Здравствуйте
терминальный сервер 1с подхватил вируса шифровальщика, как это могло произойти не могу понять, т.к. на нем работает только 1с, доступ в интернет у него есть (RDP и обновления), поделитесь опытом как защититься от этой заразы пжл
Буду признателен за подробный, разжеваный ответ :)

(0)Шара есть же?

никогда такого не было и вот опять

(0)Пароль Администратора 123456?

(0) Отобрать у пользователей права админа, установить длинный пароль локальному админу, закрыть все шары, установить последние обновления, заблочить почту (типа Outlook) и выход в интернет браузерами, убрать всякие мессенджеры (аськи, скайпы и т.д.), скриптом ночью чистить локальные TEMP и мониторить что не удалилось

(0) Это значит что где то на локальном компуктере он сидит, щас он сеть заражает, а отчет времени уже идет. Жди шифрование не только терминального сервера.

(4) Точно, ведь шары!..

А пробираются через уязвимости в ОС и ПО, письма, сайты(в том числе и социальные сети). Сегодня только на вебинаре был про Петь, Вась, Ванна Край и т.д.

Повысить безопастность можно:
1) Инструктаж пользователей, что письма открывать подозрительные НИНИ.
2) Установка Антивируса на ПК.
3) Закрыть шары
4) Установить нормальные пароли
5) настроить политику безопастности
6) Установить обновления виндовс(может упасть винда после такого, выбирать тебе)

(5) Да все что он видел - он позаражал (шары), вопрос откуда он взялся
(4) - это сделано
ну а без шар что с флешками бегать ?
но не мог же он через шару запуститься, даже если и попал на нее

(9) С компуктера пользователя, может он из дома флешкой принес на работу, хз.

(10) сервер стоит отдельно, к нему подключаются только по RDP и запускают там только 1с

думаю если брандмауэром позакрывать порты, какие оставлять открытыми ?
Ну RDP почта на отправку, HTTP, понятно, вопрос насчет печать на удаленных принтерах (какие порты)
и насколько это мероприятие повысит безопасность и повысит ли ее вообще ?

(11) никак не повысит. И если Вы разрешили запускать браузер - Вы разрешили запускать шифровальщик

(0)
1) Бэкапы и еще раз бэкапы
2)
https://www.anti-malware.ru/reviews/Software_Restriction_Policies

http://winitpro.ru/index.php/2016/10/21/blokirovka-virusov-i-shifrovalshhikov-s-pomoshhyu-software-restriction-policies/

Осторожно! Свежий вирус шифровальщик, теперь с расширением *.wsf

(11) RDP почта на отправку
А у почты - вложение, скопировано из флешки. Вот и прецедент.

У нас почти тоже самое произошло, бушка притащила флешку с файлом с домашнего компа. И есть сервер с расшаренным хардом, с её папкой, куда она файл свой положила, а потом отправила с почтой. Результат не замедлил сказаться.
2-3 недели сисы чистили сервера, пообрезали права, вроде сейчас всё спокойно.

Учетки юзверей на компе должны быть без админских прав, это как презерватив - дает 99% гарантии)

(12) (15) почта нужна для отправки доков из 1с (счета и т п)
HTTP - для курсов валют на РБК,

(0) У тебя сервак голой жёппой в инет торчит чтоль ?

(16) около 80% - остальное: дыры в ОС, локальный админ без пароля, ну и наличие вируса в дистрибутиве

(17) Мэйлер тебе зачем для отправки почты? отправляй прямо из 1С
Курсы с РБК подгружаются автоматически, если очень хочешь покажи страницу на форме 1С, на крайний случай зайдут с локального компа и проверят курсы
простое правило: "Нечего напрямую с сервера ломиться в инет пользователям" закрывает практически все вопросы безопасности сервера.

(19) мейлер встроеный 1с ный, я говорю что ему почтовый порт все равно нужен открытый

(20) на почтовом сервере он должен быть открытый

(8) Инструктаж- дело бесполезное.
Если были идиотами некоторые юзеры, так и останутся. Взрослых можно только запугать и вывести на чистую воду.

(18) сеть за маршрутизатором, сервак в сети - это голая жоопа ? (21) почтового сервера нет - почта уходит из 1с напрямую