В соседней конторе словили шифровальщика. Зашифрована папка с общими документами (доки, таблички, сканы и т.д.) на сервере. Бэкап всего добра есть, так что вопрос не в том как расшифровать, а как от этого защищаться.
Если я правильно понимаю, шифровальщик запускается на клиентской машине и шифрует все файлы до которых может дотянуться с этой машины.
Внимание вопрос - как от этого защититься? Понятно, что нельзя открывать подозрительные вложения, не лазить по подозрительным сайтам и т.д. Вопрос в том, как ограничить шифровальщику область видимости, чтобы минимизировать ущерб, если все же он каким-то образом будет запущен.
Мне тут некоторые админы говорят, что СХД может защитить от шифровальщика, но меня терзают смутные сомнения. Если файлы на СХД доступны пользователю, который запустил шифровальщика, то эти файлы будут доступны и шифровальщику. Если я не прав, поправьте меня пжалста и направьте на путь истинный.

Самый простой способ защиты: не жмотиться на ЗП грамотному админу.

>Понятно, что нельзя открывать подозрительные вложения, не лазить по подозрительным сайтам и т.д

что "понятно" - опять ведь открыли

(0) Работает на уровне "Пользователь сам дурак", использует стандартные плюшки от виндовс, т.к. все легально... Просто МС не хочет от них избавляться, а шифровальщики используют.. Последний вирус шифровальщика "Петя", имеет след из США... так что сами понимаете :)

+(2) А кому понятно, ИТ-ишнику понятно, а клаве от бухгалтерии, уже невдомек :)

(2) Вся фишка в том, что до сих пор не известно кто и что открыл. Сам шифровальщик так и не нашли.

(0) я бы юзерам для записи давал каждому персональную папку. все остальное в шаре только чтение.

(5) он себю удаляет... ищите ПК, у которого все зашифровано :)
У вас шифровано сетевой ресурс?

+ (5) Просто в одно далеко не прекрасное утро обнаружили зашифрованные документы, когда и как это произошло никто не знает.

(5) ну дык сначала надо просто IT-бардак разгрести. потом уже про шифровальщики думать

(5) неужели на сервере шары нет логирования?

(8) ясен пень. "оно само"

(7) Да сетевой ресурс, но не у нас.

(10) Не в курсе - это не в нашей конторе.
(11) Ну конечно само! Кто бы сомневался. Не нашли просто еще "виновника торжества"

(0)
"
Зашифрована папка с общими документами (доки, таблички, сканы и т.д.) на сервере
"
Не мапить сетевые ресурсы как диск.

варианты:
1) запрет запуска исполняемых файлов из временных папок, папок куда качаются файлы из браузеров /запретить исполнять exe файлы не из Windows, Program Files, Program Files (x86).
2) полный запрет исп файлов - аля белый список
3) мягкий: ассоциировать исп файлы с блокнотом:
assoc .js=txtfile
assoc .CMD=txtfile
assoc .vbs=txtfile
assoc .com=txtfile
assoc .hta=txtfile
assoc .bas=txtfile
assoc .pif=txtfile
assoc .GADGET=txtfile
assoc .VBE=txtfile
assoc .VB=txtfile
assoc .jse=txtfile
assoc .SCR=txtfile
assoc .wsf=txtfile
assoc .wsc=txtfile
assoc .wsh=txtfile
4) бэкапить под отдельной учеткой, к бэкапу (папкам хранилища) доступ только из этой одной учетки
5) бэкапить в облако (не через синхру) - только запись, отправилось и все: батников на яндекс-диск через webdav или прогой типа handy backup

работает как: запускается приложение-скрипт обычно по открытию вложения обманки, далее шифрует все и вся по типам файлам по маске (которые обычно представляют ценность) на всех доступных ресурсах - которые доступны пользователю под которым это приложение-скрипт шифровальщик запустился

(6) Ага, спасибо, возьмем на вооружение
(15) Понял, спасибо. Бэкап так и сделан (под отдельной учеткой в отдельное хранилище)

(0) перейти от общих папок в свое "облако", что то типа шарепойнта и nextclowd

Единственная действенная защита от шифровальщика — это бэкап.

(14) >> Не мапить сетевые ресурсы как диск
То есть те сетевые ресурсы, которые не промаплены как диски, шифровальщик не увидит?

(19) Это скорей страховой полис чем защита...

