У меня подопечный на работе как-то позвонил, что у него все документы с каким-то другим расширением и не открываются. Я стал расспрашивать, что он делал. Выяснилось, что он получил письмо с убедительным предложением открыть вложение. Его не насторожило, что документ имеет иконку и расширение .js файла. Я его прошу показать это письмо и говорю, что подключусь к его рабочему столу. Пока я подключался этот умник умудрился ещё раз открыть тот же файл. Подключившись, вижу открытый Word с галиматьёй. Говорит мне, вот мол письмо, а вот я открыл файл.
Есть люди, которые не могут делать выводы. Ребёнок обычно если потрогает огонь и обожжётся, то второй раз ручёнку к пламени уже не тянет.
В большинстве случаев это делается без возможности восстановления информации. Просто тупо ксорят файлы и все. Денег заплатите — но не восстановите. Каждый день выходят тысячи сплоитов. Антивирусы не могут моментально реагировать на сигнатуры. Как минимум пару недель есть на заражение, а этого достаточно чтобы охватить сотни тысяч машин. Не хотите потерять данные — делайте как описано выше и ниже. Это значительно снижает риски.
Коллега подцепила.. По почте прислали типа срочный факс из Канады. Нажала — открыла, подождала... После перезагрузки 26Гб рабочих файлов тю-тю )))).. Заплатили, а что делать? Кстати, покупка биткоинов задачка геморройная, тем более сумма не маленькая..
PS. файлы бэкапов то ли зашифровались, то ли потер вирус, одним словом — штатными средствами откатиться не удалось. Так что и бэкап не панацея (ну разве что на удаленном сервере, который подключается вручную по мере надобности и бэкапит в нестандартный формат)
Ну а я что написал? "Подключаемый по мере надобности..." — хоть сетевой, хоть внешний хард. Проблема в том, что 90% из пользователей "забудут" отключить после бекапа, и, как говорится, те же яйца.
Та-же хрень была на работе.
Затроллило шифром все по сети, включая бекапы.
Пришлось платить (один биткоин)
Восстановило криво, один файл из 20~30 портился при восстановлении.
Те, что были слишком большие, ориентировочно больше 100мб — и вовсе восстановлению не подлежали.
ЗЫ: Бухгалтер открыла пришедший на е-мейл файл, выглядевший как стандартное письмо и форма от пенсионного фонда.
Даже написано что-то там было весьма похожее на правду (хоть и общим языком, без указания имен, фамилий и конкретной организации)
Мол бла-бла-бла, пройдите по ссылке для уточнения.. Она и прошла :)
нам письмо прилетело — причем от конторы в которой у нас договор. само письмо естесно левое.. письмо прилетело с сервака (контора занимается рассылками) спамасасин пометил его как валидное (думаю что из за dkim) кламав на почтовике и нод на рабочих станциях его успешно пропустили...
Вопрос можно — чем бекапили? У меня подшефные ловили в феврале такую хрень. Зашифровало фото, доки MS офиса, PDF'ы. Бекапы Акрониса не тронуло. И сетевые диски тоже не стали сканить и шифровать на них инфу. Отделался легким испугом — откатился из Акрониса на день.
Акронисом и бекапили.
Его файлы вообще убило напрочь, их в первую очередь попытались восстановить — "восстанавливает", но файла акронисом уже не распознаются... (ошибка при открытии)
Вообще, дешифратор прислали кривой в усмерть.
Постоянно вис, некоторые файлы приходилось восстанавливать в 2, а то и три приема (причем оригинал, зашифрованный файл — этой хренью каждый раз удалялся... хорошо догадались восстанавливать из копий)
Из относительно хорошего — PSD файлы не тронуло, хоть основная работа не пострадала...
Ну, тут по моемУ случаю два варианта — или шифровальщики еще тогда так не эволюционировали, как сейчас, или спасло то, что акронисом я древнючим пользуюсь, 9-й еще версии, которая выше ХР ни на чем другом не живет.
