Имя: Пароль:
IT
Админ
Словили шифровальщик Trojan-Ransom.Win32.Purgen.fw
,
0 Одинесю
 
14.07.17
12:19
Расширение au1crypt. Пришло письмо с вложением gz. ГБ открыла. Слава Богу зашифровало только локальные данные, общие сетевые ресурсы в норме. Подал заявку в клубе Касперского, жду. Ну и собсно вопрос - Никто не сталкивался?
1 Альбатрос
 
14.07.17
12:26
Поздравляю
2 Одинесю
 
14.07.17
12:27
(1) Спасиб.
3 Garykom
 
гуру
14.07.17
12:28
Так понимаю резка всех сообщений с непонятными вложениями не настроена?
4 Одинесю
 
14.07.17
12:30
(3) Правильно.
5 Одинесю
 
14.07.17
12:31
(3) У нас нет ни АД, ни прокси...
6 wt
 
14.07.17
12:32
Посмотри свойства почтового сообщения. Там может быть мас-адрес откуда пришло.
7 Одинесю
 
14.07.17
12:35
(6) Я письмо уже удалил, зачем мне мак-адрес?
8 mistеr
 
14.07.17
12:36
(6) Какой MAC адрес, лол. IP IP адрес, ты хотел сказать.

(7) Ну и зря, Касперскому нужен семпл.
9 Одинесю
 
14.07.17
12:40
10 Одинесю
 
14.07.17
12:41
(8) Нашел в корзине, как посмотреть айпи?
11 Одинесю
 
14.07.17
12:45
нашел 185.39.170.74
12 Fish
 
14.07.17
12:47
(11) Французишки, похоже.
13 Одинесю
 
14.07.17
12:49
14 PCcomCat
 
14.07.17
12:52
Буквально в пятницу у одного клиента всё зашифровалось. Повезло, что у них распределёнка. Сейчас навели порядок в безопасности. Как говорится: "пока жареный петух не клюнет..."
15 Одинесю
 
14.07.17
12:55
16 Fish
 
14.07.17
12:57
(13) А тут говорят иное: http://ipaddress.is/185.39.170.74#.WWiVeXFn0dU
17 Одинесю
 
14.07.17
12:59
(16) и кому верить?
18 Garykom
 
гуру
14.07.17
13:05
Никому не верь и ГБ тоже.

Надо быть совсем тупым(ой) чтобы письмо (9) не вызвало сразу подозрения.
19 Одинесю
 
14.07.17
13:07
(18) Она хорошая)) Дело в том, что она как раз ждала письмо из 1с, загруженность сильная у нее, вот впопыхах и недоглядела.
20 kyvv
 
14.07.17
13:14
(12) ВВП сказал, что IP подменить - нефиг делать.
21 mistеr
 
14.07.17
13:32
(20) Зачем подменять? Арендуешь ботнет на сутки, выбираешь страну и рассылаешь письма счастья.
22 Looking
 
14.07.17
13:47
(14)что конкретно предприняли для наведения порядка в безопасности?
23 ildary
 
14.07.17
13:52
(22) бекап подняли :)
24 antgrom
 
14.07.17
13:54
Purgen

интересное название )
25 wiwi
 
14.07.17
13:57
Мне касперский 1CD расшифровал - ждали месяц...
26 Looking
 
15.07.17
08:48
По поводу ПО для создания белых списков ПО, каким вариантом пользуетесь? Пока только зарубежное и платное с абоненткой попадается https://www.osp.ru/winitpro/2011/03/13009260/

или пользуетесь штатными возможностями gpedit ОС версий Проф? http://lameram.ru/gruppovaya-politika/belyj-spisok-programm "Данный метод работает в Windows XP, Vista, 7, 8, но только в максимальных версиях . Версии к сожалению Home, Starter данной утилиты не имеют."

хотя и на Хоум можно штатно через правку реестра настроить
https://habrahabr.ru/post/102298/
27 Автоном
 
15.07.17
09:18
(0) У ГБ на компьютере посмотри там скорее всего защита системы включена, данные вполне вероятно остались в теневых копиях. Если шифровальщик их не стер.
28 Злопчинский
 
15.07.17
11:22
(19) че за лабуда? Какое письмо из 1с она ждала? Че она лапшу вам вешает? А вы тауиеже катайцолапшежратели...
29 Автоном
 
15.07.17
12:07
(28) Да все нормально.
Это для тебя может быть очевидно, а для бухгалтера такие тонкости как адрес отправителя мало о чем говорят.

Бухгалтеру нередко приходит несколько десятков писем от контрагентов и если каждое письмо внимательно проверять на шифровальщиков она уже ничем другим заниматься не сможет.

Да и зачем ей это. Словила и ладно, это проблема админов восстановить систему в приемлемое время, и обеспечить защиту на будущее.
30 Looking
 
15.07.17
12:12
(29)я вот думаю, может отдельный сервак под чтение почтовых сообщений поставить? чтобы письма и их вложения открывали на этом серваке по рдп? только ведь пользователи могут сразу и не понять, что шифровальщик активировался. Откроют на "серваке чтения почтовых сообщений", активируют шифровальщик, ничего не заметят, скопируют себе и у себя откроют.
31 Автоном
 
15.07.17
12:37
(30) У многих почтовых служб есть просмотр вложений - открывают офисные документы, архивы на своих серверах и показывают содержимое.
Можно научить сотрудников пользоваться этим.

