Вирусы-шифровальщики

03.08.16

Администрирование - Информационная безопасность

В последнее время набирает популярность разновидность таких вирусов, как шифровальщики. Очень часто объектами шифрования становятся и файлы баз 1С. Надеюсь эта краткая инструкция для ваших сотрудников поможет не допустить необратимого шифрования ваших файлов.

Небольшое лирическое отступление

Статья потихоньку превращается в своего рода «Курс молодого бойца» по борьбе с такой напастью, как «Вирусы-шифровальщики». Статья не преследует целей рекламы каких бы то ни было продуктов. Не утверждает, что описанные в статье методы являются 100% гарантией защиты. Все решения по настройке ОС, выборе антивирусного ПО - целиком и полностью зависит только от вас!

Принцип действия

В большинстве случаев вирус приходит по электронной почте в виде вложения от незнакомого вам человека, или же от имени банка или другой крупной организации, имя которой вам уже скорее всего известно. Письма эти приходят с заголовком вида: «Акт-сверки…», «Карточка предприятия…», «Ваша задолженность перед банком…», «Проверка регистрационных данных» и прочее. В письме содержатся вложения с документами, якобы подтверждающими факт, указанный в заголовке письма. При открытии этого вложения происходит моментальный запуск вируса-шифровальщика, который незаметно зашифрует все ваши документы, видео, изображения на всех дисках и восстановить их уже будет невозможно. Увидеть это будет легко - все файлы, которые имели до этого значки, станут с иконками неизвестного типа файлов.

Пример файла до и после работы вируса-шифровальщика 

Рис. 1. Пример файла до и после работы вируса-шифровальщика

Как определить?

Вложения этих писем чаще всего бывают в архивах .zip, .rar, .7z, .cab (в настройках многих антивирусов по умолчанию отключена проверка архивов). И уже внутри этих архивов находятся на первый взгляд безобидные документы.

Если в настройках системы отключена функция отображения расширения файлов, то вы увидите лишь файлы вида «Документ.doc» или «Акт.xls» или что-то подобное. Если же включить отображение расширения файлов, то сразу будет видно, что на самом деле это не документы, а исполняемые программы или скрипты, так как имена файлов будут немного другого вида, например, «Документ.doc.exe» или «Акт.xls.js». При открытии таких файлов происходит не открытие документа, а запуск вируса-шифровальщика.

Краткий список «опасных» расширений файлов – т.е. если вы достоверно точно не знаете, что вам прислали, то вероятнее всего за ним спрятан вирус-шифровальщик: .exe, .com, .js, .wbs, .hta, .bat, .cmd

Для того, чтобы включить отображение расширений файлов, необходимо…

… если у вас Windows 8/Windows 8.1

Наверху открытого окна перейти на вкладку «Вид» и установить галочку напротив «Расширения имен файлов»

… если у вас Windows 7

На клавиатуре нажать левый Alt. Наверху появится главное меню. В нем открыть меню «Сервис – Параметры папок». В открывшемся окне перейти на вкладку «Вид». В списке дополнительных параметров почти в самом низу снять галочку напротив «Скрывать расширения для зарегистрированных типов файлов».

… если у вас Windows XP

Все аналогично Windows 7 за исключением нажатия кнопки Alt для вызова главного меню. Оно обычно всегда отображается в Windows XP.

Как не допустить заражения

Конечно же никогда не открывать вложения в письмах от незнакомых вам людей. Всегда можно уточнить, ответив на письмо, кто он (отправитель) такой, и откуда он узнал адрес вашей электронной почты.

Если же желание открыть вложения у вас не убавилось – обязательно проверьте расширения вложенных файлов. Если они заканчиваются на указанные выше «опасные» расширения файлов – ни в коем случае не открывайте их. Проше попросить отправителя выслать файлы в другом формате. Помните, в большинстве случаев отправитель даже не подозревает, что от его имени отправлялись файлы вируса-шифровальщика, и скорее всего он ответит вам, что ничего вам не отправлял и знать вас – не знает.

Более-менее адекватное антивирусное ПО, которое ловит эти вирусы-шифровальщики, это, пожалуй, Kaspersky Internet Security. Список антивирусов, известных мне, которые точно не прошли проверки и не заблокировали этот вирус - это Avast! и Microsoft Endpoint Protection.

В любом случае 100% защиты от антивируса ждать не стоит. Так как живут вирусы 2-3 дня, и после добавления их в базу антивирусов, код их переписывается.

update 28.04.2015: Так же есть технология теневого копирования в ОС Windows 7, которая позволяет откатить файл до рабочего состояния. Вопрос только в размерах вашего жесткого диска и свободного места на нем.

update 21.08.2015: Недавно столкнулся с очередным "заражением" - файлы пользователя были зашифрованы. Сценарий - полностью идентичен. В архиве находился сценарий под видом документа Excel. Мы пойдем другим путем, решил я, и открыл оснастку Управления групповой политикой в домене (сразу уточню - я программист, системное администрирование - побочный род деятельности, поэтому реализовал задачу как смог).

Актуально для сети с использованием домена Active DirectoryПерехожу в объекты групповой политики и создаю новый объект "Запрет выполнения скриптов". Перехожу в конфигурацию пользователя - Настройки - Параметры панели управления - Параметры папок.

Добавляю 3 объекта для расширений hta, js, vbs с сопоставлением notepad.exe. Назначаю нужным группам пользователей созданный объект групповой политики. После перезагрузки все скрипты по умолчанию открываются через Блокнот и, как следствите, кроме недопонимания пользователя, не вызывают никаких других непоправимых последствий.

update 04.02.2016: Сегодня случилось очередное ЧП локального формата. Менеджеру по продажам пришло письмо с манящим заголовком Карточка предприятия с одноименным архивом .rar во вложении. И даже несмотря на то, что никаких карточек ни от какого клиента он не ждал - архив открыл. И увидев внутри Карточка предприятия.exe - не задумываясь его запустил... Встроенный в ОС Защитник Windows видимо не ожидал такой наглости злоумышленников и... спокойно пропустил запуск .exe файла из этого архива. Результат само собой на лицо - все файлы пользователя оказались зараженными.

Ограничивать политиками список разрешенных программ конечно дело неблагодарное, поэтому решил пойти другим путем... Возможно для многих будет приятной неожиданностью, но Касперский выпустил наконец бесплатную версию антивируса, с сильно урезанным функционалом... но и оставшегося хватает для большинства рабочих мест. Вот как-раз его и удалось протестировать на клиенте. Само собой расшифровать зашифрованное никакому продукту не по силам, интересен был лишь факт блокировки шифровальщика (по моему скромному опыту - Avast! с этой задачей не справляется, может что-то изменилось уже - но доверия к этому антивирусу уже нет).