Если по правильному, то Акронис должен сохранять образ на выделенном разделе, который обычные программы "не видят".
Можно вообще дать доступ к этому разделу только Акронису, что и делает Акронис при установке.
Правильный бекап — каждую ночь на ленту. Утром ответственный меняет ленту на новую первым делом, маркирует датой и несет домой. Есть набор лент недельных (по дням), +12 месячных, +4 квартальных.
Даже если будет взрыв/пожар то данные всегда можно восстановить.
Так в KES 10 отключены все сменные носители))))))
Как придет и так и уйдет)))
P.S. Полная версия паранои:
1) Антивирь Kasper endpoint security 10
2) Белый список и только
3) Закрытые сменные носители
4) раздельные сети для инета и рабочей сети (физика или VLAN)
5) Вход на ПК только через e-token и пасс (2-х факторная авторизация)
6) вкусные "няшки" по теневому копированию на ПАК (промышленно аппаратный комплекс)
7) Бекап на ФТП, с правами только на создание, запись и чтение (удалить и изменить низзя)...
Вот так и живем...
Не, у нас восстановилось почти всё, из 26Гб примерно 15 файлов не восстановились — "неправильный пароль для восстановления". Я так понял, что это те самые файлы, которые предлагают восстановить без оплаты, к которым реально нужен другой пароль. Ну и JPEG штук 30 не восстановилось — я не уверен, что они изначально были в порядке.
Вариантов у админа два: либо юзер сам с усам, либо юзер как младенец в песочнице, и за каждым младенцем надо бегать, следить, убирать, менять памперсы и т.п.
Если младенцев два-три десятка, это уже считай шиш ты нормально поработаешь. А если их 50 и более — загнёшься.
Нет множественного у слова риск. Не нужно уподобляться всяким дуракам в телевизоре и интернете.
Смотрим словарь Ушакова:
"РИСК, риска, мн. нет, муж. (франц. risque)."
не надо "умнячать" там, где это не уместно.
статья сугубо техническая и, соответственно, изобилует профессиональным сленгом.
кстати, смотрим словарь Ушакова: биткоин, троян, фича, бэкдор, гугить... --- нету (((
Да, приходилось столкнуться, знакомому. Благо комп тот его был "рабочим" и откатить на автобэкап ежедневного инкрем.образа было элементарно.
По материалу — всё выше описанное никак не ограничит и не защитит от российских-русскоязычных модификаций, с толковым впариванием через соц.инженеринг офисным хомячкам-манагерам за 50, теткам под 60 и прочим бухгалтерам, и т.п. .... и т.п. ...
И ни одно правило из данного материала не поможет в целых пластах подобного, т.к. пакуются свежатинки в .js и исполняются на машинах локальными средствами через wscript.exe
И ни один антивирь, на момент свежей рассылки (сам отсылал вытащенный файл на вирустотал как-то) — чистенько-гладенько. Быстрее всего вносятся касперычем и доктором, авасты и есеты под 2-е недели тормозят на добавление (оформлял материал для публикации — перепроверял обнаруживаемость (и то буду дописывать, кое-что не успел, кое-что меняется, кое-какие мысли добавятся)).
Вкратце, хотите обезопаситься — применяйте ровно по инструкции: it-lines.ru
Всё остальное — не поможет, один раз все равно сорветесь-впарится, не вы — так кто в сетке, сейчас или через 11 лет, если будет неправильная настройка.
Это новая эра, почему антивири и эвристика пропускают шифрацию, например потому что используются легитимные проги, GnuPG тулза например, ранее доверенная и широко известная.
p.s.
пример впаривания, представьте, что подобное получает манагер в возрасте, бух в запарке или помощница лет 20-ти от роду с пту за плечами и мини на собеседовании:
"Добрый день!
