Собственно, в описании темы все сказано. Куча бухгалтерской документации, фотографии и видеоматериалы... похоже- того...
Что посоветуете?
Платить уродам никто не собирается,- сносить операционную систему, ибо народ пишет, что алгоритм шифрования RSA-1024 не поддается взлому?
И, пожалуй гораздо более значимый вопрос,- как застраховаться от повторения подобной ситуации на будущее, если таковое возможно в принципе?
P.S. Есть резервная копия недельной давности на внешнем жестком диске. Вот только не "зацепило" ли и ее, ибо девушка безрассудно подоткнула его в инфицированному компу и с полчасика поработала...
Полная версия: Вирус- шифровальщик данных Keybtc@gmail.com
Mitsubishi Lancer Club - Мицубиси Лансер Клуб > Мир вокруг > Кофейня > Компьютеры, программы, компьютерные игры
Третьего дня тоже так попали на одном компе.
Вирус пролечили, операционка осталась, почта осталась (bat).
Остальное - офисные доки, pdf, фотографии - в треш.
Вирус прилетел с почты, причем довольно прилично замаскировался.
Обычное письмо с приложением, якобы акт сверки, пришло от контрагента со знакомого адреса.
Я сообразил, что это вирус, т.к. нет смысла файл акта сверки зиповать, и еще кое-какие мелочи (сильно грамотный "округлый" текст без конкретики, не в стиле отправителя и насторожило, что написали "вы нам немного недоплатили за две поставки", хотя деньги шли от них к нам, мы им услуги оказывали). А девчонки не сообразили.
Штатный лицензионный DrWeb промолчал.
Вирустотал распознал только 3/54, один из антивирей был Каперский.
Вот такая жопа.
Страховка?
Мозг (думать, что открываешь в почте), своевременный бэкап.
Вирус пролечили, операционка осталась, почта осталась (bat).
Остальное - офисные доки, pdf, фотографии - в треш.
Вирус прилетел с почты, причем довольно прилично замаскировался.
Обычное письмо с приложением, якобы акт сверки, пришло от контрагента со знакомого адреса.
Я сообразил, что это вирус, т.к. нет смысла файл акта сверки зиповать, и еще кое-какие мелочи (сильно грамотный "округлый" текст без конкретики, не в стиле отправителя и насторожило, что написали "вы нам немного недоплатили за две поставки", хотя деньги шли от них к нам, мы им услуги оказывали). А девчонки не сообразили.
Штатный лицензионный DrWeb промолчал.
Вирустотал распознал только 3/54, один из антивирей был Каперский.
Вот такая жопа.
Страховка?
Мозг (думать, что открываешь в почте), своевременный бэкап.
Цитата(Argentum @ 12.8.2014, 8:27) 
Вирустотал распознал только 3/54, один из антивирей был Каперский.
Поясни пож-та первую часть предложения?
По поводу мозга в качестве основной страховки,- полностью согласен.
Но как говорит в таких случаях супруга "Были бы мы такие умные.- мы бы в школе не работали..."
(Случилось на ее работе в школе.
)
Argentum подразумевал сайт https://www.virustotal.com/
На этом сайте загруженные файлы проверяются кучей антивирусов. Там можно узнать уровень детектирования того или иного вируса, определить, является ли файл зараженным.
Вирус свеженький, мало кто может его определить, 3/54 - это значит, что из 54 антивирусов детект произошел только у трех.
На этом сайте загруженные файлы проверяются кучей антивирусов. Там можно узнать уровень детектирования того или иного вируса, определить, является ли файл зараженным.
Вирус свеженький, мало кто может его определить, 3/54 - это значит, что из 54 антивирусов детект произошел только у трех.
О! Спасибо,- буду знать. 
Причем, что интересно,- изготовители этой заразы в сопроводительной документации по оплате написали, что ежели жертвой стал человек совсем неимущий или бюджетная организация,- при наличии неких подтверждающих документов готовы выслать пароль для декодирования безвозмездно...
Как раз тот случай,- пусть девицы попробуют донести информацию о том, что они- то как раз и есть те самые бюджетники.
Хотя...
"Чему бы грабли не учили, а жо...а верит в чудеса"(с) ???
Причем, что интересно,- изготовители этой заразы в сопроводительной документации по оплате написали, что ежели жертвой стал человек совсем неимущий или бюджетная организация,- при наличии неких подтверждающих документов готовы выслать пароль для декодирования безвозмездно...
Как раз тот случай,- пусть девицы попробуют донести информацию о том, что они- то как раз и есть те самые бюджетники.
Хотя...
"Чему бы грабли не учили, а жо...а верит в чудеса"(с) ???
по сайту дрвеба полазийте, может уже лекарство выложили.
Слышал от знакомого админа про такую весчь. Говорит - полная попа...
Угу. Любопытно и познавательно. Я туда сразу же нырнул после произошедшего.
В нашем, так сказать, случае помог случай,- я менял HDD на этом компе и весь видео и фотоархив сохранял на свой жесткий диск. Бух. документы были на внешнем диске самого буха и часть- на второй и третьей машинах.
А вот в понедельник закончатся отпуска у всех учителей Москвы.....
У многих- по паре компов с выходом в интернет...
Вот понесется дерьмо по трубам...
У каждого своя почта, все на курсах обучаются...
У меня спрашивают,- ЧТО ДЕЛАТЬ, а мой ответ на счет включения мозга никого устроить не может...
А и впрямь,- что народу посоветовать- то???
В нашем, так сказать, случае помог случай,- я менял HDD на этом компе и весь видео и фотоархив сохранял на свой жесткий диск. Бух. документы были на внешнем диске самого буха и часть- на второй и третьей машинах.
А вот в понедельник закончатся отпуска у всех учителей Москвы.....