А в остальном - запретить пользователю запуск программ из папки  в которую вложения скачиваются, и отключить макросы в ms office.
gpedit.msc -> Конфигурация компьютера -> Конфигурация Windows -> Параметры безопасности -> Политики ограниченного использования программ
32 craxx
 
15.07.17
16:39
(0) Ловили такое неделю назад. Благо у клиентов админ нормальный и резервные копии как часики. За 20 минут жизнеспособность полностью восстановили.
33 mistеr
 
15.07.17
20:22
(26) По твоим ссылкам не "белый список", а смех один. Настоящий белый список это (31) Политики ограниченного использования программ.

Из стороннего бесплатного ПО например Comodo умеет. Но надежность его — хз.
34 PCcomCat
 
15.07.17
23:21
(22) Привлекли сисадмина, форматнули всё, т.к. там был зоопарк, переустановили систему, настроили безопасность, из периферийного узла сделали центральный.
35 PCcomCat
 
15.07.17
23:21
(23) Они туда же ушли - в шифрование.
36 Looking
 
16.07.17
07:19
(31)"У многих почтовых служб есть просмотр вложений - открывают офисные документы, архивы на своих серверах и показывают содержимое.
Можно научить сотрудников пользоваться этим.
"

то есть если открыть вложение с шифровальщиком на том-же майл.ру, то шифровальщик не активируется на ПК? спасибо за вариант, никогда не рассматривал в данном ключе. в момем случае почта на Рамблер.ру, посмотрю - есть ли у него такая функциональность.
37 Looking
 
16.07.17
16:37
Есть ли ПО подготовки к созданию "белого списка"? Чтобы перед тем как заняться его заданием поставить данное ПО и чтобы пользователь поработал на ПК энное кол-во дней, а ПО себе в лог записало все ПО, которое за эти дни использовалось и сгруппировало по процессам, например notepad.exe запускался 5 раз и т.д, ну или без кол-ва запусков - просто перечень запускавшегося ПО за период, свернутый по наименованию процессов.
38 kumena
 
16.07.17
17:25
>Есть ли ПО подготовки к созданию "белого списка"?

оно уже в виндоуз есть, политика Выполнять только указанные приложения Windows

только одна эта политика бесполезна, в случае простого переименование файла
39 Looking
 
16.07.17
21:10
(38)я немного о другом спрашиваю, как задавать "белый список" - знаю. меня интересует перечень ПО, которым чаще всего пользуются на ПК, чтобы не мучить этим процессом пользователей и себя. то есть интересует ПО, которое сможет собрать такие данные за период работы пользователей ПК. то есть ставлю ПО, не задавая пока-что "белого списка". пользователи работают, например неделю, а ПО собирает информацию о том, какое ПО использовалось эту неделю, и затем по завершении недели я открываю лог данного ПО и вижу - какое-же ПО использовалось пользователями за эту неделю и ручками вношу его в "белый список". может это и не ПО, а штатная возможность ОС?
40 Злопчинский
 
16.07.17
21:16
(39) запрети все, потом разрешай которые понадобчтся
41 Looking
 
16.07.17
21:21
(40)вот как раз не хочется такой "шоковый" для пользователей и себя вариант использовать ))) наоборот - подсобрать-бы статистику за период, и сразу внести основной список, а затем уже изредка добавлять новые и редко используемые.
42 Злопчинский
 
16.07.17
21:33
(41) пользователям нужно все
43 Злопчинский
 
16.07.17
21:34
А по факту когда мы так запилили для работы хватало одноцэ офис и браузер
44 Looking
 
16.07.17
21:43
(43)архиваторы еще наверное, pdf-ридеры, налогоплательщики и прочие ПУ-6 )))
как пример аналогии - программа для учета и контроля трафика BitTally, ставишь ее и через некоторое время использования ПК получаешь статистику - на какие сайты пользователи ходили. возможно есть что-то по аналогии, только не с сайтами, а с программами - открываешь и видишь список программ, которые пользователи использовали за период времени.
45 Одинесю
 
17.07.17
12:12
Ответ с сайта Касперского - "Вымогатель GlobeImposter 2.0, расшифровки пока нет."
46 KrasnSergey
 
17.07.17
12:43
(0) поскань удаленные файлы по секторам, вирус вначале шифрует потом удаляет, фотки так  восстанавливал процентов 90 восстановилось
47 Одинесю
 
17.07.17
13:35
(46) Это как?
48 Автоном
 
18.07.17
16:06
(39) Вместо запрета включи аудит.
Потом долго и нудно анализируй журнал на предмет отделения козлищ от агнцев.
49 NikVars
 
18.07.17
17:13
50 Looking
 
18.07.17
20:57
(49)спасибо от души!
51 pessimist
 
19.07.17
10:42
(0) Мне казалось что .gz это архив и само оно не запустится?
52 Одинесю
 
19.07.17
10:44
(51) нет, запустили вручную.
53 Одинесю
 
19.07.17
10:46
(49) хотелось бы не отчетность, а управление ресурсами, кому что и куда можно...
54 NikVars
 
19.07.17
14:37
(53) Прочитай еще разок:
"Инструмент Администрирование пользователей предназначен для создания определённой реакции программы на осуществление пользователем компьютера определённых действий. Таким образом поддерживается информационная безопасность (предоставлением различных прав разным пользователям)."
http://www.statwin.ru/computer-monitoring/index.shtml
55 Looking
 
19.07.17
16:06
(54)она платная, ее если как дополнение к антивирусу, буду о ней знать теперь. а в моменте у меня задача более локальная - лог запускаемых за период приложений. может есть какая для этих целей бесплатная программулина?
56 Looking
 
19.07.17
16:16
у AnVir Task Manager есть лог, но без группировки по приложениям, можно его попытаться полистать, чтобы те приложения, которые удастся высмотреть, добавить в Белый список.