К нам заявились налоговики с проверкой((
Мы уже второй день пытаемся найти некоторые первичные документы, касающиеся нашего сотрудничества.
Но в связи с переездом в новый офис, акты и несколько договоров между нами так и не были найдены.
Я составила список документов (во вложении). Прошу Вас помочь с их поиском...
Скиньте хотя бы скан-копии, а то мы влетим на штрафы.
Заранее большое спасибо!
Прикреплённые файлы:
1. Список документов.zip
— С Уважением
Сотрудники бухгалтерии
ООО "Город Инструмента""
______
Я уж умалчиваю про впаривания с вызовами якобы по долгам перед гос-вом, в суды, банками-кредлитами, коллекторами грозными, ,СБ, повестки якобы и т.п ...
Короче — зоопарк, единственное решение кардинальное — правильная настройка через групп.политики по ссылке в комменте и работа под юзером, плюс бэкап.
Хорошо бы ещё прочитать про заражение с сайтов.
А то после посещения некоторых сайтов, бывают глюки с клавиатурой, мышкой. Обычно, помогает закрытие браузера. Но бывает, что приходится и перезагружать компьютер!
На сайте nnm, помню один случай, когда перестала работать одна из кнопок мышки и помогла только полная перезагрузка компьютера.
(Выход из системы , смена пользователя, не помогло!)
А хрень можно подцепить легко — достаточно иметь знакомую/родственницу с компьютером и она легко снабдит тебя всем чем хочешь... Свою голову на чужие плечи не приставишь...
Твоему буху или юристу еще не пришло письмо от ООО "хз" — вы с нами не расчитались, счет фактура приложена в письме . Счет-фактура.zip. И все, NOD32 в журнале отметил 5 вирусов, но это не повлияло на конечный результат. И 98 долларов в виде 0,48 битка в сети TOR, отдавать никто не захотел
Образование — никто не отменял. У меня на работе бухам запрещено что-либо тыкать. Да они и сами боятся после лекции. И всегда просят помощи по непонятным файлам/вопросам.
Тоже не фонтан, когда приходится нянькой подрабатывать для каждого сотрудника.
Жадный работодатель, не тянет на файловой хранилище-резерв и корп. систему резервирования? Не хочет докупить лицухи-поднять домен и закрутить болты в групповых политиках на всю орг. разом? Валите нафиг, пусть студент с его зашифрованными данными потом впаривается.
Все это есть. Было, точнее. Но это не отменит запуск бабушкой файла.
Можно конечно политики накрутить до сраки... Но все равно никто не даст 100% гарантии.
Если вы обратите внимание на ссылку, представленную выше it-lines.ru
(а там, конечно, тоже кое что нужно добавить, .js, .wbs, ещё кое-что)
То общий смысл там как раз в том, что юзер не сможет запустить файлы из папок, куда у него есть права записи (по другому разрешено запускать только то, что от админа). Это в корне меняет весь расклад, в том числе со всеми портабельными прогами, запусками с флэшек и т.д. ...
В заголовке упомянута "расшифровка" — в тексте ни слова о ней... Как защититься — понятно — меньше надо на линки незнакомые кликать, а что делать если заражение произошло и большая часть файлов превратилась в мусор, систему восстановления файлов СТ Локер отключил, дисковое пространство где находились тушки файлов потёрто имже... (
Нефиг под админом сидеть, под юзером оно не смогло бы по крайней мере точки восстановления потереть и можно было тогда с профиля юзера вытаскивать данные из теневых копий.
Теперь научились.
Как расшифровать? Гуглите-читайте темы форумов на касперского и доктора, свежие модификации — никак.
Совет не сидеть под админом — хорош, только его надо адресовать мелкомягким, чтобы по умолчанию первый юзер не садился админом. Ведь тётушка 57 лет неспособна сконфигурировать систему сама, ну а самоделкины из сервисов — сам понимаешь...
