|
Словили шифровальщик Trojan-Ransom.Win32.Purgen.fw | ☑ | ||
---|---|---|---|---|
0
Одинесю
14.07.17
✎
12:19
|
Расширение au1crypt. Пришло письмо с вложением gz. ГБ открыла. Слава Богу зашифровало только локальные данные, общие сетевые ресурсы в норме. Подал заявку в клубе Касперского, жду. Ну и собсно вопрос - Никто не сталкивался?
|
|||
1
Альбатрос
14.07.17
✎
12:26
|
Поздравляю
|
|||
2
Одинесю
14.07.17
✎
12:27
|
(1) Спасиб.
|
|||
3
Garykom
гуру
14.07.17
✎
12:28
|
Так понимаю резка всех сообщений с непонятными вложениями не настроена?
|
|||
4
Одинесю
14.07.17
✎
12:30
|
(3) Правильно.
|
|||
5
Одинесю
14.07.17
✎
12:31
|
(3) У нас нет ни АД, ни прокси...
|
|||
6
wt
14.07.17
✎
12:32
|
Посмотри свойства почтового сообщения. Там может быть мас-адрес откуда пришло.
|
|||
7
Одинесю
14.07.17
✎
12:35
|
(6) Я письмо уже удалил, зачем мне мак-адрес?
|
|||
8
mistеr
14.07.17
✎
12:36
|
(6) Какой MAC адрес, лол. IP IP адрес, ты хотел сказать.
(7) Ну и зря, Касперскому нужен семпл. |
|||
9
Одинесю
14.07.17
✎
12:40
|
||||
10
Одинесю
14.07.17
✎
12:41
|
(8) Нашел в корзине, как посмотреть айпи?
|
|||
11
Одинесю
14.07.17
✎
12:45
|
нашел 185.39.170.74
|
|||
12
Fish
14.07.17
✎
12:47
|
(11) Французишки, похоже.
|
|||
13
Одинесю
14.07.17
✎
12:49
|
||||
14
PCcomCat
14.07.17
✎
12:52
|
Буквально в пятницу у одного клиента всё зашифровалось. Повезло, что у них распределёнка. Сейчас навели порядок в безопасности. Как говорится: "пока жареный петух не клюнет..."
|
|||
15
Одинесю
14.07.17
✎
12:55
|
(13) это второй айпи, первый https://s8.hostingkartinok.com/uploads/images/2017/07/a727c503622ab9dc1d900f99a7188b5f.png
|
|||
16
Fish
14.07.17
✎
12:57
|
(13) А тут говорят иное: http://ipaddress.is/185.39.170.74#.WWiVeXFn0dU
|
|||
17
Одинесю
14.07.17
✎
12:59
|
(16) и кому верить?
|
|||
18
Garykom
гуру
14.07.17
✎
13:05
|
Никому не верь и ГБ тоже.
Надо быть совсем тупым(ой) чтобы письмо (9) не вызвало сразу подозрения. |
|||
19
Одинесю
14.07.17
✎
13:07
|
(18) Она хорошая)) Дело в том, что она как раз ждала письмо из 1с, загруженность сильная у нее, вот впопыхах и недоглядела.
|
|||
20
kyvv
14.07.17
✎
13:14
|
(12) ВВП сказал, что IP подменить - нефиг делать.
|
|||
21
mistеr
14.07.17
✎
13:32
|
(20) Зачем подменять? Арендуешь ботнет на сутки, выбираешь страну и рассылаешь письма счастья.
|
|||
22
Looking
14.07.17
✎
13:47
|
(14)что конкретно предприняли для наведения порядка в безопасности?
|
|||
23
ildary
14.07.17
✎
13:52
|
(22) бекап подняли :)
|
|||
24
antgrom
14.07.17
✎
13:54
|
Purgen
интересное название ) |
|||
25
wiwi
14.07.17
✎
13:57
|
Мне касперский 1CD расшифровал - ждали месяц...
