К списку форумов К списку тем
Регистрация    Правила    Главная форума    Поиск   
Имя: Пароль:
Рекомендовать в новости

Может и OFF, но достало - Вирусы шифраторы

0 - 05.05.2015 - 17:27
Господа сисадмины, аутсорсеры, кулибины, и все прочие имеющие отношение к компьютерам!
Объясните пожалуйста вашим тупым главбухшам, менагерам, логистам и прочим пофигистам что ни налоговая, ни судебные приставы, ни партнеры не рассылают по электронной почте налоговые претензии, постановления об аресте имущества и акты сверки с расширением exe!
Потный вал лохов, наступивших на грабли вируса-шифратора выходит за всякие разумные рамки, сегодня уже ТРОЕ плакались в жилетку по этой теме! Неужели так тяжело включить мозги и посмотреть, а что же за дерьмо на палочке тебе прислал дедушка Мороз с бородой из ваты, а не тупо тыкать сразу "ОТКРЫТЬ!!!!!!!!!!!!!"...



Гость
1 - 05.05.2015 - 17:35
У нас тоже шифратор два компа зашифровал. Касперский 2015 не спас и техподдержка потом не помогла хотя по инструкции отправили запрос на дешифратор - полгода ни ответа ни привета. Soochari
Гость
2 - 05.05.2015 - 18:11
А это все потому, что раньше с компутерами только бородатые дядьки с пивом и в линзах обращаться умели, а щас школота и быдлота всякая тудой лезет...
3 - 05.05.2015 - 18:30
Цитата:
Сообщение от зе Рокке Пальбоа Посмотреть сообщение
Касперский 2015 не спас
А ни один из антивирусов и не спасет. В том то и прикол шифраторов, что они не трогают ни одного исполняемого системного файла или процесса, которые мониторят антивирусы. Все изменения вносятся в пользовательские данные - во всякие doc, xls, jpg, 1CD, zip и прочая. Которые абсолютно доступны для изменения любым пользователем, имеющим к ним доступ, и никакими "правами пользователя" такое не ограничить, потому что эквивалентно - запретить пользователю изменять файл на прямую и запретить процессу запущеному этим пользователем изменять файл.
4 - 05.05.2015 - 20:19
А мне вот что кажется: эпидемию шифраторов любой антивирус теоретически может пресечь на корню. Ну, или не пресечь, но сократить в разы, если не в десятки раз.

И именно: ограничить доступ к пользовательским файлам по видам приложений. То есть, позволить открывать DOC и DOCX только процессу winword.exe (или swriter.exe), XLS и XLSX - excel.exe или scalc.exe соответственно, 1CD - 1Cv8.exe и т.д.

Причем, для позволения открыть такой файл соответствующий процесс должен быть запущен обязательно из папки Program Files, а не откуда-нибудь из временной папки Интернета.

Насколько могу судить, ненавистный для многих Касперский уже начал реализовывать подобную защиту в KIS 2015, только включать и настраивать ее пока что должен мало-мальский специалист, а не рядовой офисный планктон: http://support.kaspersky.ru/11151

