| 0
- 22.05.2015 - 23:31
|
Иногда помогаю мелким фирмам по обслуживанию ПО. 2-3 компьютера, сеть. И если 2 года назад самое страшное было, окно блокировщика и ничего нажать нельзя, внесите 500 руб, то сейчас ситуация изменилась. Вирусы пошли другого плана, шифруют все доки, кслы, дбфы и требуют от 200 баксов за восстановление. Какую защиту предложить для чайника? У некоторых был 2-й резервный диск для копий, но вирус перешифровал и все зип и 7з архивы. А съемные диски клиенты не используют. Т.е. у некоторых была и флэшка для бэкапа , но они ее не вынимали из компьютера. Там тоже все оказалось зашифровано. Тот же каспер, обновление последние, не отловил за последнюю неделю в 2 конторах вируса, а после того как все файлы пофижены и у них разрешение ком, после шифрования, не запустится ли процесс заново? Процесс лечения проходил с загрузочных дисков каспера и веба. Что делать? Регламенты по бэкапам писать для шараг с 1-2 компьютером, если восстановить не возможно?     | | |
| 41
- 30.05.2015 - 10:50
| Самое главное не забэкапить уже попроченное. Вы забыли проверку бэкапов : ) Те же методы, что работали 30 лет назад, работают и сейчас. Классика жанра: 2 (и более) носителя бэкаков, расписание, проверка... Причем тут утилиты, зоны безопасности какие-то и прочая новомодная бесполезная фигня? О_о. Элементарные дедовские методы решат задачу дешево и эффективно. Правда, нужна дисциплина, контроль. Само по себе оно работать не будет. Но есть такая примета: если бэкап делается сам собой, то он же сам собой и пропадает. | | |
| 42
- 30.05.2015 - 11:48
| ага, перерисовывать дырочки на перфокартах через копирку. | | |
| 43
- 01.06.2015 - 15:00
| 38 - если дорого, есть торрент. или просто вручную бекапить на внешний винт ежедневно. | | |
| 44
- 12.06.2015 - 12:13
|
Спасает только бэкап. Корпоративный исправно отрезает все потенциально опасные вложения, даже если они упакованы в архив. Если проверить файл не может или архив запаролен - тоже отрезает в карантин (в случае действительно нужного файла - админ из карантина ручками юзеру письмо достанет). Но в последнее время стали просто ссылки присылать. Вот тут уже сложнее. | | |
| 45
- 12.06.2015 - 12:14
| Вдогонку - в (44) читать "корпоративный почтовик" | | |
| 46
- 11.11.2015 - 09:57
|
Ну и вот опять прислали вирус, ничего не меняется. Часть данных архивировалась, часть нет. Опять письмо, в архиве scr файл, каспер кстати тока на следующий день увидел в нем вирус. А вот можно в принципе обмануть этот вирус или его типа. Взять в папку c:\1 напихать миллион файлов и отслеживать изменение этой папки с помощью какой-то проги. По идее он портить начнет файлы с нее или не факт? Кстати на компьютеры были архивы переименованные, их вирус не тронул. | | |
| 47
- 11.11.2015 - 10:10
|
еще вроде как вариант через расширенные настройки каспера запретить изменения определенных типов файлов (doc,xls,dbf,fpt) левым программам, правда запрета запуска scr файлов в нем не нашел | | |
| 48
- 11.11.2015 - 15:09
|
наших манагеров щас долбят .js шнягой. на вирустотале третий раз первым видит Nano антивирус. | | |
| 49
- 11.11.2015 - 23:39
| Антивирусы не успевают за выходом версий данного вируса, и даже очень неплохие решения детектят с большим запозданием. Есть мысль резать загрузку определенного типа файлов Iptables'ом по определенным портам, уже реализовал блокировку работы с почтой в браузерах через Iptables и модуль -m string --string (не блокируя сами сайты почтовики), с помощью него же можно зарезать по расширениям и портам (25, 995...), но руки не доходят. Также у Iptables есть неплохой модуль -m ndpi, с помощью него можно еще больше трафика детектить, но для его применения нужна хитрая сборка ядра, тоже так и осталось на уровне тестирования, ибо клиентов много, а в сутках по прежнему 24 часа... Если кто-то уже пробовал такие способы - отпишитесь. | | |
| 50
- 12.11.2015 - 01:12
