Раздумываю, какой антивирус взять в следующем году для клиентов, с учётом наилучшей защиты от шифровальщиков как наиболее опасной нынче угрозы. Есть положительные отзывы знакомых админов по конкретным антивирусам, но у меня к ним душа не лежит (про какие именно АВ не скажу для чистоты голосования). Веду речь именно про платные АВ для малого бизнеса, прошу голосовать именно за те варианты, которые по личному опыту реально остановили неизвестный шифровальщик. Заранее отвечаю на вопросы:
1. Автобэкап настроен
2. Да, и на FTP с паролем тоже
3. RDP наружу не торчит (только через VPN)
4. Windows Server обновляется регулярно, политика паролей настроена правильно (с защитой от подбора)
5. У меня (моих клиентов) ничего не зашифровали, вообще всё хорошо
6. Нет, мне никто не заплатил за рекламу, это не очень хорошо )
Думаю, про реально эффективный и работающий АВ будет интересно узнать каждому, господа админы, поделитесь своим опытом, ответьте развёрнуто, пожалуйста. Заранее спасибо всем ответившим, желаю чтоб в будущем году эта тема напрямую никого не касалась )

(11) Так в любой работе. Все в запасе надежности. Но бывают исключения. Даже в космонавтике, где коэффициенты надежности и дублирования очень внушительные. Казалось бы, сделал бэкап по правилу 3-2-1 и гарантия 100%? Нет. Всего лишь вероятность сохранности данных значительно выше и все. Можно сделать огромное количество бэкапов и все равно существует вероятность потери инфы.
(12) Это неправда в том, что когда шифровальщик еще не прогрузился, вполне антивирь способен отловить несанкционированное обращение скриптов за исполняемым файлом, который, как правило, в даркнете. Когда пошла работа самого шифровальщика то только отключать питание срочно ибо комп даже выключиться не может штатно.

(14)если будет белый список исполняемых файлов, то шифровальщик и не запустится

Где-то была, уже эта тема, повторюсь, использую linux сервер backup, на windows расшарил папку, linux подключается к шаре и копирует копию базы и еще мелкие данные, раз в сутки, но меня пока устраивает.

(15) Согласен. Еще определить конечный список каталогов запуска исполняемых файлов и критично подойти к правам юзеров. Антивирус - это по сути реализация защиты от случайных или неграмотных действий пользователя.
(16) Протокол? Я юзаю SFTP. И еще в облако. Тогда более-менее.

я делал белый список.
все хорошо работает,пока не нужно что-то постоянно устанавливать.
просто,каждое обновление клиент-банка приходилось прописывать.
ну и пользователям права админа не давать,чтобы вирусня в систему не встраивалась.

некоторые шифровальщики из инета тащат PGP,тут основная проблема в том,что PGP честно подписана и нифига на вирус не похожа,а скрипт,который ее запускает антивирь тоже прошляпливает.

(17) Протокол SMB 3.0 , но это не имеет значения в локальной сети.

(18) Определить каталоги, из которых можно запускать что-либо, немного проще в процессе работы. Шифровальщик нужно ловить перед загрузкой, блокируя работу загрузчика. Потом поздно и бессмысленно пытаться его определить.

(18)возможно как вариант не руками список дополнять, а с помощью ПО, чтобы для добавления было достаточно просто подтвердить факт добавления или отвергнуть

(21) Все равно будут дергать каждый раз, а юзеру такое не доверишь. Да и чем тогда это отличается особо от прав запуска только под админом?

(12) + встроенный защитник вполне достаточно. Ну ещё памятка пользователям о том, что не надо делать чтобы не подцепить шифровальщик.

(23) "Ну ещё памятка пользователям о том, что не надо делать чтобы не подцепить шифровальщик"
Шутка юмора :)

"которые по личному опыту реально остановили неизвестный шифровальщик" - так об этом никто и не узнает, или кто то мониторит логи АВ?