О подобных мерах у других производителей антивирусов пока что не слышал.
5 - 05.05.2015 - 20:54
4-Ткачик > Ты никогда не слышал о EFS? Передай привет Касперскому, он похоже тоже не слышал.
6 - 05.05.2015 - 21:09
Передал, Касперский слегка удивился: "А что, шифровальщики запускаются под каким-то другим пользователем, отличающимся от текущего, для которого зашифрованные файлы доступны?" Я ответил, что Wlad, похоже, считает именно так. Тогда Касперский успокоился и посоветовал не обращать внимания.
7 - 05.05.2015 - 21:36
6-Ткачик > Ну тогда скажи Кашмарычу пусть он засунет свое "мониторение" себе в... ухо. Процесс может быть запущен как документироваными так и не документироваными функциями API не только текущим пользователем но и системно, со всеми глобальными разрешениями предоставляемыми системному процессу и абсолютно минуя права пользователя в отношении конкретного файлаю
Гость
8 - 06.05.2015 - 11:10
7-Wlad > Поясните чайнику.
Т.е. нельзя сделать полный перехват антивирусом обращений к определенным файлам?
Или для этого нужна новая windows 11, где такая возможность будет на уровне драйверов или как-то еще?
9 - 06.05.2015 - 12:26
(8) Не знаю, что ответит чайнику самовар, но я так понимаю, что если программы типа Unlocker успешно показывают, каким приложением заблокирован тот или иной файл, то и для антивируса в этом нет ничего невозможного.
10 - 06.05.2015 - 16:28
8-android > Сделать перехват можно. К каким угодно файлам, и на любом уровне, хоть на уровне системы. И сдохнуть рядышком окошком "Процесс такой-то пытается получить доступ к файлу такому-то! Разрешить/блокировать?" После пятитысяного ответа на этот дурацкий вопрос (даже при запуске Винды!) вы сами забъете монитор в очко тому умнику, который эту хрень изобрел.
9-Ткачик > Я лично могу тебе намекнуть, что ESF имеет при шифровании папок доступ ко всем файлам папки, а не только к тем на которые даны права измениея юзверю. Можешь сдохнуть рядом с ntuser.dat со своими полными правами администратора в попытке внесения в него изменений каким-нибудь бинарным редактором - но при этом он отлично зашифруется если будет надо, и отлично изменит свое содержимое если ты допустим изменишь свой пароль. Поэтому прекращай идиотничать, если понимаешь о чем ведется речь! А речь ведется о том, что все попытки блокирования доступа к файлам по расширениям от дяди Кошмарского не стоят и выеденого яйца, если тот же шифратор будет обладать правами, отличными от прав пользователя под которым запущен. А это не так сложно - я тебе показал выше пример изменения недоступного для прямых прав пользователя файла. Поэтому Кошмарский в очередной раз создавая оченредной мегагеморрой для юзера рассчитывает на полных дураков-вирусописателей, которые услужливо будут пользоваться правами предоставлеными конкретному лузеру-юзеру. Если б все было так просто, то нахрен вообще не нужны были антивирусы - дай юзару права таракана и пусть себе копошится в навозной кучке своих микропотребностей, ограниченых только этими правами. Но поскольку используются не только стандартные процедуры но и не стандартные, на пример небезызвестное использование глобальной уязвимости svhost все эти детские защитки рассчитаны на полных ламеров, пишущих вирусы по книжонке "Пишем Вирусняк, пособие для для кулхацкеров-чайников". И кроме глобального пользовательского гемора для решивших попользовать сию фичу ничего не принесет. Я посмотрю, как ты будешь переносить фотоархив из пары десятков тысяч фото, каженный раз отвечая на тупой вопрос Кошмарского! :)))))))))))
11 - 06.05.2015 - 17:43
Самовар вскипел, все к столу!
Гость
12 - 06.05.2015 - 19:39
Один раз настроить по инструкции (4) и можно быть спокойным. Других вменяемых технических средств на настоящий момент не существует.
13 - 06.05.2015 - 19:39
11-Ткачик > Ты лично в пролете, ищи свой стол у Хатилеции.
14 - 07.05.2015 - 11:42
М-да. Только я не понял, о чем прошипел наш многоуважаемый самовар?

Ну да ладно, бог с ним, подкинем шишек: http://habrahabr.ru/post/101971/ - метод ограничения запускаемых программ, реализуемый штатными средствами Винды. Кто захочет проверить или использовать - отпишитесь, а то у меня версия Home, в ней групповые политики не работают.

Есть, конечно, и для Home подобный способ, но гораздо более корявый: http://habrahabr.ru/post/102298/
Модератор
15 - 07.05.2015 - 12:30
Ткачик >
Wlad >
Робяты, не ссорьтесь!))) Пусть банхаммер и дальше пылью покрывается))))) Прошу впредь дискутировать без чрезмерных эмоций...
Гость
16 - 07.05.2015 - 12:38
*гойосом Йенина* Товаищи! Удайим по безгйамотным бюзгалтерам и логистам тотальной люниксификацией! Уя!
17 - 07.05.2015 - 14:53
14-Ткачик > Нда, с мозгом который не знает как засунуть управление групповыми политиками в седьмого хомяка не удивительно не понимать что говорят некоторые люди. Попробуй понять хотя бы вот эту ссыль http://2notebook.net/content/faq/kak...ik-v-windows-7 , может поймешь какой ты дремучий если не знаешь о возможности присунуть управление групповыми политиками туда куда их мелкомягкие не положили исходно.
З.Ы. И прежде чем в следующий раз поумничать за то в чем разбираешься как свыня в апельсинах припомни то, что я в домашнем ХР управление групповыми политиками добавил сразу как мне ноут с хрюшей-хомой достался, а ноут был Самсунь-Р29. Так что сам можешь сообразить когда это было, может наведет на мысль о том что ты и сегодня не знаешь того что я знал десяток лет тому обратно.
15-юююю > Это по большому счету не ссора, а просто Ткачик прочитал фигню от Кошмарыча, и проникся его "гением". Думает что таким макаром можно водяного-шифратора за бороду всегда и везде поймать. Я ж ему пытаюсь втолковать что далеко не всегда такое возможно, поскольку на хитрую попу есть различные нестандартные метизы.
И куда проще исходно объяснить подопечным юзерам что низзя трогать пальцАми невесть откеда пришедшие исполняемые файлы чем надеяться на то, что Кошмарский в очередной раз не облажается, пропустив шайбу в неприкрытый угол.
18 - 07.05.2015 - 15:58
прэлэстно, прэлэстно.
продолжайте, пжалста, господа.
:))))))
19 - 07.05.2015 - 17:55
(18) Фигушки, лично я готов продолжать только за деньги! Занимайте места согласно купленным билетам, кто не платил - кина не будет!