(19) Помимо этого нужны превентивные меры, ибо профилактика всегда дешевле лечения.

(20) Не увидит. Лучше ярлыками на рабочий стол выложить.

(23) Это хорошая новость :)

(16) А вот это приложение-скрипт, оно так и остается во вложении или остается где-то еще, в каких-нибудь временных папках?

+ (25) Ну то есть как-то потом можно найти откуда оно было запущено?

(24) плохая идея, закладываться на то, что шифровальщик не видит сетевые шары. Сегодня - не видит, завтра автор программы чуть допишет логику и шифровальщик все увидит.

(25) вложение в почте - оно и есть вложение (без разницы что оно из себя представляет) - соотв. пока с почт сервера не удалишь - то оно и останется

(28) Да, с вложением все понятно. Само приложение-шифровальщик из вложения где-то на диске остается?

+(29) На локальном диске имеется ввиду.

(27) А хорошую идею можете предложить?

+(31) Если не жалко конечно :)

(29) Нет, это же по сути текстовый файл.
Все что он смог закачать, для шифрования, тоже удаляются.

(31) Смотреть в (15), учесть из (19) :)

(22) Антивирус, своевременное обновление ОС и программ, безопасное поведение в интернете.

"безопасное поведение в интернете" вот с этим туго :)

(35) Да, конечно это все соблюдается...
Но и вирусописатели не стоят на месте.

(36) Что сложного? Как минимум, не открывать незнакомые ссылки, не запускать файлы из писем.

(36) Не то чтобы туго, не всегда понятно, куда можно заходить, а куда нельзя. Иногда и на проверенных сайтах вирусня попадается.

(38) + не пользоваться яндексом и мейл.ру)

(0) бэкап и запрет запуска незнакомого исполняемого кода.

+ (39) Кроме этого могут взломать чей-то мессенджер и прислать от имени человека, которому ты доверяешь ссылку на вирус.

(41) >>запрет запуска незнакомого исполняемого кода.
А можно про это чуток подробней? Как понять "незнакомого исполняемого кода"?

(38) ну уровень компетенции пользователей очень разный, напиши в письме: "просим срочно погасить задолженность" и все - бухи сразу откроют :)

(44) +100500 откроют и это только одна из уловок.

+ (45) С человеческим фактором ничего не сделаешь...

как защитится от шифровальщиков?

(35) На ум приходит только один антивирусник, Интернет секюрити от карсперского... Но такие не наблюдал еще в компаниях...
Остальные поделки каспера особо не ловят мышей :)

(41) к сожалению бекап не помогает в полной мере...

ты можешь обнаружить, что докумены зашифрованы через неделю.... а тут 2 варианта потерь
1. частичная потеря (за неделю)
2. потеря всего если бекапы стали не валидными (в бекапах то-же зашифрованные файлы)

(49) так бэкапы переносить надо. локальным то ясен пень кранты

(49) А если бэкап делается сразу на СХД или копируется туда?

(48) KIS тоже не ловит

Интересно этих шифровальщиков кто-нибудь пытался поймать или это совсем безнадежное дело?

Имеется ввиду писателей и распространителей шифровальщиков.

(52) Странно, а буклетики от касперыча трещать о том, что кис лучше всех :)

+ Врутс :(

(54) Кого-то ловят, сервера банят. Но вирусняки автоматизированы, просто тупо присылаются.
А если за этим стоит АНБ, то тут только Воевода с Тополями все решит :)

(57) АНБ вымогает биткойны у Российских предпринимателей?
Прикольно...

Увидел тут нечаянно: Dr.Web Rescue Pack - средство от шифровальщика.
Или для шифровальщика - не знаю :)

(43) на выполнение запускать можно только то что явно разрешено. Белый список. Все остальное не запускается, пока не придёт админ и не пропишет, что можно.

(49) в полной мере не помогает ничего. Но в большинстве случаев проблему решает. Кроме того, сильно зависит от того как именно делается бэкап. Если вы делаете просто копию пострадавшей папки, то да, выйдет как вы пишете. А если вы добавляете в бэкап новые и изменившиеся файлы, то поскольку шифровальщик даёт своё расширение, бэкап сильно разбухнет и файлы в нем будут старые и новые - зашифрованные и нет. Про разбухание уйдёт предупреждение админу. Он посмотрит и сразу поймёт в чем дело.

