У меня подопечный на работе как-то позвонил, что у него все документы с каким-то другим расширением и не открываются. Я стал расспрашивать, что он делал. Выяснилось, что он получил письмо с убедительным предложением открыть вложение. Его не насторожило, что документ имеет иконку и расширение .js файла. Я его прошу показать это письмо и говорю, что подключусь к его рабочему столу. Пока я подключался этот умник умудрился ещё раз открыть тот же файл. Подключившись, вижу открытый Word с галиматьёй. Говорит мне, вот мол письмо, а вот я открыл файл.
Есть люди, которые не могут делать выводы. Ребёнок обычно если потрогает огонь и обожжётся, то второй раз ручёнку к пламени уже не тянет.
В большинстве случаев это делается без возможности восстановления информации. Просто тупо ксорят файлы и все. Денег заплатите — но не восстановите. Каждый день выходят тысячи сплоитов. Антивирусы не могут моментально реагировать на сигнатуры. Как минимум пару недель есть на заражение, а этого достаточно чтобы охватить сотни тысяч машин. Не хотите потерять данные — делайте как описано выше и ниже. Это значительно снижает риски.
Коллега подцепила.. По почте прислали типа срочный факс из Канады. Нажала — открыла, подождала... После перезагрузки 26Гб рабочих файлов тю-тю )))).. Заплатили, а что делать? Кстати, покупка биткоинов задачка геморройная, тем более сумма не маленькая..
PS. файлы бэкапов то ли зашифровались, то ли потер вирус, одним словом — штатными средствами откатиться не удалось. Так что и бэкап не панацея (ну разве что на удаленном сервере, который подключается вручную по мере надобности и бэкапит в нестандартный формат)
Ну а я что написал? "Подключаемый по мере надобности..." — хоть сетевой, хоть внешний хард. Проблема в том, что 90% из пользователей "забудут" отключить после бекапа, и, как говорится, те же яйца.
нам письмо прилетело — причем от конторы в которой у нас договор. само письмо естесно левое.. письмо прилетело с сервака (контора занимается рассылками) спамасасин пометил его как валидное (думаю что из за dkim) кламав на почтовике и нод на рабочих станциях его успешно пропустили...
Вопрос можно — чем бекапили? У меня подшефные ловили в феврале такую хрень. Зашифровало фото, доки MS офиса, PDF'ы. Бекапы Акрониса не тронуло. И сетевые диски тоже не стали сканить и шифровать на них инфу. Отделался легким испугом — откатился из Акрониса на день.
Его файлы вообще убило напрочь, их в первую очередь попытались восстановить — "восстанавливает", но файла акронисом уже не распознаются... (ошибка при открытии)
Вообще, дешифратор прислали кривой в усмерть.
Постоянно вис, некоторые файлы приходилось восстанавливать в 2, а то и три приема (причем оригинал, зашифрованный файл — этой хренью каждый раз удалялся... хорошо догадались восстанавливать из копий)
Из относительно хорошего — PSD файлы не тронуло, хоть основная работа не пострадала...
Ну, тут по моемУ случаю два варианта — или шифровальщики еще тогда так не эволюционировали, как сейчас, или спасло то, что акронисом я древнючим пользуюсь, 9-й еще версии, которая выше ХР ни на чем другом не живет.
Правильный бекап — каждую ночь на ленту. Утром ответственный меняет ленту на новую первым делом, маркирует датой и несет домой. Есть набор лент недельных (по дням), +12 месячных, +4 квартальных.
Даже если будет взрыв/пожар то данные всегда можно восстановить.
Не, у нас восстановилось почти всё, из 26Гб примерно 15 файлов не восстановились — "неправильный пароль для восстановления". Я так понял, что это те самые файлы, которые предлагают восстановить без оплаты, к которым реально нужен другой пароль. Ну и JPEG штук 30 не восстановилось — я не уверен, что они изначально были в порядке.
Вариантов у админа два: либо юзер сам с усам, либо юзер как младенец в песочнице, и за каждым младенцем надо бегать, следить, убирать, менять памперсы и т.п.
Если младенцев два-три десятка, это уже считай шиш ты нормально поработаешь. А если их 50 и более — загнёшься.