Пользуюсь вот этим https://www.comss.ru/page.php?id=4776
Но это для самоуспокоения.

(23) Занимательный и показательный случай был в одной подопечной организации. Когда началась эпидемия шифровальщика, я позвонил их главбуху (очень адекватная и грамотная), разъяснил, что ни в коем случае нельзя запускать вложения в письмах из непонятных источников, что было донесено до всех сотрудников в организации под страхом смертной казни. В день, когда главбух уехала по делам из офиса, удалённому филиалу приходит на почту шифровальщик, они видят непонятное письмо и, помня инструкцию, пересылают его в головной офис на общий почтовый ящик - мол, разбирайтесь сами. Те видят письмо не из непонятного источника, а из родного филиала - запускают вложение. На третьем(!) зашифрованном компьютере наконец доходит, что происходит что-то не то. Кстати, третий комп оказался как раз главбуха, девочки подумали "наверное с нашими компьютерами что-то не то, у главбуха самый лучший комп". Я никогда раньше не видел, чтобы очень интеллигентная и спокойная женщина ТАК орала

(26) Почему не Kaspersky Anti-Ramsonware?

(25) Обычно АВ орать начинает, адекватные пользователи всегда такую инфу доносят до админа - мол, посмотри, что-то у нас не то

(28) Хм... видимо потому что не знал :-) Да и фиг его знает как он будет с корпоративным каспером дружить.

(8) Статья по KAV от 2018 года, уже всё могло измениться

(30) По идее Каспер с Каспером должны хорошо уживаться. Я вот думаю, может, вместо какого-либо Endpoint Security поставить связку из бесплатного Avast + платный Kaspersky Antiramsonware? И сэкономить таким образом

Встроенный виндовый антивирус (MSE) и мозги

(0) современным вирусам права не нужны (33) +1

(33) Всем пользователям свои мозги не вставишь

(35) Можно запретить получать exe файлы и прочие js/vb по мылу.
Не забыть проверять архивы на подобные файлы и тоже резать.

(36)+ Скачивать exe тоже с инета тоже лучше зарезать (прозрачный прокси типа Squid с допами), если юзеру надо установить какую то прогу то только через админа.

(36) Сейчас почтовыми клиентами почти не пользуются, все шифровальщики получают через браузер

Странно, что тема совершенно не зашла, неужели уже неактуально??

(39) здесь сисадминские темы сейчас плохо заходят. Людей, которые умели заниматься всем - осталось мало, кого побанили, кто сам ушел. А современные 1Сники, которые пришли в профессию в конце нулевых и после, полагают (и достаточно справделиво), что возня с антивирями - это не их.

по существу - мне кажется, каспер эндпоинт секьюрити достаточно хорошо режет шифровальщики, которые "засветились", причем как vbs-загрузчики, так и сами исполняемые файлы. Но если поделие недостаточно "засвечено" или собиралось специально для атаки на вас - он не поможет. Тут нужно думать в комплексе - запрет запуска исполняемых вложений почты, запрет запуска приложений вообще кроме "белого списка", профилактические беседы с юзверями.

(38) так пользуйтесь, кто не велит? Тот же бат отлично "не пущает" исполняемые файлы запускать, задолбает предупреждениями.

(42) Пользователи не хотят, говорят в браузере привычнее

(43) Проверяй периодически ящики клиентом и опасные письма кидай в спам или отдельную папку.

(44) Кстати, отличная идея. Вот бы скрипт какой прикрутить для этого дела, или вообще в идеале запилить настройки безопасности на mail.ru

условно бесплатный..

(46) почта открывается на одном серваке, 1с работает на другом.

(45) Напиши сам, блин проблему нашел работы по IMAP

Актуальная тема, смотрю :-)

По факту, за этот год у меня три сервера были зашифрованы. Бэкапов не было только у одних клиентов. Но им повезло и месячной давности бэкапы в соседней папке остались целыми. Восстановил оттуда базы. Разницу (не очень большой документооборот) они вбили ручками заново. После этого все таки решились потратиться на бэкапы. И уже после этого их еще два раза шифровали. В течение 15 минут - данные возвращал на место.