| а чо, всякие dnsbl, surbl, dkim, spf, bayes уже не модно нынче?) | | |
| 51
- 14.11.2015 - 22:26
| блэклисты не помогут, dkim только усложнит анализ по дороге, он также как и spf защита от подделки отправителя, bayes тоже не выловит. Резать все исполняемые вложения. В gpo подменить чем открывать js. Спам чаще всего ходит от открытых релеев, генереных\взломаных учеток и корректно настроеных vds. И ловят как правило перейдя по ссылке из письма. | | |
| 52
- 15.11.2015 - 14:11
|
нашел в касперском как запретить запуск *scr файлов, нам вирусф в последнее время приходили в этом формате, зархивированные. Что еще запретить? Можно еще через каспер запретить/разрешить изменение - файлов док, хлс, дбф некоторым программам. Но этот такой гемор!!! Программ около 10 которые работают с дбф файлами, нужно выставлять разрешение и на программу которая будет делать обновления, короче тут второй день голову ломаю. Может кто то уже настраивал KES под это, голова кругом идет, скиньте файл с настройками. Сам когда сделаю - тоже выложу. И напишу где что блокирует. | | |
| 53
- 15.11.2015 - 15:42
| Цитата:
ответственный в 1ю очередь ВЫ | | |
| 54
- 22.03.2016 - 09:30
|
Еще был случай с шифровальщиком , в январе 2016, в марте прислали ответ. Да, все расшифровало, но по времени, да не быстро. Если фотки домашние, то можно конечно подождать, а документы рабочие... _______________ Incident Work Info History:INC000005656856 Submit Date: 3/4/2016 10:15:45 AM Submitter: Дмитрий Кондратьев (Bosch Communications Center) Notes:: Александр, здравствуйте, За прошедшее с Вашего обращения время наши специалисты смогли восстановить алгоритмы шифрования и разработать утилиту для расшифровки файлов. Предлагаем воспользоваться утилитой ShadeDecryptor для расшифровки зашифрованных файлов (утилита представлена во вложении) О результатах, пожалуйста сообщите. ftp://newbeta.kaspersky-labs.com/dow...eDecryptor.rar _____________________ Но, молодцы, что все таки стараются , расшифровывают. А я уже часть файлов по удалял, думал уже все, кердык им. | | |
| 55
- 24.03.2016 - 16:47
| а кто из антивирусов берется расшифровывать? Все? | | |
| 56
- 24.03.2016 - 20:40
|
55-JOYSTICK > никто надо понимать, что алгоритмов шифрования пруд-пруди, ключ присутствует (или может присутствовать) в теле живого вируса, который нужно было извлечь, перед тем как тупо его приговорить | | |
| 57
- 24.03.2016 - 21:00
|
Сам попал в свое время с onehalf, drweb сказало, что "мы ничего не можем расшифровать после умертвия вируса, маска была только в памяти" Поишлось самому колупать, алгоритм был тупой, по xor на dword, самая малость была маску вычислить | | |
| 58
- 24.03.2016 - 21:40
| как бороться? Да просто бороться, персональная ответсвенность) за "тычки" куда попало, деньгами грамотность персонала уже притча во языцех | | |
| 59
- 13.04.2016 - 10:12
|
55-JOYSTICK > ДрВеб вроде берется, но только в случае наличия действующей лицензии У меня секретарь 2 раза ловила, первый раз нам повезло, вирь начал с древних доков, успела меня позвать, вырубил питание, вычистил. Второй раз попался RTF документ с вирусованным заголовком, там уязвимость 2007 года юзалась, тут было уже грустнее. Бекапы- оно то хорошо, но там 270 атом и вафля , на сеть бекапить - вообще машина по скорости ложится а шеф жмется нормальную сеть кинуть и/или норм машину поставить. | | |
| 60
- 15.04.2016 - 23:58
| Цитата:
И да, словили js, спас бэкап. Для жестких дисков WD Acronis True Image бесплатна и называется Acronis True Image WD Edition : http://support.wdc.com/downloads.asp...fDesktop_Black | | |
| 61
- 18.04.2016 - 00:40
| Rому интересно, откуда ноги растут у шифровальщика, есть интересна инфа по IP-шникам. Велком в личку, нужна помощь энтузиастов xD | | |
| 62
- 18.04.2016 - 08:10
| (61): "Я тебя вычислю по ай-пи"? %о))) | | |
| 63
- 18.04.2016 - 12:50
| 62-StepanRazin >ага, тип того. | |
Интернет-форум Краснодарского края и Краснодара |