Да, приходилось столкнуться, знакомому. Благо комп тот его был "рабочим" и откатить на автобэкап ежедневного инкрем.образа было элементарно.
По материалу — всё выше описанное никак не ограничит и не защитит от российских-русскоязычных модификаций, с толковым впариванием через соц.инженеринг офисным хомячкам-манагерам за 50, теткам под 60 и прочим бухгалтерам, и т.п. .... и т.п. ...
И ни одно правило из данного материала не поможет в целых пластах подобного, т.к. пакуются свежатинки в .js и исполняются на машинах локальными средствами через wscript.exe
И ни один антивирь, на момент свежей рассылки (сам отсылал вытащенный файл на вирустотал как-то) — чистенько-гладенько. Быстрее всего вносятся касперычем и доктором, авасты и есеты под 2-е недели тормозят на добавление (оформлял материал для публикации — перепроверял обнаруживаемость (и то буду дописывать, кое-что не успел, кое-что меняется, кое-какие мысли добавятся)).
Вкратце, хотите обезопаситься — применяйте ровно по инструкции:
Всё остальное — не поможет, один раз все равно сорветесь-впарится, не вы — так кто в сетке, сейчас или через 11 лет, если будет неправильная настройка.
Это новая эра, почему антивири и эвристика пропускают шифрацию, например потому что используются легитимные проги, GnuPG тулза например, ранее доверенная и широко известная.
p.s.
пример впаривания, представьте, что подобное получает манагер в возрасте, бух в запарке или помощница лет 20-ти от роду с пту за плечами и мини на собеседовании:
"Добрый день!
К нам заявились налоговики с проверкой((
Мы уже второй день пытаемся найти некоторые первичные документы, касающиеся нашего сотрудничества.
Но в связи с переездом в новый офис, акты и несколько договоров между нами так и не были найдены.
Я составила список документов (во вложении). Прошу Вас помочь с их поиском...
Скиньте хотя бы скан-копии, а то мы влетим на штрафы.
Заранее большое спасибо!
Прикреплённые файлы:
1. Список документов.zip
— С Уважением
Сотрудники бухгалтерии
ООО "Город Инструмента""
______
Я уж умалчиваю про впаривания с вызовами якобы по долгам перед гос-вом, в суды, банками-кредлитами, коллекторами грозными, ,СБ, повестки якобы и т.п ...
Короче — зоопарк, единственное решение кардинальное — правильная настройка через групп.политики по ссылке в комменте и работа под юзером, плюс бэкап.
А то после посещения некоторых сайтов, бывают глюки с клавиатурой, мышкой. Обычно, помогает закрытие браузера. Но бывает, что приходится и перезагружать компьютер!
На сайте nnm, помню один случай, когда перестала работать одна из кнопок мышки и помогла только полная перезагрузка компьютера.
(Выход из системы , смена пользователя, не помогло!)
А хрень можно подцепить легко — достаточно иметь знакомую/родственницу с компьютером и она легко снабдит тебя всем чем хочешь... Свою голову на чужие плечи не приставишь...
Твоему буху или юристу еще не пришло письмо от ООО "хз" — вы с нами не расчитались, счет фактура приложена в письме . Счет-фактура.zip. И все, NOD32 в журнале отметил 5 вирусов, но это не повлияло на конечный результат. И 98 долларов в виде 0,48 битка в сети TOR, отдавать никто не захотел
Образование — никто не отменял. У меня на работе бухам запрещено что-либо тыкать. Да они и сами боятся после лекции. И всегда просят помощи по непонятным файлам/вопросам.
Тоже не фонтан, когда приходится нянькой подрабатывать для каждого сотрудника.
Жадный работодатель, не тянет на файловой хранилище-резерв и корп. систему резервирования? Не хочет докупить лицухи-поднять домен и закрутить болты в групповых политиках на всю орг. разом? Валите нафиг, пусть студент с его зашифрованными данными потом впаривается.
(а там, конечно, тоже кое что нужно добавить, .js, .wbs, ещё кое-что)
То общий смысл там как раз в том, что юзер не сможет запустить файлы из папок, куда у него есть права записи (по другому разрешено запускать только то, что от админа). Это в корне меняет весь расклад, в том числе со всеми портабельными прогами, запусками с флэшек и т.д. ...