(49) У меня три или четыре, серьёзные потери были только у одних

(0) Хороший подход. Я бы тебя нанял, если бы был клиентом.

(51) Спасибо, лестно

проблема винды в том,что через командную строку можно запустить любой файл,если у него формат COFF,вне зависимости от расширения.
Скрипты тоже можно запретить,но в винде часть интерыейса через них работает.
К сожалению,права на уровне программ в винде не дашь.
да и потом,винда даже для изменения даты запускает два дочерних процесса через командную строку,и включение честного белого списка приводит к тому,что половина функционала в меню пуск уже не работает.

(53) как правило, юзер который знает что такое командная строка и умеющий ее открыть - что попало не запускает. Если, конечно, сознательно не хочет навредить.

ESET NOD32 Internet Security
параноик тот еще, но если настроить- нормально

(54) Да, но знает, как распаковать зашифрованный запароленный архив, если в теле письма есть пароль. При этом вводя пароль чувствует свое величие крутого юзера.
Сканируйте хоть обсканируйтесь письма на сервере, если скрипты в запароленных архивах.

(56)в запароленном архиве уже скрипты не нужнв,туда можно сразу тело запихать,и уже без подключения к интернету,пользун получает отыквивание компа.

(57) Неззя. Крайне невыгодно для девелопера.

(56) а вот тут как раз полезен антивирь на клиенте. При сохранении файла из архива на диск он заблочит вредоносный контент. Хотя это какие-то странные пользюки у вас, я таких умных не встречал. В моем случае обычно если хоть что-то вправо-влево на шаг отличается от простого файла эксель во вложении - у меня либо зовут админа, либо забивают на такое письмо. Архивы открыть могут (хотя скорее всего позвонят), но только незапароленные.

вообще правильно их воспитывать таким образом - если вам в вашей работе что-то кажется хотя бы немного странным - вам это не надо. Звоните начальству.

и понятное дело, никаких админских учеток и никаких посторонних программ. Только то что надо для работы.

Если админские (или хотя бы опытного пользователя) учетки - никакой антивирус не спасет.
Я использую ESET NOD32 Internet Security .

(59) Так в том весь и фокус, что если скрипт не заблочен антивирем или настройкой ОС, то спасает только отрубить питание. Дальше антивирь уже ни к чему. Достаточно чтобы беспрепятственно отработал скрипт. Больше НИЧЕГО не надо. Потом уже имеет значение наличие и качество бэкапов.

Если пункт "Прочее" получает более половины голосов, это говорит о неправильно составленной голосовалке. Впрочем на мисте таковых 90%.

А по сути. У нас стоит Kaspersky, но не Small Office, а корпоративный. Не знаю насколько велика его заслуга в том, что нас уже несколько лет не шифровали. Сам я не админ.
Антивирусы могут помочь только от широко известных шифровальщиков.
Реальной и полноценной защиты дать ни один из них не может.

Так что выбирать антивирусы только по одному и именно этому критерию - как минимум спорная идея.

к (64)

(64)
>Антивирусы могут помочь только от широко известных шифровальщиков.
В том-то и дело что уже нет. Kaspersky Antiransomware например по другому принципу работает, следит за происходящим в системе

Что бы темы не плодить, кто нибудь реализовывал схему бекапов с защитой от шифровальщиков, что бы диск был фически в компе, но к нему был монопольный доступ только какой нить программе, то есть чтобы была возможность туда скидывать бекапы и доставать их, но шифровальщик туда при заражении не добрался бы?

(0) Используем kaspersky Endpoint,  за 10 лет инцидентов не было. Настроенная на группы конфигурации в каспере работают нормально.