Максимум, чем могу помочь, так это попытаться канализировать Wlad'а вот сюда: Накопители

Там как раз HDD и SSD обсуждаются... без него. :-)
20 - 07.05.2015 - 18:12
19-Ткачик > Ты хочешь шоб я бабам-1Сницам чегось рассказывал за устройство накопителя и принципиальное отсутствие разницы между оными от напечататого на этикетке? Не, ты эта - сам там как нибудь, можешь повторить мои мысли, тока не забывай ставить копирайт! ;)
Гость
21 - 07.05.2015 - 20:33
Друзья, столкнулся с очень хитрым вирусом - возьмите на заметку.

По почте стала приходить какая-то рассылка из интернет-магазина о всяких акциях. А внизу, на картинке была стандартная форма "перейдите по ссылке, чтобы отписаться от рассылки". При переходе по ссылке - вы заходите на зараженную страничку. Будьте бдительны.
22 - 07.05.2015 - 21:01
Тоже подцепил этого гада.
Не знаю откуда, не через почту (Мышь предупреждает о двойном расширении).
Вирь с упорством тер раздел D, на котором была резервная система, а раздел E, где много чего ценного, не тронул. Недоработочка-с.
В корне D появились страшилки, типа самому восстановить невозможно. Я отписался по этому адресу, получил ответ с ценником и вместе с заголовками RS-232 переслал все в Управление К.
Так что вы думаете - из Управления К они спустили это дело локальным ментам, они приехали ко мне домой, когда я начал рассказывать про то, что Управлению К найти шалуна - как два пальца об асфальт по имеющимся айпишникам, они округлили глаза. Взяли показания и удалились.