Итак, после установки и запуска без изменения настроек Kaspersky Free - вообще никак не отреагировал на запуск .exe файла вируса-шифровальщика, что конечно-же обескуражило - надежды не оправдались :( Однако, решил поиграться с настройками и, только после того, как выставил высокий уровень защиты для файлового антивируса, добился желаемого результата - файл с вирусом-шифровальщиком был заблокирован в момент запуска!

Насколько надежна далее будет эта версия антивируса от Касперского - покажет конечно же время.

вирусы шифровальщики инструкция

См. также

AUTO VPN (portable)

Информационная безопасность Платные (руб)

Автоматизация подключения пользователей к удаленному рабочему месту или сети посредством создания автоматического VPN (L2TP или L2TP/IPSEC и т.д.) подключения без ввода настроек пользователем (с возможностью скрытия этих настроек от пользователя). Программа автоматически выполняет подключение к VPN серверу и после успешного коннекта , если необходимо, подключение к серверу удаленных рабочих столов (RDP).

1200 руб.

24.03.2020    14397    22    32    

33

Настройка аутентификации в 1С с использованием стандарта RFC 7519 (JWT)

Информационная безопасность Платформа 1С v8.3 Бесплатно (free)

Рассмотрим в статье более подробную и последовательную настройку аутентификации в 1С с использованием распространенной технологии JWT, которая пришла в программу в платформе версии 8.3.21.1302.

27.02.2024    2608    PROSTO-1C    9    

29

Device flow аутентификация, или туда и обратно

Информационная безопасность Платформа 1С v8.3 Абонемент ($m)

Интеграционные решения стали неотъемлемой частью нашей жизни. Правилом хорошего тона в современных приложениях является не давать интегратору доступ к чувствительным данным. Device flow позволяет аутентифицировать пользователя, не показывая приложению чувствительные данные (например: логин и пароль)<br> Рассмотрим Device flow аутентификацию, в приложении, на примере OpenID провайдера Yandex.

1 стартмани

27.10.2023    1617    platonov.e    1    

23

Анализатор безопасности базы сервера 1С

Информационная безопасность Платформа 1С v8.3 Конфигурации 1cv8 Россия Абонемент ($m)

Продукты на основе решений 1С уверенной поступью захватывают рынок учётных систем в стране. Широкое распространение программ всегда порождает большой интерес к ним со стороны злоумышленников, а пользователь 1С это одна из дверей в защищённый информационный контур предприятия. Обработка позволяет быстро и комплексно оценить настройки безопасности конкретной базы и возможности пользователя этой базы на сервере. Также можно оценить некоторые аспекты сетевой безопасности предприятия со стороны сервера 1С.

5 стартмани

24.04.2023    5438    14    soulner    7    

29

Двухфакторная аутентификация в 1С через Telegram и Email

Информационная безопасность Платформа 1С v8.3 1С:ERP Управление предприятием 2 Абонемент ($m)

1С, начиная с версии платформы 8.3.21, добавили в систему возможность двойной аутентификации. Как это работает: в пользователе информационной базы появилось свойство «Аутентификация токеном доступа» (АутентификацияТокеномДоступа во встроенном языке), если установить этот признак и осуществить ряд манипуляций на встроенном языке, то появляется возможность при аутентификации отправлять HTTP запросы, которые и реализуют этот самый второй фактор. Данное расширение позволяет организовать двухфакторную аутентификацию с помощью электронной почты или мессенджера Telegram.

2 стартмани

08.12.2022    5968    32    Silenser    12    

23

История одного взлома или проверьте вашу систему на безопасность

Информационная безопасность Платформа 1С v8.3 Конфигурации 1cv8 Бесплатно (free)

От клиента клиенту, от одной системы к другой, мы вновь и вновь встречаем одни и те же проблемы и дыры в безопасности. На конференции Infostart Event 2021 Post-Apocalypse Виталий Онянов рассказал о базовых принципах безопасности информационных систем и представил чек-лист, с помощью которого вы сможете проверить свою систему на уязвимость.

26.10.2022    9244    Tavalik    46    

113
Комментарии
В избранное Подписаться на ответы Сортировка: Древо развёрнутое
Свернуть все
1. Gureev 05.11.14 11:24 Сейчас в теме
Поймать этих вирусописателей, и поотрубать им пальцы.

И это еще гуманно...
maksa2005; vakham; alex_sayan; sergio199; amon_ra; +5 Ответить
36. prolog 11.11.14 17:26 Сейчас в теме
(1) Gureev, Отрубить им пальцы ног по самые уши
2. Bukaska 140 05.11.14 11:28 Сейчас в теме
Вы показали как раз одну из последних версий. От которых нет ключа расшифровки. И сразу скажу, что сейчас чаще всего используется тип шифрования RSA1024. Достаточно почитать что это такое, когда нужно разделить на множители и сомножители. Тут ключ расшифровки поискать - не каждый программер справится. Так что с данными в большинстве случаев приходится и прощаться.
Если тип шифрования AES256, то тут чуток полегче ситуация)
3. TrinitronOTV 14 05.11.14 12:13 Сейчас в теме
"Более-менее адекватное антивирусное ПО, которое ловит эти вирусы-шифровальщики, это, пожалуй, Kaspersky Internet Security" -- походу ещё и скрытая реклама...
В целом спасибо за предупреждение
maksa2005; Bryuhanov; StBender; Silenser; nikaleks; LavinVladik; +6 Ответить
6. insurgut 207 05.11.14 12:36 Сейчас в теме
(3) TrinitronOTV, не преследую никаких рекламных целей, много антивирусного ПО, но все попробовать - ни времени ни желания нет. Привел конкретное антивирусное ПО, потому что все они "пообщались" с письмами, вложения в которых содержали эти вирусы-шифровальщики. Только Касперский заблокировал. Остальные даже не моргнули и не шелохнулись, как будто так и надо. В любом случае антивирус - не панацея. Самое сложное - донести до пользователей, чтобы не открывали все, что ни попадя.
ivnik; Анатолий50; +2 Ответить
10. TrinitronOTV 14 05.11.14 13:04 Сейчас в теме
(6) полностью с вами согласен
12. Cooler 22 05.11.14 13:09 Сейчас в теме
(6)
Только Касперский заблокировал. Остальные даже не моргнули и не шелохнулись, как будто так и надо.
Можно уточнить: Касперский среагировал на вирус, известный ему (получается, только ему?) или на сам факт запуска приложения (неизвестного) из письма?
13. insurgut 207 05.11.14 13:21 Сейчас в теме
(12) Cooler, на вирус, известный ему. Просто оперативность у команды Касперского - повыше будет. Насколько понимаю - сигнатур у шифровальщиков нет, и код постоянно разный.
15. Bukaska 140 05.11.14 13:22 Сейчас в теме
(12) Cooler, у одной из наших клиенток касперский среагировал, и удалил часть файлов(но не все), во всяком случае процесс шифрования он остановил, но..
Вирус успел зашифровать файлы, находящиеся в папке мои документы, из чего делаю выводы, что базы нужно располагать не на системном разделе, так как вирус в первую очередь шифрует системные папки пользователя, и файлы в них)
Ключ расшифровки с 13 октября ждем у доктора веба - пока дело темное
24. Cooler 22 05.11.14 13:51 Сейчас в теме
(15) А сами не пробовали? Какая разновидность вируса была? Мне недавно te94decrypt.exe очень хорошо помог. Если затрудняетесь, то могу подсобить, нужен любой зашифрованный файл, желательно doc, xls или zip, хотя проверять расшифровку удобнее всего по txt, но кто их использует?

