Автор Тема: Вирусы - шифровальщики на пороге! Защита от вирусов  (Прочитано 12523 раз)

0 Пользователей и 2 Гостей просматривают эту тему.

Оффлайн Miroslav

  • Опытный пользователь
  • ***
  • Сообщений: 213
  • Karma: +9/-0
  • Пол: Мужской
    • Share Post
Как мы заметили из сообщений на форуме, вирусы – шифровальщики встречаются все чаще. И любому администратору, несущему ответственность за работоспособность своей структуры, за сохранность данных своих пользователей (в частности) и фирмы (в целом) нужно «еще вчера» принимать необходимые меры.
К сожалению, многие из нас недооценивают серьезность нависшей угрозы, надеясь на разумность пользователей, полезность антивирусов, надежность ежедневных бэкапов и собственную  ауру. Данная тема предназначена для того, чтобы мы могли сообща и с разных точек зрения оценить масштабы проблемы, методы защиты и 100% способы восстановления данных в случае форс-мажора.
Предлагаю не рассматривать «идеального сферического коня в вакууме», а подойти к теме более реалистично.  Например, терминальный Windows – сервер в окружении Windows и Linux станций. На сервере крутятся всякие программы отчетности, сервер 1С в8, куча офисных документов, веббраузеры. Некоторые пользователи (коммерческий директор и главбух, например)  имеют админские права. Часть документов находится на самих рабочих станциях.
Да, установлены антивирусы, на сервере ежедневно делаются бэкапы всего чего можно. Казалось бы, что еще нужно? А вы как думаете?

 

adoa

  • Гость
Всем привет. Недавно столкнулся с этой бедой в марте, пришло письмо по почте менеджеру, он открыл скачал архив и открыл его. Увидел бред и закрыл.

1)Учетка пользователя
2)Стоял Каспер обновленный купленный
3)Было ограничение на папку с договорами, подключен как сетевой диск
4)На сервере Raid10

Итог:
1)спасение от ограничения прав юзера как ожидалось не было
2)Каспер пропустил, написали в саппорт сказали решают проблему и извинились))
3)Полностью папка шифранулась((
4) Еще и бэкап с нее снялся

Как советуете решит проблему) это хорошо что к папке ограничения были, а так был бы пипец мне((


PS говорилось выше что ограничение  по расширению ставить, так архив и приходит в .rar мне кажется не панацея)

Оффлайн sysadmin

  • Administrator
  • сисадми́н
  • *****
  • Сообщений: 8788
  • Karma: +121/-0
  • Пол: Мужской
    • Share Post
    • сайт для сис. админов и не только...
Вопрос - Word какой версии был установлен?
дорогу осилит идущий...
......................
MCP, MCTS, RHCSA
......................
also aka xck...

adoa

  • Гость
Windows 2013

Оффлайн sysadmin

  • Administrator
  • сисадми́н
  • *****
  • Сообщений: 8788
  • Karma: +121/-0
  • Пол: Мужской
    • Share Post
    • сайт для сис. админов и не только...
Очепятка не Windows а MS WORD скорее?

Оффлайн Miroslav

  • Опытный пользователь
  • ***
  • Сообщений: 213
  • Karma: +9/-0
  • Пол: Мужской
    • Share Post
Да, насколько я знаю, не спасают ни ограниченные права, ни антивирусы, ни SPR
Даже бекапы зачастую шифруются
Соыветуют делать бекапы на носитель, который после копирования выключен, что годится только для админов "сидящих на одном месте"...

Оффлайн NiX

  • Moderator
  • сисадми́н
  • ***
  • Сообщений: 677
  • Karma: +42/-0
  • Пол: Мужской
    • Share Post
Цитировать
Да, насколько я знаю, не спасают ни ограниченные права, ни антивирусы, ни SPR
Прям какие-то фантастические вирусы тебе попадаются :sarcastic:

Оффлайн sysadmin

  • Administrator
  • сисадми́н
  • *****
  • Сообщений: 8788
  • Karma: +121/-0
  • Пол: Мужской
    • Share Post
    • сайт для сис. админов и не только...
Суть, такая - для шифровки документов достаточно прав обычного пользователя, был проведен эксперимент - создан VBS скрипт в документе Excel, при запуске 60% документов выдает запрос о макросах )) так что подозрения это не вызывает особо, пользователем был открыт документ и разрешено выполнение скрипта и пошло - поехало, документы к которым имеет доступ пользователь были "зашифрованы" включая локальную папку и данные на сетевом диске, по факту паковать / распаковывать объекты не запретишь, так как во первых это часто применяемая необходимость, а во вторых новые форматы MS документов это и есть архивы, при работе с этими документами происходит их распаковка и запаковка самими офисными продуктами, так что вопрос достаточно актуален...

AlexD

  • Гость
Только вчера просматривал эту тему и пожалуйста... сегодня нескольким пользователям пришли такие письма (как в сообщении ниже) с вложением.

Morning,

--------------------------------------------
COOPERATIVA UNIFICATA TRASPORTI DELL'IMOLESESOC.COOP.R.L.
86, Via Donati 40026 Imola BO
Imola
ITALY
+39 0292 691 614

А как вы еще боретесь с этой заразой кроме как пользовательскими правами, настройками FSRM роли на сервере, антивирусом который ничего не сможет сделать (Каспер)? тонкие настройки на почтовом сервере спасают ? (если настроить проверку PTR записи почтовика отправителя, задержку в полчаса при первом обращении и прочее)
« Последнее редактирование: Апрель 16, 2015, 10:00:49 am от AlexD »

Оффлайн HohoL

  • Сообщество ИТ-Специалистов
  • Специалист ИТ
  • ****
  • Сообщений: 287
  • Karma: +6/-0
  • Пол: Мужской
  • whoami
    • Share Post
ДД! Коллеги.
К пользователю пришло письмо.