(67) сервис бэкапа от другого юзеря, у этого отнять права

(67) Создать бат файл, написать туда что нужно,  запускать в папку только разрешенному юзеру. Архив создавать без расширения.

(67) Дать права только какому-то определённому пользователю, от его имени запускать бэкап. Расширения архивов сделать dll, шифровальщику некогда заглядывать внутрь файла, он смотрит расширение (ноэтонеточно)) Подозреваю, последняя фишка вскоре может перестать работать

(67) А почем обязательно *dll ? я например сделал абсолютный набор символов типа *rs21

(72) да там не суть что ставить, если работает шифровальщик четко по конкретным расширениям сработает, если все подряд то нет.

(72) Потому что системные файлы они не трогают точно

(73) По всем шифровальшики не работают, только по маске расширений, мне кстати в этом плане политика 1С совсем не нравится в плане того что файл БД должен называться именно так 1Cv8.1CD, над уже давно сделать - что файл БД называется именно так - какой я укажу а каталог расположения дополнительных файлов - там где укажу, а не все в куче

(74) Думаю легко сделать проверку *dll На размер перед шифрованием.

(75) Тут мне очень нравится MS Sql 2008 +, может делать бэкапы с любым заданным расширением.

(75) (77) Это все бесполезно. Последний случай: ломанули RDP (скорее всего слабый пароль), *человек* зашел, нашел скуль, его базы и бэкапы, и запустил шифровальщик.

(0) Антивирус может остановить шифровальщика, если он оперативно обновляется и подключен к облачному сервису, то есть см отправляет подозрительные файлы на анализ. Но не 100% конечно. Поэтому реальная защита это грамотный бэкап, до которого шифровальщик добраться не сможет.

(78) Но тут только паранойя остается, раз в несколько дней приезжать с внешним носителем и переписывать на него быкапы + qnap с автоматическим выключением.

(80) Это называется не паранойя, а регламент. Но есть и другие схемы.

(81) Расскажите про другие схемы, если не затруднит.

Здравствуйте!
Если антивирус настроить, то остановить шифровальщика реально. У меня был случай, бухгалтер запустила вложение из письма примерно в 12 ч дня, видимо вложение было какое-то новое, т.к. антивирус его не обнаружил и никак не ругнулся. Узнал я о нем только вечером часов в 19, когда на почту пришло сообщение об обнаруженном вирусе (видимо в антивирусные базы включили). Стал разбираться - с 12 часов антивирус не давал этой программе в сеть и что нибудь записать куда не положено (в соответствии с настройками), пока антивирус его не нашел и пока я его не удалил... Правда там стоял KES (не реклама). Возможно и в других подобные настройки есть. А с установками по умолчанию вероятность того, что он пропустит новый вирус, как мне кажется, достаточно велика.

(79) Сейчас и другие алгоритмы появились. Kaspersky Antiransomware анализирует действия программ и может остановить процесс шифрации
(82) Ставится бэкапер с паролем на вход, бэкапы делаются на FTP под пользователем, который умеет только писать новые файлы, но не удалять/изменять. Всё, больше в принципе ничего не надо

(83) Что это был за антивирус?

(85) Там был Kaspersky endpoint security 10. Сейчас 11 есть, Заявлено, что он даже удаленное шифрование может распознать (т.е. шифровальщик запущен не на самом компе, а где то в сети).

(81) Например, бэкап-сервер подключается к прод-серверу и забирает локально сделанный бэкап. А к самому бэкап серверу никто подключиться не может без участия админа.

Или бэкап виртуалок средствами Windows + HyperV или сторонними (Veeam и т.п.)

(87) -> (82)

Как вариант. По SFTP по расписанию дифференциальные бэкапы каждый комп ложит в свою папку в локальном хранилище, а оттуда все улетает в облако.

(78) так RDP наружу открывать не надо. Или, если уж открываешь, открывай по-умному - используя шлюз удаленных рабочих столов и сертификаты.