|
|||
26
Looking
15.07.17
✎
08:48
|
По поводу ПО для создания белых списков ПО, каким вариантом пользуетесь? Пока только зарубежное и платное с абоненткой попадается https://www.osp.ru/winitpro/2011/03/13009260/
или пользуетесь штатными возможностями gpedit ОС версий Проф? http://lameram.ru/gruppovaya-politika/belyj-spisok-programm "Данный метод работает в Windows XP, Vista, 7, 8, но только в максимальных версиях . Версии к сожалению Home, Starter данной утилиты не имеют." хотя и на Хоум можно штатно через правку реестра настроить https://habrahabr.ru/post/102298/ |
|||
27
Автоном
15.07.17
✎
09:18
|
(0) У ГБ на компьютере посмотри там скорее всего защита системы включена, данные вполне вероятно остались в теневых копиях. Если шифровальщик их не стер.
|
|||
28
Злопчинский
15.07.17
✎
11:22
|
(19) че за лабуда? Какое письмо из 1с она ждала? Че она лапшу вам вешает? А вы тауиеже катайцолапшежратели...
|
|||
29
Автоном
15.07.17
✎
12:07
|
(28) Да все нормально.
Это для тебя может быть очевидно, а для бухгалтера такие тонкости как адрес отправителя мало о чем говорят. Бухгалтеру нередко приходит несколько десятков писем от контрагентов и если каждое письмо внимательно проверять на шифровальщиков она уже ничем другим заниматься не сможет. Да и зачем ей это. Словила и ладно, это проблема админов восстановить систему в приемлемое время, и обеспечить защиту на будущее. |
|||
30
Looking
15.07.17
✎
12:12
|
(29)я вот думаю, может отдельный сервак под чтение почтовых сообщений поставить? чтобы письма и их вложения открывали на этом серваке по рдп? только ведь пользователи могут сразу и не понять, что шифровальщик активировался. Откроют на "серваке чтения почтовых сообщений", активируют шифровальщик, ничего не заметят, скопируют себе и у себя откроют.
|
|||
31
Автоном
15.07.17
✎
12:37
|
(30) У многих почтовых служб есть просмотр вложений - открывают офисные документы, архивы на своих серверах и показывают содержимое.
Можно научить сотрудников пользоваться этим. А в остальном - запретить пользователю запуск программ из папки в которую вложения скачиваются, и отключить макросы в ms office. gpedit.msc -> Конфигурация компьютера -> Конфигурация Windows -> Параметры безопасности -> Политики ограниченного использования программ |
|||
32
craxx
15.07.17
✎
16:39
|
(0) Ловили такое неделю назад. Благо у клиентов админ нормальный и резервные копии как часики. За 20 минут жизнеспособность полностью восстановили.
|
|||
33
mistеr
15.07.17
✎
20:22
|
(26) По твоим ссылкам не "белый список", а смех один. Настоящий белый список это (31) Политики ограниченного использования программ.
Из стороннего бесплатного ПО например Comodo умеет. Но надежность его — хз. |
|||
34
PCcomCat
15.07.17
✎
23:21
|
(22) Привлекли сисадмина, форматнули всё, т.к. там был зоопарк, переустановили систему, настроили безопасность, из периферийного узла сделали центральный.
|
|||
35
PCcomCat
15.07.17
✎
23:21
|
(23) Они туда же ушли - в шифрование.
|
|||
36
Looking
16.07.17
✎
07:19
|
(31)"У многих почтовых служб есть просмотр вложений - открывают офисные документы, архивы на своих серверах и показывают содержимое.
Можно научить сотрудников пользоваться этим. " то есть если открыть вложение с шифровальщиком на том-же майл.ру, то шифровальщик не активируется на ПК? спасибо за вариант, никогда не рассматривал в данном ключе. в момем случае почта на Рамблер.ру, посмотрю - есть ли у него такая функциональность. |
|||
37
Looking
16.07.17
✎
16:37
|
Есть ли ПО подготовки к созданию "белого списка"? Чтобы перед тем как заняться его заданием поставить данное ПО и чтобы пользователь поработал на ПК энное кол-во дней, а ПО себе в лог записало все ПО, которое за эти дни использовалось и сгруппировало по процессам, например notepad.exe запускался 5 раз и т.д, ну или без кол-ва запусков - просто перечень запускавшегося ПО за период, свернутый по наименованию процессов.
|
|||
38
kumena
16.07.17
✎
17:25
|
>Есть ли ПО подготовки к созданию "белого списка"?