В заголовке упомянута "расшифровка" — в тексте ни слова о ней... Как защититься — понятно — меньше надо на линки незнакомые кликать, а что делать если заражение произошло и большая часть файлов превратилась в мусор, систему восстановления файлов СТ Локер отключил, дисковое пространство где находились тушки файлов потёрто имже... (
Нефиг под админом сидеть, под юзером оно не смогло бы по крайней мере точки восстановления потереть и можно было тогда с профиля юзера вытаскивать данные из теневых копий.
Теперь научились.
Как расшифровать? Гуглите-читайте темы форумов на касперского и доктора, свежие модификации — никак.
Совет не сидеть под админом — хорош, только его надо адресовать мелкомягким, чтобы по умолчанию первый юзер не садился админом. Ведь тётушка 57 лет неспособна сконфигурировать систему сама, ну а самоделкины из сервисов — сам понимаешь...
Гуглю и читаю уже с год — машина была убита в июне прошлого года. Всякими правдами и кривдами удалось выцепить около 5 ГБ файлов данных из 36... (
К сожалению ни док ни каспер пока ничего не сказали, знаю что нортон и микрософт пытаются, но пока тоже безуспешно...
Комментарии
Есть люди, которые не могут делать выводы. Ребёнок обычно если потрогает огонь и обожжётся, то второй раз ручёнку к пламени уже не тянет.
ксор — смешная и вполне обратимая процедура.
PS. файлы бэкапов то ли зашифровались, то ли потер вирус, одним словом — штатными средствами откатиться не удалось. Так что и бэкап не панацея (ну разве что на удаленном сервере, который подключается вручную по мере надобности и бэкапит в нестандартный формат)
Затроллило шифром все по сети, включая бекапы.
Пришлось платить (один биткоин)
Восстановило криво, один файл из 20~30 портился при восстановлении.
Те, что были слишком большие, ориентировочно больше 100мб — и вовсе восстановлению не подлежали.
Даже написано что-то там было весьма похожее на правду (хоть и общим языком, без указания имен, фамилий и конкретной организации)
Мол бла-бла-бла, пройдите по ссылке для уточнения.. Она и прошла :)
Его файлы вообще убило напрочь, их в первую очередь попытались восстановить — "восстанавливает", но файла акронисом уже не распознаются... (ошибка при открытии)
Вообще, дешифратор прислали кривой в усмерть.
Постоянно вис, некоторые файлы приходилось восстанавливать в 2, а то и три приема (причем оригинал, зашифрованный файл — этой хренью каждый раз удалялся... хорошо догадались восстанавливать из копий)
Из относительно хорошего — PSD файлы не тронуло, хоть основная работа не пострадала...
Он ведь по расширению ищет, увида там .doc или .tib и зашифровал
Можно вообще дать доступ к этому разделу только Акронису, что и делает Акронис при установке.
У буха был просто расшарен путь на сервер...
Теперь умнее сделали, диск на котором бекапы — закрыт от доступа.
Даже если будет взрыв/пожар то данные всегда можно восстановить.
И хоть укакайся, только то что разрешено)))
Как придет и так и уйдет)))
P.S. Полная версия паранои:
1) Антивирь Kasper endpoint security 10
2) Белый список и только
3) Закрытые сменные носители
4) раздельные сети для инета и рабочей сети (физика или VLAN)
5) Вход на ПК только через e-token и пасс (2-х факторная авторизация)
6) вкусные "няшки" по теневому копированию на ПАК (промышленно аппаратный комплекс)
7) Бекап на ФТП, с правами только на создание, запись и чтение (удалить и изменить низзя)...
Вот так и живем...
Вирусы при желании ничего не изменят, максимум рядом файлов допишут)))
Если младенцев два-три десятка, это уже считай шиш ты нормально поработаешь. А если их 50 и более — загнёшься.
Смотрим словарь Ушакова:
"РИСК, риска, мн. нет, муж. (франц. risque)."
статья сугубо техническая и, соответственно, изобилует профессиональным сленгом.
