 минут?

(25)Хм, ты вроде говорил про системные пароли в ОС.
Если по приложениям - как ты сможешь поменять пароли у того же winrar? Откуда там вообще пароли?

(26) нет, я не про системные. Здесь была высказана мысль - что в сущности даже если запретить "нестандартным" программам трогать пользовательские файлы, остается гипотетическая возможность вынудить пользователя платить выкуп, используя стандартные, доступные из-под пользователя средства стандартных программ: архивирование с паролем, установка паролей на файлы Office и т.п.

Вот как раз касперский якобы и делает запрет на изменение всем, кроме "белых" программ.
А как ещё запретить изменять файлы офиса всем, кроме офиса?

Кстати однажды попалась мне зашифрованная база 1с 8.
Сменил расширение, прогнал тестом со всеми галками и всё ожило на 90%

От шифровальщиков гарантированно спасает работа пользователя без прав администратора и отслеживание изменений всех пользовательских файлов с сохранением предыдущих версий - тогда даже если что-то будет зашифровано - можно будет взять предыдущую версию.
Что касается отслеживания перезаписи на уровне приложений, то если бы в приложениях нельзя было бы использовать макросы - можно было бы не бояться, что из самого приложения нельзя запортить файл.
Опять же - разворачивание архива в директорию с перезаписью файлов и работа шифровальщика на машинном уровне неотличима - и там и там просто перезаписываются файлы в большом количестве.

(30) без прав админа шифровальщик не запустится?
отслеживание изменений всех пользовательских файлов с сохранением предыдущих версий это что такое?
Бэкап системы на сетевую папку?

по отслеживанию перезаписи на уровне приложений и макросы.... так разве сам office шифрует? шифрует сторонняя программа

От шифровальщика нужна проактивная защита, на Пикабу недавно обсуждали Defendset, мне понравилась https://www.youtube.com/watch?v=q55p32ceK7E

(32) да для того чтобы нагадить, шифровать необязательно. Если вам надо архивировать, вы дадите архиватору права на файлы. Соответственно технически появится возможность стороннему приложению запустить архиватор для архивации с паролем и удалением исходных файлов - это достаточно базовый функционал любого архиватора.
А макросы в оффисе могут помочь поставить пароли на офисовские файлы. Я не знаю насколько оно там шифрует и насколько легко этот пароль взломать, но факт в том что это можно сделать. Причем под пользователем!

после того как все будет закончено, можно показать баннер - все ваши документы под паролями. Пароли длинные, из букв, цифр и знаков, не менее 10 символов. Хотите список паролей? Пришлите денежку туда-то.

а если админские права убрать на винду спасёт это от запуска шифровальщиков?

Очень удобная штука ограниченный запуск программ.
1. Устанавливаем все, что нужно.
2. Запрещаем запуск всего, что не в программ файлес.
3. Забираем админские права.
4. Записаться в программ файлес нельзя, все что скачалось из интернета банально не сможет запуститься.
5. Профит. Не?
И да, нестандартные расширения у бекапов и шифровальщик проходит мимо них.

(37) Ещё нужно запретить PowerShell, Microsoft Scripting Host, Html Application, ну и COMMAND.COM и CMD.EXE
Вопрос только в том, как пользователь сможет поставить обновления 1С или заполнить какую-то форму в Hta.
(31) Достаточно на компьютере сделать папку, к которой у пользователя нет доступа, а для специального пользователя только доступ на запись (без перезаписи) и периодически сканировать изменения в директории с пользовательскими файлами - если что-то поменялось - добавляем к имени номер версии и копируем в обозначенную папку.
Спасает не только от шифровальщиков, но и от "баранов" - типа - я тут файлы перемещал, у меня мышь дрогнула и они куда-то делись.

(37) Это самый  легкий и действенный вариант.
И все бы хорошо - но далеко не всегда реально отобрать у пользователя права.
Поэтому приходится изгалятся.

(38)С обновлениями проблем нет - базы при обновлении прав не просят, а платформу можно поставить хитрым методом.

(38) То что вы описали это некая разновидность бэкапа.
Проблема в том что такой алгоритм очень требователен к ресурсам.
Слабый комп пользователя и так еле шевилится под нагрузкой, а вы заставляете его делать двойную работу на каждой операции.
В итоге такую фишку либо запускать раз в день - но зачем если есть бэкап?
Либо не городить огород и включить теневое копирование - делает то же самое, только практически не тратя ресурсы.

(36) Нет. Никак не повлияет.
Шифровальщик шифрует файлы пользователя - ему нужны права пользователя.
Права админа ему не обязательны.

Вот если запуск программ ограничить, тогда поможет, а просто отобрать права - нет.

(34) Это все слишком сложно никто не будет этим заниматься.
Шифровальщик должен при запуске быстро зашифровать все указанные файлы пользователя и самоуничтожится.

1)Никто не будет писать шифровальщик который шифрует только архивы или только офисные документы.
2)Нормальный шифровальщик работает быстро - он одинаково быстро зашифрует файл размером 50кб и 50Гб, при этом практически не тратя системных ресурсов, если он будет шифровать файлы долго - его заметят и прибъют до того как он успеет нанести ущерб.

(43) Как показала практика - шифровальщики шифруют только первые несколько десятков байт любого файла - поэтому - получается быстро - также, если переписывается только кусок файла, то на диске не остаётся старой его версии - запись идёт в те же сектора.
Как показывает практика - скрытые папки в корне диска даже если к ним у пользователя есть доступ, не затрагиваются вообще. Нестандартные расширения - также, так как шифровальщик не может гарантировать сохранность файла, если в процессе шифрования в него будет сделана запись - офисные файлы от этого "застрахованы". Базы 1С, если они открыты в 1С - также не затрагиваются.
(41) А чем стандартная система контроля версий от Windows не устраивает - она же это умеет - по крайней мере, запоротые пользователем файлы восстанавливались на ура.

Короче нужно собирать сотрудников, заводить каждому папочку на NASе и под роспись что оповещён не парить себе голову))

папочку для юэкапов. Кому важно- будет бэкапить,кому плевать- претензии не принимаются уже

(37) а как запретить запуск всегочто не в PF? чёт я туплю

(44) Ну там не первые десяток байт шифруются, как правило шифруются три небольшие области в начале, середине и конце файла.
С одной стороны быстро - с другой стороны гарантированно повреждает файл - структуру уже без дешифровки не восстановишь.

Стандартная система контроля версий в виндовс это как раз теневое копирование.

(47) Политики.

(49) а поподробней

а вот эта тема от касперского это ерунда? если ерунда то почему? что именно тут не так? https://support.kaspersky.ru/10905#block1

(44) Таких поделок уже давно нет, все поумнели.

(50) "Политики ограниченного использования программ" aka SRP

(50)Ну например -
https://support.microsoft.com/ru-ru/kb/324036
http://www.windowsfaq.ru/content/view/694
https://habrahabr.ru/post/101971/

(51) Не ерунда.
По сути это та же самая настройка ограничения использования программ, просто реализованная не средствами системы, а сторонним приложением.

С одной стороны для кого-то настройка в касперском может показаться удобней - тут дело вкуса, с другой стороны это лишняя нагрузка на систему, реализация штатных функций сторонним софтом, дополнительная плата.
Что вам удобней использовать - решать вам.