оно уже в виндоуз есть, политика Выполнять только указанные приложения Windows только одна эта политика бесполезна, в случае простого переименование файла |
|||
39
Looking
16.07.17
✎
21:10
|
(38)я немного о другом спрашиваю, как задавать "белый список" - знаю. меня интересует перечень ПО, которым чаще всего пользуются на ПК, чтобы не мучить этим процессом пользователей и себя. то есть интересует ПО, которое сможет собрать такие данные за период работы пользователей ПК. то есть ставлю ПО, не задавая пока-что "белого списка". пользователи работают, например неделю, а ПО собирает информацию о том, какое ПО использовалось эту неделю, и затем по завершении недели я открываю лог данного ПО и вижу - какое-же ПО использовалось пользователями за эту неделю и ручками вношу его в "белый список". может это и не ПО, а штатная возможность ОС?
|
|||
40
Злопчинский
16.07.17
✎
21:16
|
(39) запрети все, потом разрешай которые понадобчтся
|
|||
41
Looking
16.07.17
✎
21:21
|
(40)вот как раз не хочется такой "шоковый" для пользователей и себя вариант использовать ))) наоборот - подсобрать-бы статистику за период, и сразу внести основной список, а затем уже изредка добавлять новые и редко используемые.
|
|||
42
Злопчинский
16.07.17
✎
21:33
|
(41) пользователям нужно все
|
|||
43
Злопчинский
16.07.17
✎
21:34
|
А по факту когда мы так запилили для работы хватало одноцэ офис и браузер
|
|||
44
Looking
16.07.17
✎
21:43
|
(43)архиваторы еще наверное, pdf-ридеры, налогоплательщики и прочие ПУ-6 )))
как пример аналогии - программа для учета и контроля трафика BitTally, ставишь ее и через некоторое время использования ПК получаешь статистику - на какие сайты пользователи ходили. возможно есть что-то по аналогии, только не с сайтами, а с программами - открываешь и видишь список программ, которые пользователи использовали за период времени. |
|||
45
Одинесю
17.07.17
✎
12:12
|
Ответ с сайта Касперского - "Вымогатель GlobeImposter 2.0, расшифровки пока нет."
|
|||
46
KrasnSergey
17.07.17
✎
12:43
|
(0) поскань удаленные файлы по секторам, вирус вначале шифрует потом удаляет, фотки так восстанавливал процентов 90 восстановилось
|
|||
47
Одинесю
17.07.17
✎
13:35
|
(46) Это как?
|
|||
48
Автоном
18.07.17
✎
16:06
|
(39) Вместо запрета включи аудит.
Потом долго и нудно анализируй журнал на предмет отделения козлищ от агнцев. |
|||
49
NikVars
18.07.17
✎
17:13
|
||||
50
Looking
18.07.17
✎
20:57
|
(49)спасибо от души!
|
|||
51
pessimist
19.07.17
✎
10:42
|
(0) Мне казалось что .gz это архив и само оно не запустится?
|
|||
52
Одинесю
19.07.17
✎
10:44
|
(51) нет, запустили вручную.
|
|||
53
Одинесю
19.07.17
✎
10:46
|
(49) хотелось бы не отчетность, а управление ресурсами, кому что и куда можно...
|
|||
54
NikVars
19.07.17
✎
14:37
|
(53) Прочитай еще разок:
"Инструмент Администрирование пользователей предназначен для создания определённой реакции программы на осуществление пользователем компьютера определённых действий. Таким образом поддерживается информационная безопасность (предоставлением различных прав разным пользователям)." http://www.statwin.ru/computer-monitoring/index.shtml |
|||
55
Looking
19.07.17
✎
16:06
|
(54)она платная, ее если как дополнение к антивирусу, буду о ней знать теперь. а в моменте у меня задача более локальная - лог запускаемых за период приложений. может есть какая для этих целей бесплатная программулина?
|
|||
56
Looking
19.07.17
✎
16:16
|
у AnVir Task Manager есть лог, но без группировки по приложениям, можно его попытаться полистать, чтобы те приложения, которые удастся высмотреть, добавить в Белый список.
|
Форум | Правила | Описание | Объявления | Секции | Поиск | Книга знаний | Вики-миста |