И крайне желательна любая информация по вирусу, начиная с адреса электронной почты для связи со злоумышленниками.

(16) Не верю: у них и без того очень неплохой бизнес. Я, в свою очередь, где-то читал, что продаются вирусы-конструкторы: покупаешь "комплект разработчика", вводишь свои данные, компилируешь - и начинаешь отбивать инвестиции.

(20) Ограничение прав на чтение подразумевается как раз к папке для бэкапов: записать в нее новый архив можно, а прочитать и зашифровать старый - низзя!
25. Bukaska 140 05.11.14 14:03 Сейчас в теме
(24) Cooler, RSA1024 осилишь? Дохтур веб с 13 октября осилить не могут.. всё ждемс.
Народ уже восьмерочные базы почти 10 организаций перевбивал всё ручками, так как время сдачи отчетности)
тельце вируса у меня тоже есть.. но.. я ж говорю.. что Каспер не дал до конца ему доработать.и комп уже перезагружался.. думаю дохлый номер. Хотя поделиться тушкой и логом могу, но не жду гарантий)
66. aferrer 55 25.11.14 02:08 Сейчас в теме
(3) TrinitronOTV, У меня BitDefender (правда 2013 года) не смог заблокировать такого шифровальщика с расширением *.js
Пришлось качать DrWeb CureIt и чистить заразу.
4. kofr1c 05.11.14 12:20 Сейчас в теме
пффф...а не пробовали сажать юзеров за камп без админских прав? это не больно ;)
Ivan-r777; madonov; trickster; Зеленоград; RAMZEZzz; nikaleks; ixijixi; amon_ra; +8 Ответить
5. Cooler 22 05.11.14 12:33 Сейчас в теме
(4) Видимо, вы еще не сталкивались с этой заразой: шифруются как раз пользовательские файлы, на которые у юзера есть все права.
ut2k5; Cupuyc76; dimajak; Stradivari; +4 Ответить
7. insurgut 207 05.11.14 12:37 Сейчас в теме
(4) kofr1c, как (5) уже ответили, прав администратора выполнения шифрования пользовательских файлов - не нужно. UAC тоже никак не реагирует на них.
11. yukon 143 05.11.14 13:08 Сейчас в теме
(4) kofr1c,

Можно еще попробовать делать резервные копии. По описанию похоже, что тоже безболезненная процедура.

(8)

Говорят, высылают. Но 15 тыс. рублей это многовато, конечно, для проверки.
49. Evil Beaver 8107 14.11.14 11:26 Сейчас в теме
(11) yukon, если высылают, то можно отследить. Имхо, имеет смысл подключать прокуратуру и попытаться сделать "контрольную закупку".
50. insurgut 207 14.11.14 12:36 Сейчас в теме
(49) Evil Beaver, нет, это (по крайней мере у нас) - бесполезно. Вся почта злоумышленников, по которой ведется переписка, заводится на зарубежных серверах. Оплата производится так же на обезличенные сервисы, либо сервисы, находящиеся так же за рубежом. Прокуратура из-за 15 тысяч запросы в зарубежные страны точно делать не будут.
51. yukon 143 14.11.14 17:57 Сейчас в теме
(49) Evil Beaver,

Дохлый номер. Оплата в биткоинах, письма от какого-нибудь 10minutesmail. Вообще, если отбросить мораль, то они правы:

Теперь к делу, ваш сервер был взломан по причине халатности\профнепригодности вашего системного администратора который должным образом не обеспечил безопасность сервера вашей фирмы.
Мы не говорим что мы хорошие и делаем только ради помощи, каждый зарабатывает как может ну а мы в свою очередь хотим донести фирмам что к обеспечению безопасности сервера если вы ведете предпринемательскую деятельность нужно относиться серьезно!


А мораль в предпринимательстве она такая, скажем так, гибкая. В данном случае явно действовали адресно, и знали на чей сервак залезли. Так что в IRL их следы отыскать можно, но, как заметили выше, за 15 тыс доблестные стражи особо напрягаться не будут. Но заявление написать стоит - рано или поздно эти граждане попадутся, так хоть срок могут получить побольше.
86. dimajak 21.01.16 22:55 Сейчас в теме
(11) yukon, Говорят не высылают.
18. Bukaska 140 05.11.14 13:27 Сейчас в теме
(4) kofr1c, Скорее наоборот..
Нужно папку с важными данными сделать атрибуты только на запись.
Насколько я понимаю, шифровальщику нужно сначала прочитать информацию, а потом уже шифровать.. соответственно , если он не сможет прочитать, не факт что он будет шифровать там что-то)
20. insurgut 207 05.11.14 13:34 Сейчас в теме
(18) Bukaska, а как вы будете открывать файлы сами? Единственная панацея пока - это голова на плечах ну и бэкапы. Только на рабочий машинах настраивать резервное копирование - накладно.
80. 3d_killer 20.08.15 18:51 Сейчас в теме
(4) kofr1c, пфф а не думал головой что шифрование это просто изменение файла, пользователи без админских прав могут редактировать файлы Excel word и др., так вот вам новость что и шифровальщик запущенный от пользователя тоже сможет это делать так как он не устанавливается в системе и не требует админских прав, пфф знаток блин
87. dimajak 21.01.16 22:56 Сейчас в теме
(4) kofr1c, Шифруются файлы, доступные юзеру.
Думайте, прежде, чем комментируете.
109. Hateful72 5 05.08.16 14:45 Сейчас в теме
(4) kofr1c, и за что плюсы?Не сталкивался, то лучше помолчи и не "пфф"ыкай.
8. insurgut 207 05.11.14 12:41 Сейчас в теме
Если кому интересная цена вопроса - просят вредители перевести на счет N "всего-навсего" один bitcoin :) Сейчас это примерно 15т.р. Гарантий соответственно - никаких. Может и вышлют дешифратор, а может и не вышлют.
9. Gureev 05.11.14 12:53 Сейчас в теме
(8) теперь понятно для чего ЦБ запретил биткоины