кстати, смотрим словарь Ушакова: биткоин, троян, фича, бэкдор, гугить... --- нету (((
(а для примера "страховые риски" ...)
ru.wiktionary.org
По материалу — всё выше описанное никак не ограничит и не защитит от российских-русскоязычных модификаций, с толковым впариванием через соц.инженеринг офисным хомячкам-манагерам за 50, теткам под 60 и прочим бухгалтерам, и т.п. .... и т.п. ...
И ни одно правило из данного материала не поможет в целых пластах подобного, т.к. пакуются свежатинки в .js и исполняются на машинах локальными средствами через wscript.exe
И ни один антивирь, на момент свежей рассылки (сам отсылал вытащенный файл на вирустотал как-то) — чистенько-гладенько. Быстрее всего вносятся касперычем и доктором, авасты и есеты под 2-е недели тормозят на добавление (оформлял материал для публикации — перепроверял обнаруживаемость (и то буду дописывать, кое-что не успел, кое-что меняется, кое-какие мысли добавятся)).
Вкратце, хотите обезопаситься — применяйте ровно по инструкции:
it-lines.ru
Всё остальное — не поможет, один раз все равно сорветесь-впарится, не вы — так кто в сетке, сейчас или через 11 лет, если будет неправильная настройка.
Это новая эра, почему антивири и эвристика пропускают шифрацию, например потому что используются легитимные проги, GnuPG тулза например, ранее доверенная и широко известная.
p.s.
пример впаривания, представьте, что подобное получает манагер в возрасте, бух в запарке или помощница лет 20-ти от роду с пту за плечами и мини на собеседовании:
"Добрый день!
К нам заявились налоговики с проверкой((
Мы уже второй день пытаемся найти некоторые первичные документы, касающиеся нашего сотрудничества.
Но в связи с переездом в новый офис, акты и несколько договоров между нами так и не были найдены.
Я составила список документов (во вложении). Прошу Вас помочь с их поиском...
Скиньте хотя бы скан-копии, а то мы влетим на штрафы.
Заранее большое спасибо!
Прикреплённые файлы:
1. Список документов.zip
— С Уважением
Сотрудники бухгалтерии
ООО "Город Инструмента""
______
Я уж умалчиваю про впаривания с вызовами якобы по долгам перед гос-вом, в суды, банками-кредлитами, коллекторами грозными, ,СБ, повестки якобы и т.п ...
Короче — зоопарк, единственное решение кардинальное — правильная настройка через групп.политики по ссылке в комменте и работа под юзером, плюс бэкап.
А то после посещения некоторых сайтов, бывают глюки с клавиатурой, мышкой. Обычно, помогает закрытие браузера. Но бывает, что приходится и перезагружать компьютер!
На сайте nnm, помню один случай, когда перестала работать одна из кнопок мышки и помогла только полная перезагрузка компьютера.
(Выход из системы , смена пользователя, не помогло!)
Жадный работодатель, не тянет на файловой хранилище-резерв и корп. систему резервирования? Не хочет докупить лицухи-поднять домен и закрутить болты в групповых политиках на всю орг. разом? Валите нафиг, пусть студент с его зашифрованными данными потом впаривается.
Можно конечно политики накрутить до сраки... Но все равно никто не даст 100% гарантии.
it-lines.ru
(а там, конечно, тоже кое что нужно добавить, .js, .wbs, ещё кое-что)
То общий смысл там как раз в том, что юзер не сможет запустить файлы из папок, куда у него есть права записи (по другому разрешено запускать только то, что от админа). Это в корне меняет весь расклад, в том числе со всеми портабельными прогами, запусками с флэшек и т.д. ...
Теперь научились.
Как расшифровать? Гуглите-читайте темы форумов на касперского и доктора, свежие модификации — никак.
Гуглю и читаю уже с год — машина была убита в июне прошлого года. Всякими правдами и кривдами удалось выцепить около 5 ГБ файлов данных из 36... (
К сожалению ни док ни каспер пока ничего не сказали, знаю что нортон и микрософт пытаются, но пока тоже безуспешно...
Более того, полно вирусов, которые при входят в систему уже с правами админа!
Ну что с вирусом может сделать пользователь с простыми правами? Он даже может его и видит, но удалить-то не может — нет прав!
Сам неоднократно сталкивался с такими случаями (Vista, 7)