Самое главное не забэкапить уже попроченное. Вы забыли проверку бэкапов : ) Те же методы, что работали 30 лет назад, работают и сейчас. Классика жанра: 2 (и более) носителя бэкаков, расписание, проверка... Причем тут утилиты, зоны безопасности какие-то и прочая новомодная бесполезная фигня? О_о. Элементарные дедовские методы решат задачу дешево и эффективно. Правда, нужна дисциплина, контроль. Само по себе оно работать не будет. Но есть такая примета: если бэкап делается сам собой, то он же сам собой и пропадает.

ага, перерисовывать дырочки на перфокартах через копирку.

38 - если дорого, есть торрент. или просто вручную бекапить на внешний винт ежедневно.

Спасает только бэкап.

Корпоративный исправно отрезает все потенциально опасные вложения, даже если они упакованы в архив. Если проверить файл не может или архив запаролен - тоже отрезает в карантин (в случае действительно нужного файла - админ из карантина ручками юзеру письмо достанет).

Но в последнее время стали просто ссылки присылать.
Вот тут уже сложнее.

Вдогонку - в (44) читать "корпоративный почтовик"

Ну и вот опять прислали вирус, ничего не меняется. Часть данных архивировалась, часть нет. Опять письмо, в архиве scr файл, каспер кстати тока на следующий день увидел в нем вирус.
А вот можно в принципе обмануть этот вирус или его типа. Взять в папку c:\1 напихать миллион файлов и отслеживать изменение этой папки с помощью какой-то проги. По идее он портить начнет файлы с нее или не факт?
Кстати на компьютеры были архивы переименованные, их вирус не тронул.

еще вроде как вариант через расширенные настройки каспера запретить изменения определенных типов файлов (doc,xls,dbf,fpt) левым программам,
правда запрета запуска scr файлов в нем не нашел

наших манагеров щас долбят .js шнягой.
на вирустотале третий раз первым видит Nano антивирус.

Антивирусы не успевают за выходом версий данного вируса, и даже очень неплохие решения детектят с большим запозданием. Есть мысль резать загрузку определенного типа файлов Iptables'ом по определенным портам, уже реализовал блокировку работы с почтой в браузерах через Iptables и модуль -m string --string (не блокируя сами сайты почтовики), с помощью него же можно зарезать по расширениям и портам (25, 995...), но руки не доходят. Также у Iptables есть неплохой модуль -m ndpi, с помощью него можно еще больше трафика детектить, но для его применения нужна хитрая сборка ядра, тоже так и осталось на уровне тестирования, ибо клиентов много, а в сутках по прежнему 24 часа... Если кто-то уже пробовал такие способы - отпишитесь.

а чо, всякие dnsbl, surbl, dkim, spf, bayes уже не модно нынче?)

блэклисты не помогут, dkim только усложнит анализ по дороге, он также как и spf защита от подделки отправителя, bayes тоже не выловит. Резать все исполняемые вложения. В gpo подменить чем открывать js. Спам чаще всего ходит от открытых релеев, генереных\взломаных учеток и корректно настроеных vds. И ловят как правило перейдя по ссылке из письма.

нашел в касперском как запретить запуск *scr файлов, нам вирусф в последнее время приходили в этом формате, зархивированные. Что еще запретить?
Можно еще через каспер запретить/разрешить изменение - файлов док, хлс, дбф некоторым программам.
Но этот такой гемор!!!
Программ около 10 которые работают с дбф файлами,
нужно выставлять разрешение и на программу которая будет делать обновления, короче тут второй день голову ломаю.
Может кто то уже настраивал KES под это, голова кругом идет, скиньте файл с настройками.
Сам когда сделаю - тоже выложу. И напишу где что блокирует.

[quote=krotov;39094947]krotov 14 - 25.05.2015 - 23:36 Конечно откроют и скачают. И правильно сделают. Я принципиально открою и скачаю, да потом еще вопрос поставлю о несоответствию должности ответственного за потерю данных.[/quote]

1й раз такой бред читаю ))) типа "назло бабушке уши отморожу" что ли ?
ответственный в 1ю очередь ВЫ

Еще был случай с шифровальщиком , в январе 2016,
в марте прислали ответ. Да, все расшифровало,
но по времени, да не быстро. Если фотки домашние, то можно конечно подождать, а документы рабочие...
_______________
Incident Work Info History:INC000005656856 Submit Date: 3/4/2016 10:15:45 AM Submitter: Дмитрий Кондратьев (Bosch Communications Center) Notes:: Александр, здравствуйте, За прошедшее с Вашего обращения время наши специалисты смогли восстановить алгоритмы шифрования и разработать утилиту для расшифровки файлов. Предлагаем воспользоваться утилитой ShadeDecryptor для расшифровки зашифрованных файлов (утилита представлена во вложении) О результатах, пожалуйста сообщите. [url]ftp://newbeta.kaspersky-labs.com/download/INC000/005/677/835/ShadeDecryptor.rar[/url]
_____________________
Но, молодцы, что все таки стараются , расшифровывают.
А я уже часть файлов по удалял, думал уже все, кердык им.

а кто из антивирусов берется расшифровывать? Все?

55-JOYSTICK > никто
надо понимать, что алгоритмов шифрования пруд-пруди, ключ присутствует (или может присутствовать) в теле [b]живого[/b] вируса, который нужно было извлечь, перед тем как тупо его приговорить

Сам попал в свое время с onehalf, drweb сказало, что "мы ничего не можем расшифровать после умертвия вируса, маска была только в памяти"
Поишлось самому колупать, алгоритм был тупой, по xor на dword, самая малость была маску вычислить

[em]как бороться?[/em]
Да просто бороться, персональная ответсвенность) за "тычки" куда попало, деньгами
грамотность персонала уже притча во языцех

55-JOYSTICK > ДрВеб вроде берется, но только в случае наличия действующей лицензии

У меня секретарь 2 раза ловила, первый раз нам повезло, вирь начал с древних доков, успела меня позвать, вырубил питание, вычистил. Второй раз попался RTF документ с вирусованным заголовком, там уязвимость 2007 года юзалась, тут было уже грустнее. Бекапы- оно то хорошо, но там 270 атом и вафля , на сеть бекапить - вообще машина по скорости ложится а шеф жмется нормальную сеть кинуть и/или норм машину поставить.

[quote=wcat;41864398]ДрВеб вроде берется[/quote]

Да, вроде. Но мне не ответили, хотя в статусе вероятность расшифровки и стоял "ноль". То , что они предлагают как эксклюзив и так висит на касперском.
И да, словили js, спас бэкап.

Для жестких дисков WD Acronis True Image бесплатна и называется Acronis True Image WD Edition :

[url]http://support.wdc.com/downloads.aspx?lang=ru&fid=wdsfDesktop_Black[/url]

Rому интересно, откуда ноги растут у шифровальщика, есть интересна инфа по IP-шникам. Велком в личку, нужна помощь энтузиастов xD

(61): "Я тебя вычислю по ай-пи"? %о)))

62-StepanRazin >ага, тип того.