такие вот сволочи поганят хорошие идеи(
14. tindir 05.11.14 13:21 Сейчас в теме
ДетективнаяИсторияМодеОН
Есть контора, которая ональ...очень хорошо огорожена от всякой бяки. Приходил "мальчик ИТС" прикинувшись сотрдником их франча и подкинул им пару таких веселых штук. Участвовал в "загоне дичи". весело. Последнее что видел, как ребята в страйкбольной форме под омон выводи парнягу и сажали в "воронок". думаю надолго парень запомнит урок.
ДетективнаяИсторияМодеОФФ
16. insurgut 207 05.11.14 13:23 Сейчас в теме
Еще очень славится на этом поприще Dr.WEB. Они еще и дешифраторы для старых шифровальщиков предоставляют "бесплатно" для обладателей лицензией Доктор ВЭБа. Где-то даже предположения видел, что написание шифраторов Dr.WEB и спонсирует. Но правды мы никогда не узнаем.
17. Bukaska 140 05.11.14 13:24 Сейчас в теме
(16) Бугага.. от старых шифровальщиков.. а от новых - ни у кого мозгов не хватает)))
19. insurgut 207 05.11.14 13:33 Сейчас в теме
(17) Bukaska, как понимаю от новых сидеть и ждать, пока он свой "урожай" соберет, а потом алгоритмы генерации ключа для дешифровки отдаст заказчику. Как-то так наверное :)
21. insurgut 207 05.11.14 13:35 Сейчас в теме
Да, забыл, еще можно использовать альтернативную ОС (*nix, macos). Может кто-то подскажет еще какие-то простые методы защиты от такого рода вирусов?
22. Bukaska 140 05.11.14 13:43 Сейчас в теме
(21) По мне так как минимум это иметь систему с последними обновлениями, полноценный антивирусный продукт(именно решение Интернет Секьюрити), а не мизер домашний. Ну и в первую очередь - это не открывать что попало. А с этим как раз главная проблема..
У меня только за это лето приходило три раза письма от суда, ено я как-то не клунула, сразу удалила с глаз долой)))
23. masik85 21 05.11.14 13:51 Сейчас в теме
Предупрежден- значит вооружен!..у нас пролетал такой вирусняк, благодаря настройке прав у пользователей, ничего не повредил, но я испытала его на своей шкуре :) надо же было увидеть действие ..на компе ничего особо ценного не было, по сети он не лезет ни с какими правами(это спасло) , шифрует все офисные файлы, jpg и ВНИМАНИЕ! .cf
все пробные , тестовые базы были зашифрованы
Кстати Kaspersky Endpoint Security 10 не поймал его, даже намека не сделал
26. BlackCors 4 05.11.14 15:07 Сейчас в теме
Kaspersky Endpoint Security 10 не поймал его, даже намека не сделал

(23) masik85, у Каспера есть безопасный режим, который позволяет открыть подозрительные файлы в западне.
Но разве им кто пользуется? ;)
JohnConnor; masik85; Bukaska; +3 Ответить
108. Bienko 212 04.08.16 08:14 Сейчас в теме
(26) BlackCors, DrWeb вообще может определять новые шифровальщики и все сделанные ими изменения откатывать.
27. ixijixi 1775 10.11.14 12:59 Сейчас в теме
Попадали пару раз, пришлось листать по 10 тыр
28. insurgut 207 10.11.14 13:33 Сейчас в теме
(27) the1, сценарий заражения отличался? Или так же открывались вложения писем электронной почты от неизвестных людей?
29. Bukaska 140 10.11.14 13:51 Сейчас в теме
(28) Зачем их открывать.. когда у вас в письме типа: посмотреть информацию или прочитать - в виде ссылки..
Нормальный суд не будет кормить ссылками, а притащут в руки вам нужные документы.
А народ как всегда.. ай да я залезу посмотрю, что там такое..? и тут же: Аааа.. спасите, помогите..
да бугага: поздняк пить боржоми, когда почки отказали)
30. insurgut 207 10.11.14 13:57 Сейчас в теме
(29) Bukaska, причем тут ссылки?
33. Bukaska 140 10.11.14 14:29 Сейчас в теме
(30) При том))
Версия вируса 4.0.0.0
Версия 4.1.0.0 и выше)
Конечно я привела чуть более другую разновидность вируса, но из той же категории.
По части моих ссылок - ключа разблокировки не существует, так что остерегайтесь подобных писем)
34. insurgut 207 10.11.14 14:55 Сейчас в теме
(33) Bukaska, я к тому, что обычно заражение именно через вложенные файлы происходит, потому что "не ходить по непонятным ссылкам" люди хоть как-то немного научились. Хотя предела человеческой глупости конечно нет.
35. Bukaska 140 10.11.14 15:25 Сейчас в теме
(34)
Хотя предела человеческой глупости конечно нет.

и никогда не будет)))
31. ixijixi 1775 10.11.14 14:02 Сейчас в теме
32. insurgut 207 10.11.14 14:07 Сейчас в теме
(31) the1, пока эта схема работает, менять они (злоумышленники) ее вряд-ли будут. Поэтому единственный более менее проверенный вариант - включать настройку отображения расширения файлов и не открывать файлы, с расширениями исполняемых файлов (*.exe, *.com) или скриптов (*.js, *.wbs).
37. DAnry 8 12.11.14 19:03 Сейчас в теме
Спасибо за статью. Предупрежден - значит вооружен. У нас ещё такой бяки не было, но думаю это дело времени...
38. CaptainMorgan 12.11.14 21:32 Сейчас в теме
Вообще все в мире взаимосвязано.
Чаще всего бывает так.
При первом обрушении информационной системы руководитель понимает, что фирме нужен системный администратор. При втором - понимает, что Сисадмин должен получать зарплату. После очередного инцидента в фирме создается ИТ служба с начальником и подчиненными.

Николай Рерих:"Благословенны трудности, ибо ими растем"
39. maxx 991 12.11.14 22:33 Сейчас в теме
Вот что пишут эти КОЗЛЫ

Добрый день, если вы нам пишите то с 99% вероятностью файлы вашей\вашего фирмы\предприятия были зашифрованны
Сразу хотим сказать что угрозы в любом виде абсолютно не несут не какой смысловой нагрузки.
Ведем диалог только с адекватными льдьми.
Теперь к делу, ваш сервер был взломан по причине халатности\профнепригодности вашего системного администратора который должным образом не обеспечил безопасность сервера вашей фирмы.
Мы не говорим что мы хорошие и делаем только ради помощи, каждый зарабатывает как может ну а мы в свою очередь хотим донести фирмам что к обеспечению безопасности сервера если вы ведете предпринемательскую деятельность нужно относиться серьезно!
шифровку файлов не стоит принимать как повод горевать, растраиваться, опускать руки, это стоит воспринимать как урок и стимул задуматься на будущее.
Есть много хакеров которые делают на много более страшные вещи на взломанных серверах, сливают
файлы конкурентам, подменивают банковские реквизиты, достают ценную информацию, естесвенно все зависит от того какие файлы вы на сервере.
Ну и естественно ущерб при таких действиях кратно умножается (мы ваши файлы в своих корыстных целях не используем)
Так что не отчаиватесь, за льбой урок нужно платить.
Теперь что касается расшифроки,только у нас есть возможность востановить все файлы до единого включая базы данных 1с
С радостью продемонстрируем возможность расшифровки файлов дабы не быть голословными.
Можете прислать несколько небольших файлов, мы их расшифруем и вышлем вам.
Базы 1с до оплаты не высылаем, если вам нужны доказательства расшифровки именно баз 1с то мы можем вам выслать доступ к программе TeamViwer с помощью которой вы подсоединитесь к нам на пк и мы покажем расшифрованные базы.
Естественно мы покажем уязвимость на вашем сервере и дадим рекомендации по безопасности, если все правильно настроить и делать регулярные бакепы то в будущем волноваться будет не за что.
Теперь по оплате, цена вопроса 1000$, оплатить нужно на киви кошелек, оплату можно произвести через любой терминал qiwi или салон связи.
В качестве подтверждения оплаты нужно будет приложить фото чека\либо если же вы платите через онлайн банкинг либо переводите с платежной системы то выписку из счета.
Разумный обоснованный торг уместен.
После оплаты вышлем дешефратор, в нем нужно будет лишь сделать 2 нажатия клавишы, вабрать диск с зашифрованными файлами и нажать кнопку "расшифровать", как правило процедура востановления занимает не более полу часа.