Гуглю и читаю уже с год — машина была убита в июне прошлого года. Всякими правдами и кривдами удалось выцепить около 5 ГБ файлов данных из 36... (
К сожалению ни док ни каспер пока ничего не сказали, знаю что нортон и микрософт пытаются, но пока тоже безуспешно...
Уже написано — "Вирусу не требуются права админа"!!!
Более того, полно вирусов, которые при входят в систему уже с правами админа!
Ну что с вирусом может сделать пользователь с простыми правами? Он даже может его и видит, но удалить-то не может — нет прав!
Сам неоднократно сталкивался с такими случаями (Vista, 7)
Комментарии
Есть люди, которые не могут делать выводы. Ребёнок обычно если потрогает огонь и обожжётся, то второй раз ручёнку к пламени уже не тянет.
ксор — смешная и вполне обратимая процедура.
PS. файлы бэкапов то ли зашифровались, то ли потер вирус, одним словом — штатными средствами откатиться не удалось. Так что и бэкап не панацея (ну разве что на удаленном сервере, который подключается вручную по мере надобности и бэкапит в нестандартный формат)
Затроллило шифром все по сети, включая бекапы.
Пришлось платить (один биткоин)
Восстановило криво, один файл из 20~30 портился при восстановлении.
Те, что были слишком большие, ориентировочно больше 100мб — и вовсе восстановлению не подлежали.
Даже написано что-то там было весьма похожее на правду (хоть и общим языком, без указания имен, фамилий и конкретной организации)
Мол бла-бла-бла, пройдите по ссылке для уточнения.. Она и прошла :)
Его файлы вообще убило напрочь, их в первую очередь попытались восстановить — "восстанавливает", но файла акронисом уже не распознаются... (ошибка при открытии)
Вообще, дешифратор прислали кривой в усмерть.
Постоянно вис, некоторые файлы приходилось восстанавливать в 2, а то и три приема (причем оригинал, зашифрованный файл — этой хренью каждый раз удалялся... хорошо догадались восстанавливать из копий)
Из относительно хорошего — PSD файлы не тронуло, хоть основная работа не пострадала...
Он ведь по расширению ищет, увида там .doc или .tib и зашифровал
Можно вообще дать доступ к этому разделу только Акронису, что и делает Акронис при установке.
У буха был просто расшарен путь на сервер...
Теперь умнее сделали, диск на котором бекапы — закрыт от доступа.
Даже если будет взрыв/пожар то данные всегда можно восстановить.
И хоть укакайся, только то что разрешено)))
Как придет и так и уйдет)))
P.S. Полная версия паранои:
1) Антивирь Kasper endpoint security 10
2) Белый список и только
3) Закрытые сменные носители
4) раздельные сети для инета и рабочей сети (физика или VLAN)
5) Вход на ПК только через e-token и пасс (2-х факторная авторизация)
6) вкусные "няшки" по теневому копированию на ПАК (промышленно аппаратный комплекс)
7) Бекап на ФТП, с правами только на создание, запись и чтение (удалить и изменить низзя)...
Вот так и живем...
Вирусы при желании ничего не изменят, максимум рядом файлов допишут)))
Если младенцев два-три десятка, это уже считай шиш ты нормально поработаешь. А если их 50 и более — загнёшься.
Смотрим словарь Ушакова:
"РИСК, риска, мн. нет, муж. (франц. risque)."
статья сугубо техническая и, соответственно, изобилует профессиональным сленгом.
кстати, смотрим словарь Ушакова: биткоин, троян, фича, бэкдор, гугить... --- нету (((
(а для примера "страховые риски" ...)
ru.wiktionary.org
По материалу — всё выше описанное никак не ограничит и не защитит от российских-русскоязычных модификаций, с толковым впариванием через соц.инженеринг офисным хомячкам-манагерам за 50, теткам под 60 и прочим бухгалтерам, и т.п. .... и т.п. ...