(63) скрипт вы из почтовой программы так просто не запустите. Сейчас ни одна не даст - ни MS Outlook, который является корпоративным стандартом, ни даже простейший TheBat. Не давайте пользюкам браузером читать почту - и уже половины проблемы нет.

и опять-таки - у меня они научены - если хоть что-то нетипичное, хоть одно лишнее предупреждение - звонок админу. Сам никто ничего не делает, им это не надо. А почтовые программы ругаются очень громко и долго, когда из них пытаются запустить необычное вложение.

Еще в 98году был Norton unerase,который при перезаписи сохранял предыдущую версию файла и никому не давал ее удалить.
тогда,правда всякие цихи с гаоздями были,а не шифровальщики.
а чтение и потом перезапись файла через аудит прекрасно видно,пять файлов подряд и триггер срабатывает-тут и писать нечего.

если антивирусы будут эффективно ловить шиыровальщики по эвристике-никто их обновлять не будет,вот поэтому они ловят в полсилы.

(94) Это из области теории заговоров, между АВ жёсткая конкуренция, если какой-то из них на 99% закроет проблему шифровальщиков, сразу откусит приличный кусок рынка

(93) Чем это отличается от резервного копирования?

(95) Да ладно. Притча о глупом коте, который выловил всех мышей - очень древняя.

Надо брать Avast. Он продаёт данные своих пользователей без персональной информации.

https://3dnews.ru/999521

Бесплатный антивирус Avast сознался в продаже личных данных пользователей как минимум с 2013 года. Генеральный директор Ондрей Влчек (Ondrej Vlcek) подтвердил информацию журналистам и добавил, что не видит в этом нарушений конфиденциальности, поскольку из данных удаляли имена (когда пользователь был авторизован в Facebook) и прочую персональную информацию.

(98) Ага. А через 10 лет сознается, что продавал с персональной информацией.

(0)
Только бэкапы, всё остальное - для самоуспокоения, не более

(99) Пикантность данной ситуации не в том, содержала продаваемая информация персональные данные или нет. А в том, что ПО, которое должно меня защищать от подобных вещей, само занимается сбором информации обо мне и передачей его на сторону.

Причем с юридической точки зрения наверняка в тексте пользовательского или лицензионного соглашения, который обычно никто не читает, есть пункт, позволяющий Avast делать это.

А под linux шифровальщики пишуит уже?

есть под линуксы тоже
https://losst.ru/opasnye-virusy-dlya-linux

(101) в любом антивирусе есть отправка образцов и результатов их деятельности.
так что,если информация обезличена,то это вполне законно.

единственный кто меня не подводил - АнтивирТаскМенеджер. Но это не совсем антивирус... и не совсем для юзеров... и местами его работа забавна... как-то на раб раз 5 он не давал удаленно заинсталить касперского...

+(100) бэкап на другой комп и желательно что-бы носитель по записи становился сразу ридонли.
И вообще золотой стандарт бэкапа: 3-2-1!!!

(105) Гугл мне выдал AnVir Task Manager Free, это оно самое?

(0) Современные шифровальщики нацелены на открытые порты и распространяет их уже не человек как раньше по почте, а бот который сканит круглосуточно

(0) лучшая защита от шифровальщика - регуляный бэкап на другой носитель.

(0) arch linux

Bitdefender GravityZone Business Security
ESET Endpoint security

Недавно клиент хапнул шифровальщик, хотя на компе стоял касперский со всеми  обновлениями по текущий день (на день шифровальщика). Им еще повезло, что не вышли из 1С и вирусяка не смог "захваченный" файл отработать, покоцал только архивы и незначительные документы. Отправили зараженный файл касперским, они ответили, что это свежий вирус и в база еще отсутствует. Мол, внесем оперативно, спасибо за уведомление.

(112) Самое главное не сказал: бэкапы были или как всегда?