Анатолий50; +1 Ответить
40. RAMZEZzz 13.11.14 00:27 Сейчас в теме
(39) maxx, прикольно.
Тоже доводилось общаться, что то писали про помощь голодным детям африки в виде одного биткоина.
Из важных файлов пошифровалась только одна база 1cd
Но потом в итоге восстановил ее вручную, т.к. пошифрована была не полностью а частями, заголовок и по 1кб через каждые 10мб.
с помощью hex редактора, тестированием и исправлением и chdbfl.exe удалось вернуть ее к жизни с незначительными потерями в справочниках...
41. CheBurator 3119 13.11.14 01:03 Сейчас в теме
статья ни о чем.
для многих пользователей все что они перед собой видят - это какой-то значок, который у них ассоцируется прочно и навязчиво с документом - потому как чаще всего с "документами" и работает основная масса пипла, которая допускает заражение компов. Документ и все. и о никаких расширениях они не думают и не подозревают.
.
совет "не открывать от незнакомых людей/адресов" - канает только там, если вы не работаете в конторе где куча персонла и куча внешних связей. как пример: на мою просьбу к своим менеджерам не открывать от незнакомых людей - ответ один - условно можно так: = пнх! мотивируется просто (и мне нечем возразить) - сетевые клиенты шлют свои письма с разных адресов, даже не уведомляя - с какого ззахотелдось с такого и послали. слать встречный вопрос - и ждать сутки ответа - поставить под срыв отгрузки, план продаж, премии и прочее.
.
поэтому единственный более-менее вменяемый рецепт: - это продуктивная и внимательная работа ИТ-отдела по предотвращению угроз.
но, как известно, от всего защититься нельзя..
вот сидим и ждем, когда "бабахнет"
madonov; Ibrogim; AlenaR; Trucker; Анатолий50; +5 Ответить
43. insurgut 207 13.11.14 07:40 Сейчас в теме
(41) CheBurator, ну на самом деле - самое действенное это обращать внимание на расширение файлов. Во всех известных мне случаях это были документы вида Важный.doc.js (последнее расширение по умолчанию скрыто). А в остальном вы правы - статья не поможет людям, которые не задумываются о том, что может прийти им по почте и с криками "пнх все" открывают все подряд. Только никакая IT-инфраструктура 100% не защитит в этом случае.
Можно конечно каждому пользователю выделить по персональному серверу, развернуть его работу на виртуальных машинах. Ежечасно делать снимки виртуальных машин. Но это мягко говоря - дороговато.
71. BlackCors 4 19.02.15 09:33 Сейчас в теме
(43) например, в почте gmail.com запрещена пересылка исполняемых файлов, даже в архиве. насчет скриптов точно не помню. Так что иногда все гораздо проще.
72. insurgut 207 19.02.15 11:02 Сейчас в теме
(71) BlackCors, только исполняемые файлы. Скрипты соответственно пропускает спокойно.
107. Ibrogim 1311 04.08.16 07:34 Сейчас в теме
(41) CheBurator,
совет "не открывать от незнакомых людей/адресов" - канает только там, если вы не работаете в конторе где куча персонла и куча внешних связей.

Как известно адинэсный шифровальщик рассылает письма контрагентам из базы, такчто писмо может прийти и с вполне знакомого ящика
42. genx_350 13.11.14 01:39 Сейчас в теме
Есть мнение что на сервере, где стоит 1С сервер не должно быть даже интернета, т.к.SQL не любит наличие антивирусов. Не знаю на сколько правда подскажите? А вообще для хождения по сомнительным сайтам и открытия странных файлов можно завести виртуальную машину и открывать всё на ней, а уж потом, если что открывать на рабочем компьютере.
44. insurgut 207 13.11.14 07:45 Сейчас в теме
(42) genx_350, в идеале так, достаточно поднять в сети сервер обновлений, чтобы сервер 1С получал их без подключения к интернету. Но в обычной жизни люди хотят подключаться напрямую к серверу из дома (если рассматривать мелкие организации). Потом руководитель спросит "почему это я не могу сделать то или то", в результате у него появляются права администратора. Это один из сценариев.
45. insurgut 207 13.11.14 07:47 Сейчас в теме
Вот еще один вариант "письма счастья":

Ваши документы, фото, базы данных, а также другие важные файлы были зашифрованы с использованием криптостойкого алгоритма RSA-1024.

1. Проведем паралель работы шифровальщика на примере материального предмета (=Вашего файла)
- Вирус берет Ваш чемодан с документами.
- Используя Ваш ключ выполняет его шифрование
- Вирус перетирает содержимое в пыль, фактически затирая и перезаписывая каждый байт данных при помощи уникального ключа
- Вы сможете из пыли собрать чемодан с документами? Нет.
- Восстановить данные можно только имея специальный ключ, который содержится у нас в базе.

2.1. Каждый компьютер/пользователь имеет свой уникальный ключ (KEY.PRIVATE) и дополнительный файл-идентификатор (UNIQUE.PRIVATE)
2.2. Для восстановления всех Ваших данных нужны только эти два файла. Ваши файлы могут быть восстановлены только Вашим ключем.
2.3. Ваш случай - ассиметричное шифрование RSA-1024, используется в военной сфере. Подобрать/взломать его невозможно.
При шифровании, в разные места компьютера был скопирован 'KEY.PRIVATE' и специальный ID-файл 'UNIQUE.PRIVATE'. Не удалите их

3.1. У Вас есть 2 варианта:
- если данные важны - делаете запрос на дешифрование. Вполне разумное решение
- если данные не важны - форматируете диск
Не стоит ждать появления универсального дешифратора от антивирусных лабораторий.
3.2. Ваши ресурсы, необходимые для быстрого решения вопроса:
- KEY.PRIVATE
- UNIQUE.PRIVATE
- Несколько зашифрованных файлов с расширением .paycrypt@gmail_com для примера
3.3. Без вышеперечисленных составляющих восстановление не представляется возможным.