И ни одно правило из данного материала не поможет в целых пластах подобного, т.к. пакуются свежатинки в .js и исполняются на машинах локальными средствами через wscript.exe
И ни один антивирь, на момент свежей рассылки (сам отсылал вытащенный файл на вирустотал как-то) — чистенько-гладенько. Быстрее всего вносятся касперычем и доктором, авасты и есеты под 2-е недели тормозят на добавление (оформлял материал для публикации — перепроверял обнаруживаемость (и то буду дописывать, кое-что не успел, кое-что меняется, кое-какие мысли добавятся)).
Вкратце, хотите обезопаситься — применяйте ровно по инструкции:
it-lines.ru
Всё остальное — не поможет, один раз все равно сорветесь-впарится, не вы — так кто в сетке, сейчас или через 11 лет, если будет неправильная настройка.
Это новая эра, почему антивири и эвристика пропускают шифрацию, например потому что используются легитимные проги, GnuPG тулза например, ранее доверенная и широко известная.
p.s.
пример впаривания, представьте, что подобное получает манагер в возрасте, бух в запарке или помощница лет 20-ти от роду с пту за плечами и мини на собеседовании:
"Добрый день!
К нам заявились налоговики с проверкой((
Мы уже второй день пытаемся найти некоторые первичные документы, касающиеся нашего сотрудничества.
Но в связи с переездом в новый офис, акты и несколько договоров между нами так и не были найдены.
Я составила список документов (во вложении). Прошу Вас помочь с их поиском...
Скиньте хотя бы скан-копии, а то мы влетим на штрафы.
Заранее большое спасибо!
Прикреплённые файлы:
1. Список документов.zip
— С Уважением
Сотрудники бухгалтерии
ООО "Город Инструмента""
______
Я уж умалчиваю про впаривания с вызовами якобы по долгам перед гос-вом, в суды, банками-кредлитами, коллекторами грозными, ,СБ, повестки якобы и т.п ...
Короче — зоопарк, единственное решение кардинальное — правильная настройка через групп.политики по ссылке в комменте и работа под юзером, плюс бэкап.
А то после посещения некоторых сайтов, бывают глюки с клавиатурой, мышкой. Обычно, помогает закрытие браузера. Но бывает, что приходится и перезагружать компьютер!
На сайте nnm, помню один случай, когда перестала работать одна из кнопок мышки и помогла только полная перезагрузка компьютера.
(Выход из системы , смена пользователя, не помогло!)
Жадный работодатель, не тянет на файловой хранилище-резерв и корп. систему резервирования? Не хочет докупить лицухи-поднять домен и закрутить болты в групповых политиках на всю орг. разом? Валите нафиг, пусть студент с его зашифрованными данными потом впаривается.
Можно конечно политики накрутить до сраки... Но все равно никто не даст 100% гарантии.
it-lines.ru
(а там, конечно, тоже кое что нужно добавить, .js, .wbs, ещё кое-что)
То общий смысл там как раз в том, что юзер не сможет запустить файлы из папок, куда у него есть права записи (по другому разрешено запускать только то, что от админа). Это в корне меняет весь расклад, в том числе со всеми портабельными прогами, запусками с флэшек и т.д. ...
Теперь научились.
Как расшифровать? Гуглите-читайте темы форумов на касперского и доктора, свежие модификации — никак.
Гуглю и читаю уже с год — машина была убита в июне прошлого года. Всякими правдами и кривдами удалось выцепить около 5 ГБ файлов данных из 36... (
К сожалению ни док ни каспер пока ничего не сказали, знаю что нортон и микрософт пытаются, но пока тоже безуспешно...
Более того, полно вирусов, которые при входят в систему уже с правами админа!
Ну что с вирусом может сделать пользователь с простыми правами? Он даже может его и видит, но удалить-то не может — нет прав!
Сам неоднократно сталкивался с такими случаями (Vista, 7)