40-Begemot > Очень сомнительно. Не то, что "зашифровали", а то, "имел доступ только пользователь, созданный специально для архивов и под которым никто не работал". Извини, не верю.
И мало создать папку "специально для архивов", надо еще озаботится, чтоб на сервере [b]никто[/b] не работал с админским аккаунтом.
И да, базы должны быть на компе изолированном от инета.

[quote=VZ;43592370] 40-Begemot > Очень сомнительно. [/quote] зашифровали тчк все работающие пользователи - не админы. Сервер был подключён и интернету.

38-vostdnn > тю. стала бы я заморачиваться с извращениями.
тупо переименовать после окончания архивации.
запусти cmd
набери ren /?

37-Begemot > Значит, шифровальщики поумнели. Ну что ж, спасибки, будем прятать в Windows, там рядышком с temp и положим (поклАдем).

43-Блондинка в шок > Сама не извращайся: зиповать можно с паролем. Хоть "123".
42-Begemot > Мнение не изменилось. Поймать мог и админ.
И вообще, на сервере с БД должен быть фаервол с белым списком урлов.

43-Блондинка в шок >все ж не понял. переимонование расширений файлов происходит скриптом или руками?

на этой неделе три организации поймали спору. ситуация очень даже критичная. имеется общий ресурс. открывают ненужное письмо, шифруется комп клиента+ расшаренная общая папка. папки скрываются, формируются "ярлыки с запуском шифровальщика", если другой клиент обращается к общему ресурсу, процесс шифрования уже начинается на втором клиенте.
Файлы после шифрования свой вид не меняют - поэтому понять что идет процесс шифрования невозможно визуально.
единственное, что получается почту надо убирать от клиентских компов - только вопрос куда, так чтобы не париться с флешками и избежать очереди к компу с электронкой?

46-vostdnn > Не открывайте в почтовом клиенте!
[b]Не открывайте в почтовом клиенте![/b]
[u][b]Не открывайте в почтовом клиенте![/b][/u]

Установите запрет на открытие .zip, js, exe, vbs, cmd, scr, com, pif

Общая стратегия: вложение открывается в пользовательском профиле. И если этот профиль не админский, то все возможные разрушения будут локальными.

И снова - м-да.

Как будто для доступа к расшаренным папкам нужен "админский профиль"

48-Ткачик > Вообще-то есть UAC и много других полезных вещей.
Если кто-то рассчитывает на один волшебный рецепт - вот это "м-да".

Интересно, только у меня впечатление, что VZ [b]никогда[/b] не сталкивался с шифровальщиками? Или прикидывается?

Вот как можно UAC или профилями предотвратить шифрование, например, файла Excel, [b]специально[/b] выложенного в расшаренную папку, чтобы к нему [b]имели доступ[/b] другие пользователи?

50-Ткачик > Я еще со столбами не сталкивался. Что, словить шифровальщик - признак профессионализма, а избег - "чайник"?

Вообще-то, Windows специально сделан, чтоб сделать расшаренную папку, положить туда файл Excel для совместного доступа, и т.д.
Так что предотвратить - никак. Как никак не предотвратить наезд на столб. Обучать надо.
А необучаемых проводить до ворот. Чтоб "не бегали, не прыгали, не пели и плясали, там где идет строительство, или подвешен груз".
А UAC - [b]один из[/b] полезных инструментов. Как пример. Не для Excel'я.
Но троллю весь все равно, правда? Ему бы погадить....

[quote=VZ;43741961]Не для Excel'я.[/quote] А для чего? Для каких пользовательских данных, [b]предназначенных[/b] для общего доступа? Например, по теме форума: для базы 1С (хоть 7.7, хоть 8 в файловом варианте) в многопользовательском режиме, [b]требующем[/b] возможности ее модификацию пользователями с ограниченными правами - поможет UAC?

P.S. Знаю, что опять услышу лишь велеречивое "бла-бла-бла", сопровождаемое надуванием щек и закатыванием глаз. Увы, VZ уже не торт... тролли его одолевают, видишь ли.

52-Ткачик >в принципе решение для фирмы на 3-10 компов есть..
пусть конечно не совсем легальное, но все же допустим под комп с электронкой поднять терминал (наподобии Viterminal)
надо пользователю почту посмотреть - подключился терминально к почте - посмотрел и .тд. Правда возникает проблема с передачей файлов на оправку и получение (без флешки не обойтись)

52-Ткачик > Не надо цеплятся к словам. "шифровальщик" - не есть что-то особенное. Даже начинка этого "зловреда" вовсе не является чем-то оригинальным: я точно помню, что до "шифровальщика" был аналог, шифрующий "Документы" в профиле юзера. И "Касперский", и "DrWeb" давали списки ключей для расшифровки. Нынешний просто расширил сферу нападения, и применил свой шифратор. Изменение количественное, но никак не качественное.
Борьба в "вредоносными программами" не может быть нацелена на что-то отдельное, даже если это самое "отдельное" вызывает пронзительный визг.
А в этой борьбе важны карантинные меры, а именно, чтоб словленый олухом вредоносный код ограничился доступным пространством юзера.
И неважно, какие деструктивные действия выполняются. И неважно как. Любые. А UAC предотвращает запуск на исполнение любого кода из "неположенного" места. Если наш лопухастый юзер не обладает админскими правами.
Так что настраивать защиту данных надо комплексно. В т.ч. и UAC задействовать. Даже если он не обнаружит макрос. Все равно надо.
Кстати, первый свой "жучек" я выловил на PDP-11/45, RSX.