4.1. Инструкция и гарантии:
- С нами связь держать можно только по электронной почте paycrypt@gmail.com
- Мы демонстрируем, что Ваши файлы подлежат восстановлению. Каким образом?
Вы отправляете пару зашифрованных файлов с расширением paycrypt@gmail_com нам на почту, вместе с KEY.PRIVATE и UNIQUE.PRIVATE
В ответ, Вы получите два тестовых расшифрованных файла и инструкцию к дальнейшим действиям.
Тестовое дешифрование предоставляет Вам гарантию того, что файлы могут быть восстановлены.

- Вы получаете гарантии людей, кто уже работал с нами и восстановили данные.
В нашем Твиттер аккаунте мы выборочно публикуем e-mail покупателей.

4.2. При подаче нам запроса, для определения стоимости и предоставления гарантий, необходимо отправить нам следующее:
- вложение к письму без архива: KEY.PRIVATE
- вложение к письму без архива: UNIQUE.PRIVATE
- тестовый зашифрованный файл с расширением .paycrypt@gmail_com не более 3МБ
- по желанию 2-й тестовый зашифрованный файл с расширением .paycrypt@gmail_com не более 3МБ.
Более 2-х файлов не отправляйте. Для демонстрации дешифрования этого достаточно.

4.3. ВАЖНО. Вы должны подать системе запрос с KEY.PRIVATE и UNIQUE.PRIVATE в течение суток от даты ключа - для регистрации на будущее дешифрование. Дата ключа - 30.10
Вам не обязательно сразу оплачивать. Однако если Вы не зарегистрируетесь в течение суток, система имеет основание для повышения стоимости.

4.4. Тестовое дешифрование разрешено ТОЛЬКО следующих типов файлов: (JPG, JPEG, PDF, DOC, DOCX) и НЕ БОЛЕЕ 3 мегабайт за файл.
4.5. Если Ваша стоимость будет более 500 USD, мы дополнительно предоставим Вам гарантии восстановления других форматов (XLS, ZIP, CDR, DWG).
4.6. ВАЖНО. XLS, базы 1C и пр важные документы по понятным причинам не дешифруются для демонстрации.
После оплаты дешифратора они будут полностью восстановлены, как и остальные файлы.
4.7. АВТООТВЕТЧИК: paycrypt@gmail.com


5.1. Внимательно читайте инстукцию, которую Вы получите вместе с дешифратором.
5.2. После дешифрования все оригинальные имена файлов восстанавливаются
5.3. Во время работы Вы получите дополнительные инструкции.


6. FAQ (Вопрос-Ответ)

[-] Где найти KEY.PRIVATE и UNIQUE.PRIVATE
= При начале работы ПО, KEY.PRIVATE копируется в несколько мест, дабы Вы его не удалили случайно
= Без файла KEY.PRIVATE дешифровка невозможна. Он может находится по след. путям: Корни дисков, папка APPDATA, папка TEMP
= Программа дешифровщик будет идти вместе с ключем и детальной инструкцией

[-] Я не могу найти KEY.RPIVATE и UNIQUE.PRIVATE.
= Возможно это сетевой диск, поищите в папке APPDATA и TEMP или на компьютерах других пользователей, если такие есть.

[-] А если мне нужно только 1 файл дешифровать? А у меня 20 тысяч ненужных?
= К сожалению, у Вас есть выбор дешифровать все или ничего.

[-] ОЧЕНЬ ВСЕ СЛОЖНО КАК-ТО, я ничего не понимаю что происходит
= Процедура восстановления очень проста.
1. Ваши файлы зашифрованы. Отправьте нам письмо с KEY и UNIQUE в течение суток.
2. Нашли KEY.PRIVATE и UNIQUE.KEY на своем ПК, взяли пару зашифрованных файлов - отправили на почту paycrypt@gmail.com
3. Через некоторое время получаете ответ с гарантиями, инструкцией и стоимостью. Посетите наш Twitter. Посмотрите, что все получают ключи
4. После оплаты получаете ключ дешифрования, ПО и инструкцию по дешифрованию.

7. ГАРАНТИИ: http://twitter.com/keybtc
8. ПОЧТА: paycrypt@gmail.com

Время блокировки: 30.10 14:53
Регистрацию необходимо пройти до завтра.
Показать
46. EmpireSer 13.11.14 12:47 Сейчас в теме
(45)
Письмо весёлое :-)

Кстати, я не видел пока вирусов/шифровальщиков, которые могли изменять профили безопасности у файлов.
Я к критическим файлам как раз меняю профили: удаляю наследованные, добавляю разрешение к группе "Все" с пометками только чтения и исполнения (т.е. файл удалить нельзя, записывать нельзя, читать разрешения нельзя, смена разрешений и владельца - нельзя), и меняю владельца на "кого-то" (например на систему).

Вернуть возможность изменения файла можно только в несколько муторных этапов, но только если будут права администратора (удаление разрешений тоже идут под правами администратора).

Когда у нас в конторе делали механизмы шифрования для своего ПО (на Delphi), то я как-то залез в мануалы Microsoft по этому вопросу... после двух дней головной боли я плюнул на это.
Может поэтому мне не попадались вирусы/скрипты которые могут изменять настройки безопасности для файлов :-)))
AllexSoft; bandru; +2 Ответить
47. insurgut 207 13.11.14 18:29 Сейчас в теме
(46) EmpireSer, я таким образом флешку рабочую защитил :) Но для обычных пользователей это, увы, дремучий лес. :(
48. EmpireSer 14.11.14 01:25 Сейчас в теме
(47)
А я даже не представляю как другие программисты/администраторы разговаривают с этими "дремучими" пользователями...

Ведь в реальности хватит одного часа, что бы написать "топорный" шифровальщик (если не меньше). И ни какой антивирус его не распознает.
А вот если использовать ещё дополнительную систему шифрования исполняемого файла и разными алгоритмами - то вообще можно "кучу бабла наварить" :-)))

P.S. Что бы написать вирус получше следует почитать про Metasploit (Секреты Metasploit) и его прекрасный модуль Meterpreter

(1) Gureev, (36) prolog,
Не согласен. Я считаю, что пользователи не должны быть хуже "баранов" работая за компьютером. В реальном мире даже от разукрашенного и красивого волка баран убежит и не будет любоваться и ласкаться к нему :-) Большинство же компьютерных пользователей поступают как раз наоборот... им только напиши красивые фразы и покажи интересные картинки - они и откроют что тебе нужно, и скачают с "левого ресурса"... они даже и антивирус отключить могут...
52. nipil 14.11.14 22:42 Сейчас в теме
Столкнулся с такой заразой. Победил "...восстановить предыдущую версию" (для общих папок).
Заражение прошло от секретаря. У нее есть доступ "на запись" ко многим общедоступным папкам.
Заранее было настроено "сохранение предыдущих версий файлов" для общих папок.
После инцидента пересмотрел права пользователей на запись данных. Разделил на большее количество групп доступа.
55. EmpireSer 17.11.14 10:15 Сейчас в теме
(52) nipil,
В твоём случаи есть администрирование и ресурсы на хранение версий файлов. Видимо у других с этим гораздо хуже.
53. gusen_it 6 15.11.14 20:45 Сейчас в теме
У товарища буквально позавчера зашифровывали базу 1с... За дешифровку попросили 15тыс. рублей.
54. EmpireSer 17.11.14 09:53 Сейчас в теме
Думаю я нашёл несколько способов оградить файловые базы 1С от таких вирусов используя механизмы NTFS.
Но написать статью (а я их не писал ни разу) очень тяжело :-( Особенно с примерами...