(61) словили как то - который не менял расширений файлов. Средства нет до сих пор

Ничего не решит проблему шифровальщика кроме драконовских мер вроде построения файловой системы как в Windows Phone и политики исполняемых файлов как в (15). Плюс бэкап или хорошее версионирование.
Шифровальщик не (обязательно) требует админских полномочий, не требует использования хаков, недокументированных функций. С точки зрения системы это пользовательское приложение, работающее с пользовательскими файлами.

(58) Прикрытие, вот вы уже не думаете про АНБ, а ищите горстку хакеров :)

(63) Но пункт 1 из (15) думаю будет недостаточен, если не запретить/ограничить запуск скриптов. А разве этого не достаточно для защиты от большинства шифровальщиков.
Для полноценной защиты стоит жёстко разделить данные различных приложений, так чтобы приложение только само передавало свои данные другим, по-аналогии с нерутованным Андроидом, на котором пользователь добровольно даёт приложению доступ к своим уязвимым местам.

(65) Шифровальщики шагнут дальше (или назад) и будут уже в виде исполняемых файлов :)

(66) А толку, если https://en.wikipedia.org/wiki/AppLocker запретит запуск программ, в идеале и скриптов, из мест куда у пользователя есть права на запись/изменение? Разумеется, это работает только, если у пользователя нет административных прав.

(67) шифровальщики любят теперь использовать макросы, да все что угодно...
Даже если во внешку не будет связи, он тебе выдаст типо строку ключа и предложит отправить фалы с ключем на некий сайтик для расшифровки :)

+даже если зловреды не расшифруют, то данные все ровно попортятся :)

(68) Если у каждого приложения свой пользователь ОС, то оно сможет испортить только свои данные или те данные, которые другие приложения передали в него по воле пользователя.
Ну и резервные копии никто не отменял, если средствами ОС любой существующий или ранее удалённый файл можно вернуть в состояние на несколько дней назад.

(62) дело в том, что расширение - со времен ДОС наиболее удобный механизм, чтобы понимать, что есть в файле, не заглядывая внутрь. Так уж повелось. И если зловред не меняет расширение, то повышается вероятность того, что он просто вандалит файлы, записывая туда мусор, и никакой "расшифровки" не предусмотрено.

(63) к сожалению, это верно. Лет 20 назад ходила шутка в виде текстового файла, в котором было написано что-то типа: "Я - Албанский вирус. К сожалению, из-за слабого развития технологий в нашей стране я не могу причинить вам вреда, поэтому запустите, пожалуйста, самостоятельно команду format c:". К сожалению, против идиотов средств не придумано.

(65) >> на котором пользователь добровольно даёт приложению доступ к своим уязвимым местам
Вот в этом и главная уязвимость. Поэтому я и говорил про Windows Phone (подразумевая 7.5). Пользователь не может дать приложению доступ, потому что не может. Если вы хотите дать доступ, смотрите пункт 1.

я думаю от шыфровальщика поможет программа которая реализует следующий алгоритм записи файлов

1. создается список возможных действий которые нужно контролировать (изменение, копирование, удаление, переименование, смена расширения)
2. создается список исполняемых файлов которые могут эти изменения делать, для каждого файла создается пользовательский манифнст который детализирует какие именно файлы может та или иная программа изменяь и т.д. Манифест и сам файл содержит ЭЦП
3. в систему инсталируется драйвер который при каждом действии проверяет по манифесту разрешения.

то есть работаем по белым спискам...

(73) Политики могут ограничить установку программ для пользователя, в мягком варианте, только магазином приложений, в жёстком - все установки производятся администратором.
(74) Вот только неудобна такая система, хотя и безопасна. А скрипты и макросы, возможно, без записи в файл, по-прежнему будут опасны, если не ограничить к ним доступ только для администраторов.

> Самый простой способ защиты: не жмотиться на ЗП грамотному админу.

которой он потом откупиться от вымогателей!

(75) скрипты внутри вордовского документа исполняются все равно внутри ворда, по этому зашифровать он сможет только вордовские файлы, а вот уже на картинки и екселевские файлы ему доступа не будет....

я уверен, что такую программу не так сложно написать, то-то оутпост очень близок по духу...