53-vostdnn > Используй адресацию URL.

Вот мне интересно: на йуха открывать файл с расширением "js", даже если перед "js", очень понятное название?

(56) Юзеры расширения не читают. А которые женского пола (т.е. большинство) - и название не до конца, если длинное.

56-Секвестр > При установке Винды надо активизировать опцию Проводника "Показывать расширения файлов". Тогда "js" хоть видно будет.
Ещё один маленький вклад...
"Защитник Windows" в последнее время стал заметно агрессивнее...

55-VZ >можно подробнее?

58-VZ >у нас еще Хрюша трудится) там защитника нема

59-vostdnn > После очередного штатного обновления (Win10) прям за-[em]колебал[/em] сообщениями "Windows под угрозой!" ;) Сейчас успокоился :)
60-vostdnn > Так и Хрюни официально нема. Если на хламье ездите, чего жалуйтесь? Win10 защищена гораздо серьезнее.
И доверяйте MS: оне умнее, оне Windows сумели сделать, и стать суперкорпорацией.

(59) Получили "подробнее"? Распишитесь!

[quote=Правила форума]5.1. Флуд - размещение однотипной информации, одной повторяющейся фразы, одинаковых графических файлов, а также сообщения, занимающие (как правило) большие объёмы и [b]несущие очень малое количество какой-либо полезной информации или её отсутствие вовсе[/b].
[em]За нарушение — 5 штрафных баллов, срок блокировки аккаунта (бан) 5 суток.[/em]

5.2. Флейм - [b]«спор ради спора»[/b], обмен сообщениями, представляющими собой словесную войну, часто [b]не имеющую отношения к первоначальной причине спора[/b], сообщения, намеренно унижающие собеседника, издевательские или оскорбительные по отношению к собеседнику.
[em]За нарушение — 5 штрафных баллов, срок блокировки аккаунта (бан) 5 суток.[/em]
[/quote]
Ждем очередной порции!

Я с ними торговался, давал им 10-20 т в пересчете на биткоины
Сначала согласились , потом попросили айпи что бы глянуть что там и после меньше 150 т р не соглашались. Я стал по знакомым искать, нашел спеца который как раз в теме расшифровок, он глянул и тоже порядка 100 т за расшифровку, но гарантии никакой. Так же он сказал что базу обратно редко получается дешифровать.

Есть еще одно хорошее противоядие от шифровальщика, это теневые копии расшаренных ресурсов, которые юзеры могут/должны создавать/править.

64-US1C >Новые версии шифровальщика убивают теневые копии.

Платите деньги, клучик думается 600 байтный или около того.

65-victuan > ага, конечно, если ты сам себе буратино.

Базы размещайте в сети и без монтирования на букову.

[quote=US1C;43787500]Есть еще одно хорошее противоядие от шифровальщика[/quote]
[quote=smaharbA;43792548]Базы размещайте в сети и без монтирования на букову[/quote]
[quote=VZ;43744827]Используй адресацию URL.[/quote]
Вы все такие умные, что ж вы строем не ходите?
Тому, кто пишет такие вирусы, ваши детсадовские "противоядия" - так, чисто, поржать.
Вы, для начала, сами напишите такой вирус, который проломится через все
антивирусники/файерволы/защитниковВиндоус как нож сквозь масло, тогда
будете поучать других как строить защиту.
А так это детский лепет.
Вредность которого состоит в том, что он может создать ложное ощущение защищенности.
А это еще хуже, потому что когда прилетит, а оно обязательно прилетит
(поскольку защищенность ложная), последствия будут более тяжелые.

68-MagAN > Вы это счас о чём юноша ?
У меня стаж больше чем ты прожил на белом свете.

[quote=smaharbA;43793145] У меня стаж больше чем ты прожил на белом свете. [/quote]
А по тебе не скажешь - до сих пор в деда мороза веришь ...

68-MagAN > Если есть, что сказать по существу проблемы, не томи общественность...

71-VadimB > А может тебе еще дать ключ от квартиры где ключи для дешифратора лежат?

Я думаю, что на самом деле все проще. Скорее всего, все есть в логах винды или
антивирусника или еще в каких недрах реестра и укромных уголка винды. И пока вы как
дети малые корчите из себя касперских и авастов, кто-то спокойненько идет по всем
вашим нычкам, переименованиям, и немонтированным дискам.

Битва [s]хамов[/s] экспертов! Прэлэстно, прэлестнооо...

+(72) Если архив базы делют из конфигуратора, все имена и
пути архивов лежат в открытом виде в журнале регистрации.
Если для кого-то это тайна безумная, что файл 1cv7.mlg можно
открыть в любом блокноте, то остается только стажем своим кривляться и паясничать.