P.S. Точнее саму файловую базу - только один способ, а вот выгрузки - несколько можно применить.
56. AllexSoft 17.11.14 10:40 Сейчас в теме
Интересно, можно ли жестко сопоставить расширения файлов с конкретными программами? ну например .doc, .xls сопоставить с офисными приложениями, 1cd, .dt сопоставить с 1С.. именно по доступу, чтобы другое приложение не могло получить доступ к файлам с таким расширением. Что такое возможно написать - 100%, а вот есть ли готовое ? для подобных шифровальщиков причем любых это бы стало отличной защитой. Может кто возьмется написать?
57. EmpireSer 17.11.14 14:14 Сейчас в теме
(56) AllexSoft,
Жёстко нельзя. Такое написать... кхе... это уровень антивируса, т.к. только перехватывая обращения к файлам на уровне ядра ОС можно заблокировать кому-то доступ. Это очень сложный путь, но единственный надёжный.
58. AllexSoft 17.11.14 14:27 Сейчас в теме
(57) EmpireSer, я в свое время такое писал в ring0 уровне ядра.. в принципе ничего сложного там нет, я бы и сейчас взялся если бы не 1С
61. EmpireSer 18.11.14 19:30 Сейчас в теме
(58) AllexSoft,
Я С++ не знаю, а на Delphi писать мне показалось муторно. Ну C#, Java и т.п. тут тихо курят в сторонке.

Если возьмёшься за такое дело, то получится ещё и реализовать другой "финт", который можно использовать что бы спрятать настройки 1С и базы :-)
62. AllexSoft 19.11.14 10:18 Сейчас в теме
(61) EmpireSer, времени нет к сожалению, да и уже сколько лет ничем кроме 1С не занимался, уже мозг в сторону бд повернут, системное программирование забывается ( так что это так, предложение может кто осилит.. или может кто знает уже существующее
59. wildskiff 17.11.14 15:02 Сейчас в теме
Если шифровальщики лезут по почте, то как вариант можно, почтовый клиент запускать от другого пользователя, у которого прав ноль. Если почту открывают, через браузер, то и браузер можно запускать с такими же правами. Если вложение сначала сохраняется, а потом запускается из проводника - тут уже клинический случай, раз пользователь не видит, что он запускает. А выгрузки файловых баз 1с должны хранится с доступом для одного администратора. И еще не стоит подключать файловые ресурсы сети как сетевые диски, если это не требуется каким либо софтом. Лучше вместо них использовать ярлыки.
60. AllexSoft 17.11.14 15:07 Сейчас в теме
(59) wildskiff, боюсь что при таком варианте пользователи не смогут работать с нормальными вложениями..
63. DrAku1a 1679 21.11.14 10:03 Сейчас в теме
Всё классно написал автор - одно забыл сказать: ОБЯЗАТЕЛЬНО ВСЕ ВЛОЖЕНИЯ ПРОВЕРЯЙТЕ АНТИВИРУСОМ ПЕРЕД ОТКРЫТИЕМ!!!
Если антивирус по-умолчанию настроен не проверять архив - то если его заставить принудительно проверить файл, то он внутрь архива всё-же залезет. И касперыч и аваст это делать умеют.
А в архив всё это пихают - чтобы не мозолили надписи типа "Файл может быть опасен!!!" если просматриваешь письмо через веб-браузер или скачиваешь вложение хромом, например.
Еще иногда, правда реже - архивы запароливают, а пароль указывают в письме в виде картинки - это уже чтобы антивирусы не смогли архивчик открыть.