(77) Примерно похожим образом действует клиент synology time backup. Только информацию эту он использует не для запретов, а для бэкапа измененных/дополненых данных. Восстанавливается на любой момент времени.
Поднял его после первого заражения.
Причем шифровальщик был нетипичный:
- влез в сетевые шары (без подключения как диск)
- судя по списку обработанных шар - ходил по ссылкам в ярлыках
- исчез ничего не попросив и не зашифровал все, до чего смог дотянуться

В качестве одной из мер по предотвращению заражения шифровальщиком предлагается открывать приходящие документы непосредственно на почтовом сервере, не используя при этом почтовых клиентов, и входя в веб-интерфейс почтового сервера через браузер. Не смог найти такой функциональности в Рамблер-почте, плохо искал? Или может эта функциональность настраивается отдельно? В яндекс-почте, например, есть иконка "глаз", при клике по ней документ открывается на сервере для просмотра. А в Рамблер-почте есть что-то аналогичное?

(79)на мейл.ру либо есть такой пункт меню "Просмотреть", либо щелкаешь по иконке документа и он отрывается на просмотр непосредственно на почтовом сервере. а у Рамблера нет такой функциональности? пользуется кто Рамблером?

(0) Просто уберите общие сетевые шары доступные для всех и сделайте каждому свою шару (доступ только для учетки юзера и админа) и общую шару обменника (сильно ограниченную по объему чтобы там не хранили).

В каждой шаре юзера сделать кроме приватной еще две публичные шары  "Входящие" и "Исходящие", причем во входящие может писать кто угодно (читать нет) а с исходящие наоборот писать может только сам юзер а читать кто угодно.

(81)+ Другой вариант полностью выкинуть файловые сетевые шары и заюзать другие способы решения тех же задач.

Например СЭД с электронкой и интранетом

(0) для минимизация ущерба, нужны бекапы.
Для предотвращения, нужен грамотный админ. В IT структуре бардак, если шифровальщик стал проблемой.

(1) +1

В старых советских ЭВМ было хранение всех версий всех файлов. :-)
Мы на них еще изучали язык Фортран.

Я в свое время делал сохранение всех версий ert файлов от 1С 7.7 - пару раз это выручало от исчезновения внешних отчетов или обработок. От этого же помогает бэкап с ротацией.

Чтобы не хранить мегатонны версий, можно их ротировать по принципу: чем старее копия, тем реже они должны сохраняться: например, час - все версии, день - ежечасно, неделя - ежедневно, месяц - еженедельно, квартал - ежемесячно, год - ежеквартально, далее - по году.

(0) Касперский выпустил пробную версию приложения, специально для предотвращения шифрования. Поставил, жду.

(15) Вот ведь зоопарк расширений - и почему только винда дозволяет их по умолчанию. Кому они вообще нужны? Если кому-то вдруг нужны, то почему бы не делать включение настройками.

Запуск исполняемых файлов отовсюду также можно было бы запретить системно по умолчанию, а кому надо - тот открывает себе настройками (а не наоборот).

Очень похоже на то, что массовые уязвимости нужны для разведывательных и диверсионных решений, и устранять их можно законодательным путем.

(86) даже красноглазики предпочитают СЕЛинукс отключать, а не настраивать

(0) Акронис не предлагали ещё?

(85) >>Поставил, жду.
На живца ловишь? :)))

(88) Предлагаешь каждый день на каждом компе образы дисков делать?

(6) Запрет запуска из каталогов, доступных пользователю на запись - самое правильное. Но, к сожалению, многие программы таким образом обновляются - через распаковку экзешника в temp и запуск оттуда. (

(91) Самое печальное в том, что иногда вирусы попадают как раз через "обновление" того же браузера, когда при входе на незнакомый сайт предлагается обновить браузер или ещё какую-то программу.
Можно было, конечно, надеяться на подпись автора программ, но её можно подделать.
И, самое печальное, что есть всякий исполняемый код в виде макросов и т.п., который исполняется при помощи хорошо известного исполняемого файла, давно установленного в системе.

(90) А почему бы и не делать?
Ну не акронисом конечно  - встроенная архивация windows.

(0) Для всего ценного  - бэкап.
Частота бэкапа должна быть достаточной, чтобы потери за промежуток между бэкапами не были критическими.

В качестве превентивной защиты - не работать под админом, настраивать политику ограниченного использования программ.

(44) Создается "песочница" - виртуалка с виндовс ХР. И там в ней все письма открываются. если что - пересоздать не жалко.

Только белый список действий.