Обнаружил активность по росту температуры на HDD, когда прибил процесс, раздел уже был потерт. Успешно почистил его бесплатной утилиткой от дрВеба, удовлетворенно купил коробку с пауком, теперь все спокойно.
Гость
23 - 08.05.2015 - 09:47
Тут в одной турфирме заказали путешествие ХЗ куда, турфирма запросила документы, в итоге поймали шифровальщика, при чем они сначала открыли в семерке и не поняв что это липа, открыли и с бука на восьмере, в итоге на семерке все зашифровано, на восьмере все нормально, ну нет на ней зашифрованных файлов, вывод получается странный. К чему бы это.
24 - 11.05.2015 - 05:29
0-Wlad, 3-Wlad > о, спасибо. Наконец-то нашлось боль-мень впеняемое объяснение случившемуся на моей офисной машине два года назад :) Видать, кто-то включал без меня и полазил в своей почте.
ЗЫ, полтора года, как там не работаю, а заноза всё равно сидит в памяти - потому что было непонятно, поскольку про двойное расширение знаю уже лет 10, если не 15.
Гость
25 - 23.05.2015 - 17:04
2 раза ловили шифровальщика год назад,
Дополнительный инструктаж, Рассылка с темой ВНИМАНИЕ!!!! AHTUNG!!!
Ну и ежедневные бэкапы(на неделю) самой важной информации, помогли избежать полного ПРОВАЛА при первом столкновении.
А так конечно, молодцы, придумали сука вирус.. честно не вижу пока пути его блокировки.
Гость
26 - 23.05.2015 - 17:06
кстати comodo спустя месяца два начал их сам пресекать
27 - 23.05.2015 - 17:13
25-xpYm_ > путь блокировки очень простой,
брать линейку и по рукам. и посильней )
Гость
28 - 23.05.2015 - 17:29
27 - в моем случае было все проще, первым поймал компьютер отдела кадров :) а дальше сарафанное радио :)
Гость
29 - 23.05.2015 - 23:00
20-Wlad >Какие шансы на восстановление информации, бывают ли ситуации, когда восстановление невозможно даже у профессионала?
Гость
30 - 24.05.2015 - 04:17
29 - 50 на 50
)
31 - 24.05.2015 - 12:51
29-GraveDiger > Бывают конечно, всесилен только Бог. А люди, которые человеки, ни время отмотать назад не могут, ни вернуть на место зеркало там где запил.
30-xpYm_ > По принципу "Либо сделают, либо не сделают"
Цитата:
Сообщение от xpYm_ Посмотреть сообщение
50 на 50
? :)))
Гость
32 - 24.05.2015 - 13:16
31 - да, это юмор)
Гость
33 - 29.05.2015 - 18:35
Тему можно озаглавить "Баба яга негодуе!"
Шифруют - негодуе.
Используют программы, которые предотвращают шифрование - всё равно негодуе.
Одно непонятно. Неужели, изображающий себя умным, не понимает что это реально оффтоп? Или это для отвода молний негодований обычных участников от всепозволяющих ему админов, которые могут сказать "Ну а что с непонимающего то взять (кроме кучи дерьма сидящего в нём".
34 - 30.05.2015 - 13:30
33-max1997 > Давненько ты не высовывался, иль под лругими никами прятался?
Реально оффтоп это твое сообщение - ты чего вообще сказать то хотел? Моя позиция выражена довольно четко - предотвращение запуска шифратора путем разъяснительной работы с "личным составом", все попытки защиты а-ля Кошмарыш дверка которую можно открыть чуть изменив алгоритм работы вируса.
Кто-то не согласен, думает что методы применяемые Кошмарычем стопроцентная панацея.
Нормальный диспут, пока не пришел обиженый жистью и лишением трона пипл, и не начал очередной сеанс "позитива".
Гость
35 - 05.06.2015 - 20:44
34-Wlad >
Диспутов здесь нет и не будет.
И зачем сюда часто появляться, ведь здесь заповедник стабильности,в котором курица боится что её сгонят с насеста, на который она так долго карабкалась обсирая всех вокруг. - всё стабильно.
И теперь срётся уже по привычке.
Гость
36 - 16.04.2016 - 06:54
Вчера, комп поймал вирус. Не открываются файлы(Ворд, ехеL), в том числе и 1С базовая (база данных не обнаружена пишет).Мой т. 8-918-923-00-15

Ищу программиста.

Это сообщение пишет комп:

ВНИМАНИЕ! Ваши файлы зашифрованы криптостойким алгоритмом RSA-2048! Отправьте на flsunlocker@yahoo.com один из зашифрованных файлов. Попытки самостоятельной расшифровки могут привести к безвозвратной порче данных! В письме укажите также ваш ID - 31342E30342E32303136|11|JB1

Вирус пришел по электронке
banned
37 - 16.04.2016 - 11:57
Цитата:
Сообщение от Бротан Посмотреть сообщение
Касперский 2015 не спас и техподдержка потом не помогла
Значит это не их шифратор был...
Бгггг (с)
Гость
38 - 18.04.2016 - 00:22
А вот я с вами и поспорю насчет антивирей. Про докторы вэбы и касперских молчу, давно с ними дела не имел. Стоят корпоративные семантеки, недавно обратился знакомый, вирь с почты moshiax@aol.com
Закачал себе, и начал тест:
- загрузка арива: семантек блокирует содержимое (экранная заставка) как подозрительный файл, разрешаем.
- распаковка архива и запуск заставки: семантек определяет, что исполняемы код программы является вирусным и удаляет/переносит в карантин.
Профит.
А вообще, надо ставить файрвол на границе Wan-Lan, и там уже шерстить трафик. Все не отсеем, спать спокойнее. Запретить выполнение скриптов, и файлов по маскам. Убрать использование сетевых дисков, оставить сетевые папки, рабочие документы хранить на файловой помойке, а не на локальных машинах. ННу и всеми любимое - критически важные данные бэкапить, если не в облака, то хотяб паковать в архивы.
Гость
39 - 18.04.2016 - 00:25
Кстати говоря, кому интересно, откуда ноги растут, есть интересна инфа по IP-шникам. Велком в личку, нужна помощь энтузиастов xD


К списку вопросов
Опции темы Поиск в этой теме
Поиск в этой теме:

Расширенный поиск




Copyright ©, Все права защищены