ЗЫ: Бородатая шутка, которой лет уже как 15: "Записки сисадмина: Это же каким надо быть идиотом, чтобы получив по почте пустое письмо с одним только файлом f@@king_kill.exe - сразу запускать этот файл на исполнение?!!"
Bukaska; insurgut; +2 Ответить
64. karaw 128 23.11.14 23:45 Сейчас в теме
Чтобы обезопаситься от подобного закидываете в автозагрузку скрипт по созданию Точки восстановления системы при каждом запуске компа (архив с вариантами скриптов для различных ОС прикладываю). Но для того чтобы это работало должна быть включена защита системы в свойстве системы с параметрами восстановления "Восстановить параметры системы и предыдущих файлов". В случае зашифровки данных можно восстановить целую папку на любой из предыдущих дней через свойства папки/предыдущие версии.
Прикрепленные файлы:
Точки восстановления.rar
denisk37; insurgut; +2 Ответить
65. insurgut 207 24.11.14 16:18 Сейчас в теме
(64) karaw, а о принципах работы теневого копирования и предыдущих версий рассказать можете? Много ли место съедает? Что попадает в теневые копии?
88. dimajak 21.01.16 23:00 Сейчас в теме
(64) karaw, ваша точка восстановления системных файлов никак не спасёт от шифрования юзерских файлов.
Видел зашифрованный комп - зашифрованы все документы MS Office, документы OpenOffice не затронуты, зашифрованы все доступные базы 1С и прочее.
67. InWith 26 25.11.14 10:05 Сейчас в теме
было такое, к сожалению помог только откат данных (бэкапы с восстановления системы) ОС и файлов, с пере установкой ОС.
68. gigagr 03.12.14 17:56 Сейчас в теме
Спасибо за статью. Предупрежден - значит вооружен! У нас такой был на одной пользовательской машине, зашифровал доки. А вот что 1С базы шифрует узнала от Вас, за что и респект...
69. sv-bambr 15.01.15 12:17 Сейчас в теме
Как по мне, так лучшая защита - это ограничение интернета пользователям через прокси. Ну, и как правильно сказали, пользователи должны быть Пользователями, максимум Опытными...
70. Bukaska 140 15.01.15 15:07 Сейчас в теме
Уважаемые форумчане, один из новых вариантов шифровальщика, распространяемого через емейлы, это варианты письма: Ура! Вы попали на бабки!
будьте пожалуйста более осторожными при открытии подобных писем!
73. aferrer 55 27.04.15 22:05 Сейчас в теме
Кстати, очень часто шифровальщиков присылают к концу кваратала или перед сдачей деклараций в налоговую. Пишут в теме "Акт сверки" или "Договор поставки" или "Уведомление из налоговой инспекции". На многих бухгалтеров эти фразы магически действуют и они смело открывают запакованные в архив скрипты. Нам как-то присылали со взломанной почты одной компании такие письма, благо мы сразу заподозрили неладное.
74. Bukaska 140 28.04.15 10:33 Сейчас в теме
(73) aferrer, если начинают кормить ссылками.. сразу ясно.. что-то тут не так...
75. StBender 28.04.15 10:56 Сейчас в теме
В некоторых почтовых клиентах (на вскидку the bat) есть список запрещенных расширений для открытия. Настройте и будет вам счастье.
89. dimajak 21.01.16 23:02 Сейчас в теме
(75) StBender, В таких письмах часто дают ссылки на файлы, так что ваш метод бесполезен.
76. wermah 28.04.15 10:57 Сейчас в теме
Как выташить зашифровонные файлы:
Если у вас виндовс xp можно воспользоваться по типа Recuva так как некоторые шифровальшики удаляют файлы, а шифруют копию
Был случай когда эта прога помогла восстановить все зашифрованные файлы
Если у вас виндовс 7 и выше(и включено теневое копирование - я покрайней мере всегда включаю его) то ПО ShadowExplorer восстанавливает файлы без проблем
Решил поделиться может кому пригодится
77. insurgut 207 28.04.15 11:14 Сейчас в теме
(76) wermah, да, все верно - теневое копирование - единственный пока что действенный вариант, одно только не ясно - как оно работает с файлами (базами 1С) по несколько Гб.
78. RAMZEZzz 28.04.15 16:17 Сейчас в теме
Cobian Backup отлично "тень" копирует, в т.ч. и базы в несколько гиг.
У меня забирает все базы, пакует в 7z с паролем, переименовывает в что-то наподобие "база.СемьЗе", кидает на другой сервак в папку, которая с облаком синхронизируется. ни один шифровальщик (известный) не возьмет...
Slater_7; +1 Ответить
79. insurgut 207 28.04.15 16:55 Сейчас в теме
(78) RAMZEZzz, не будет обычный пользователь настраивать такие схемы, а вот типовое теневое копирование и просмотр предыдущих версий думаю ему по силам :)
81. Зеленоград 20.08.15 19:15 Сейчас в теме
Про Касперского давно ходят слухи, что он давненько пойман на том, что антивирус под какой-то вирь появился раньше, чем сам вирус в других базах. Что намекает на создание заразы этим человеком со сложной судьбой (из кгб выгнали, активы жена забрала, ЕМНИП уйдя к Ашманову, сотрудники сорцы слили, сына похитили).

Так что я бы не стал ЭТО использовать, вдруг неудачи заразны.

А по теме статьи: "Кто не сделал бэкапы, тот и платит".
82. insurgut 207 21.08.15 09:32 Сейчас в теме
Добавил вариант, как предотвратить заражение (шифрование) в доменной сети.
83. gal_75 15.09.15 06:15 Сейчас в теме
Попадался на этот вирус.
Теперь использую такой способ.:
Создаю пользователя например (АдминБекапа)
Создаю папку BeckUp с правами на запись и изменения только для пользователя АдминБекапа, нужно еще обязательно изменить владельца папки на АдминБекапа
Бекап запускаю от пользоваля АдминБекапа , никакой другой пользователь (надеюсь что и вирус ) не сможет изменить эту папку.

и второй способ также убераю все права для всех пользователей на папку с базой 1с
создаю пользователя с правами на эту папку user1c (но под ним в винду заходить и работать нельзя )
запускаю 1с от имени пользователя user1c с помощью команды "runas"
получается что 1с имеет права на паку а пользователь винды нет.

Не знаю сможет ли вирус зашифровать базу, но проверять не хочется :)
Надеюсь что понятно объяснил.

84. mihenius 83 21.01.16 11:27 Сейчас в теме
Если Windows Pro или Ent намного удобнее использовать

Software Restriction Policies

https://www.anti-malware.ru/reviews/Software_Restriction_Policies

И к расширениям, как минимум добавить нужно *.scr
Правда не будут работать заставки ...
85. insurgut 207 21.01.16 12:32 Сейчас в теме
(84) mihenius, тут уже на любителя, кто ручками прописывать привык, кто через специализированное стороннее ПО.

P.S. Кстати Касперский выпустил Free версию. Ее может быть достаточно для большей части компьютеров.
90. insurgut 207 04.02.16 11:31 Сейчас в теме
Вышел Kaspersky Free, который после небольшой настройки успешно прошел боевое крещение :)

P.S. Самое приятное, что лицензионным соглашением не ограничивается использование этой версии на компьютерах организаций!
91. CheBurator 3119 04.02.16 21:15 Сейчас в теме
А то что лежит на доступных шарах в сети и эти шары видны в сетевом окружении локального компа подвергшегося шифрованию - шифровальщики могут шары попортить?
92. insurgut 207 05.02.16 05:37 Сейчас в теме
(91) CheBurator, теоретически - да, могут :)
93. gal_75 06.02.16 04:46 Сейчас в теме
(91) CheBurator, Да у меня копии баз зашифровали, копии делались на другой комп в расшаренную папку
94. tatoil 05.03.16 17:10 Сейчас в теме
В феврале тоже был в почте подобный вирус {Vegclass@aol.com}.xtbl. Понижение прав не помогло, зашифровал на сервере расшаренные папки а также 1с, Не могли бы выслать вашу экземпляр для проверки защиты (свой был удален пользователем) - tatoil1@mail.ru
95. asdasd 10.03.16 15:26 Сейчас в теме
1. Ни один сегментурщик не поймает шифровальщик в первые пару часов распространения.
2. Касперсий - унылое говно, по сравнению с Авастом, который просто делает свое дело и не позиционирует себя как панацею от всего.
3. Забрать локальных админов.
4. Поднять SRP.
С грамотно настроенным SRP про антивирус вообще можно забыть. Какой-нибудь script-safe прикрутить к браузеру и спать спокойно - ни один юродивий сотрудник тебе к утру геморроя не создаст.
96. insurgut 207 10.03.16 19:37 Сейчас в теме
(95) asdasd,
1. Пока оно дойдет до твоего компьютера, в базе антивируса он с 99,9% вероятностью уже будет (при постоянном обновлении)
2. На одном и том же шифровальщике Аваст молчал как рыба и допустил шифрования всех файлов. Касперский - не допустил. В чем унылость его? :)
3. Причем тут административные права, если шифруются файлы пользователя?
4. SRP - дома разворачивать домашним пользователям? Из пушки по воробьям. Проще запретить запуск всех приложений кроме разрешенных.
Оставьте свое сообщение