From: Luisa Abram [mailto:[email protected]]
Sent: Thursday, April 16, 2015 12:47 AM
To: "имя пользователя я скрыл"
Subject: regicom

Good afternoon,

-----------------------------------
REGICOM
7 Avenue Pasteur 74100 Annemasse
Annemasse
FRANCE
+33 450 42 84 53


сам файлик который к нему пришёл. я его запоковал в 7zip, а так он приходит в .cab расширении, распаковываешь, там лежит .exeшник.

Оффлайн sysadmin

  • Administrator
  • сисадми́н
  • *****
  • Сообщений: 8788
  • Karma: +121/-0
  • Пол: Мужской
    • Share Post
    • сайт для сис. админов и не только...
Исполняемый scr файл.... тьфу тьфу... у нас запрещен запуск такого типа файлов ))

adoa

  • Гость
From: Noma Huesly
Sent: Thusday, April 16, 2015 1:24 Am
TO: наш адрес
Subject: robert bosch str. 2 04447 plattlirg

Good aftermoon,

=================================
Robert Bosch  str. 2 94447 Plattlirg
Germany

Вложение   robert-bosch-str.cab

Вот что веб говорит


Здравствуйте. Да, письмо - источник заражения. Это троян-загрузчик. Уже известен. На данный момент ситуация обстоит следующим образом: Считаем что поработал Trojan.Encoder.686 или его модификация. Наша вирусная лаборатория сейчас занимается изучением его действий и перспективой расшифровки файлов. Перспективы пока, правда, видятся безрадостные. В любом случае если мы что-нибудь придумаем или от вас понадобится доп. информация, мы сообщим в этом запросе. Пока перевожу его в статус "Ожидание ответа вирусной лаборатории". С уважением, имя служба технической поддержки компании "Доктор Веб"



Запуск файла запрет через GPO? если да можно ссылку как сделать на расширение))

Cпасибо

Оффлайн HohoL

  • Сообщество ИТ-Специалистов
  • Специалист ИТ
  • ****
  • Сообщений: 287
  • Karma: +6/-0
  • Пол: Мужской
  • whoami
    • Share Post
Вот что ответил мне Dr. Web

Ваш запрос был обработан Автоматической Системой. Данная угроза известна нашим специалистам. Соответствующая запись в вирусной базе Dr.Web уже существует.

-----------------

Если на Вашем компьютере сканер Dr.Web не обнаруживает эту угрозу, пожалуйста, убедитесь, что:
1) вирусная база Dr.Web на Вашем компьютере обновлена;
2) дополнение вирусной базы Dr.Web с добавленной записью уже выпущено.
Обычно дополнение выходит в течение часа после добавления записи. Вы можете отследить выход дополнений на сайтах http://updates.drweb.com и http://live.drweb.com

Если после этого сканер Dr.Web по-прежнему не обнаруживает угрозу либо обнаруживает и устраняет угрозу, но через некоторое время она появляется вновь, пожалуйста, обратитесь в службу технической поддержки ООО "Доктор Веб".

Если Вы не удовлетворены результатом обработки Вашего запроса Автоматической Системой и уверены, что отправили запрос указав верную категорию, пожалуйста, сообщите подробности в ответе на данное письмо.

-----------------

Угроза: Trojan.Upatre.208


Спасибо за сотрудничество.


Этот же файл проверили на одном сайте virustotal.com
« Последнее редактирование: Апрель 16, 2015, 03:21:46 pm от Неизвестный »

Оффлайн sysadmin

  • Administrator
  • сисадми́н
  • *****
  • Сообщений: 8788
  • Karma: +121/-0
  • Пол: Мужской
    • Share Post
    • сайт для сис. админов и не только...
У тебя же Symantec? Можно запретить через Application Control, равно как и в GPO через Restricted Software либо App Locker... Когда то описывал это здесь, там же есть ссылка текнет

Оффлайн HohoL

  • Сообщество ИТ-Специалистов
  • Специалист ИТ
  • ****
  • Сообщений: 287
  • Karma: +6/-0
  • Пол: Мужской
  • whoami
    • Share Post
Вот что выдаёт сайт Kaspersky



У меня стоит KIS 2013

Либо удалить данный архив либо пропустить(рекомендуется)
« Последнее редактирование: Апрель 16, 2015, 08:49:53 pm от sysadmin »

adoa

  • Гость
получается каспер уже видит вирус этот)  Странно у нас стоял 2014 когда и ноль реакции.


moved
Перенесено: Вирусы - шифровальщики на пороге!

Автор sysadmin

0 Ответов
18 Просмотров
Последний ответ Февраль 25, 2015, 10:12:23 pm
от sysadmin
exclamation
Онлайн проверка на вирусы

Автор sysadmin

0 Ответов
7952 Просмотров
Последний ответ Август 19, 2009, 02:59:04 pm
от sysadmin
exclamation
После чистки от вирусов не грузится Explorer

Автор bessmertnyi_poni

10 Ответов
2309 Просмотров
Последний ответ Август 27, 2014, 05:35:59 pm
от Fire
question
Что нужно сделать что бы ваш windows проверили на наличие вирусов

Автор Fire

1 Ответов
1537 Просмотров
Последний ответ Сентябрь 20, 2014, 04:11:55 pm
от sysadmin