У многих- по паре компов с выходом в интернет...
Вот понесется дерьмо по трубам...
У каждого своя почта, все на курсах обучаются...
У меня спрашивают,- ЧТО ДЕЛАТЬ, а мой ответ на счет включения мозга никого устроить не может...
А и впрямь,- что народу посоветовать- то???
Презерватив на коннектор
А если серьезно, зайти на вирустотал, посмотреть, кто детектит, того поставить и обновить на все машины
А если серьезно, зайти на вирустотал, посмотреть, кто детектит, того поставить и обновить на все машины
У меня две конторы подхватили этот "вирус".
Вирусом это назвать сложно. По сути - скрипт, который активирует сам пользователь (самое слабое звено в любой системе защиты информации). Антивирусники его не детектят.
Шифруются файлы очень стойким шифром - RSA-1024. Не имея половинки ключа вскрыть гражданскими ресурсами нереально.
Маскируется скрипт очень грамотно. В мои конторы залетал под двумя личинами:
1. Извещение от службы судебных приставов. Что характерно, на тот момент у конторы были дела в суде.
2. Приглашение на участие в тендере. Обе конторы принимают участие в открытых конкурсах и аукционах.
Каждое письмо было составлено очень грамотно, с подписями и всеми контактами, так, что у обычного пользователя не вызывает никаких подозрений.
Заражение (активация скрипта) происходит при попытке открыть файл, который содержится в письме. Вот здесь и стоит обратить внимание.
Большинство пользователей приучили ориентироваться на ярлычки файлов и не иметь понятия об их расширениях. вот тут дьявол и скрывается. Те, кто начинал работать еще в MS-DOS и самых ранних версиях Windows привыкли работать с расширениями файлов и ориентироваться в первую очередь на них, а не на иконку файла. Так вот, файл, который прилетает по почте, называется как-то безобидно, имеет иконку имеющую отношение к MS Word, Excell или PDF, но если посмотреть расширение, то оно будет .com.
Т.е. файл будет иметь вид: xxxxxxx.docx.com или xxxxxxxx.xlsx.com или xxxxxxx.pdf.com
Когда пользователь запускает скрипт, тот с помощью открытого ключа (который содержится в скрипте или вытягивается из инета) шифрует файлы пользователя.
Шифруются файлы на локальном компе и по сети. Тип файлов не важен. В первую очередь шифруются файлы, к которым было недавнее обращение, затем уже по мере увеличения времени с момента последнего обращения к файлу.
Файлы шифруются на лету. Думал что скрипт делает копию, шифрует, а затем удаляет исходник, но прогнав утилитой восстановления никаких исходных файлов не нашел. Скрипт работает до выключения/перезагрузки компа, затем он оставляет в нескольким местах контакты, описание того, как вернуть данные (контакты и т.п.) и файл с открытым ключем. Закрытый (пользовательский ключ), который является парой к открытому, находится у злоумышленников и нигде не отсвечивает, кроме как если его вам вышлют после оплаты.
В одной конторе этот скрипт не успел наделать много бед, поэтому забили.
В другой он зашифровал порядка 6000 файлов, при этом порядка 400 очень нужные и потеря их критична. Пришлось связываться со злоумышленниками и платить. За пользовательский ключ и утилиту дешифровки отдали порядка 7 тыс. руб.
Что нужно делать, чтоб не попасться на эту махинацию или как-то противостоять злыдням:
1. Внимательно смотреть почту и смотреть что за файлы вам приходят и от кого.
2. Делать резервные копии всех нужных данных.
3. В некоторых антивирях и файрволах есть возможность блокировки запуска файлов .com и тому подобных, но иногда это нельзя сделать по объективным причинам.
Вирусом это назвать сложно. По сути - скрипт, который активирует сам пользователь (самое слабое звено в любой системе защиты информации). Антивирусники его не детектят.
Шифруются файлы очень стойким шифром - RSA-1024. Не имея половинки ключа вскрыть гражданскими ресурсами нереально.
Маскируется скрипт очень грамотно. В мои конторы залетал под двумя личинами:
1. Извещение от службы судебных приставов. Что характерно, на тот момент у конторы были дела в суде.
2. Приглашение на участие в тендере. Обе конторы принимают участие в открытых конкурсах и аукционах.
Каждое письмо было составлено очень грамотно, с подписями и всеми контактами, так, что у обычного пользователя не вызывает никаких подозрений.
Заражение (активация скрипта) происходит при попытке открыть файл, который содержится в письме. Вот здесь и стоит обратить внимание.
Большинство пользователей приучили ориентироваться на ярлычки файлов и не иметь понятия об их расширениях. вот тут дьявол и скрывается. Те, кто начинал работать еще в MS-DOS и самых ранних версиях Windows привыкли работать с расширениями файлов и ориентироваться в первую очередь на них, а не на иконку файла. Так вот, файл, который прилетает по почте, называется как-то безобидно, имеет иконку имеющую отношение к MS Word, Excell или PDF, но если посмотреть расширение, то оно будет .com.
Т.е. файл будет иметь вид: xxxxxxx.docx.com или xxxxxxxx.xlsx.com или xxxxxxx.pdf.com
Когда пользователь запускает скрипт, тот с помощью открытого ключа (который содержится в скрипте или вытягивается из инета) шифрует файлы пользователя.
Шифруются файлы на локальном компе и по сети. Тип файлов не важен. В первую очередь шифруются файлы, к которым было недавнее обращение, затем уже по мере увеличения времени с момента последнего обращения к файлу.
Файлы шифруются на лету. Думал что скрипт делает копию, шифрует, а затем удаляет исходник, но прогнав утилитой восстановления никаких исходных файлов не нашел. Скрипт работает до выключения/перезагрузки компа, затем он оставляет в нескольким местах контакты, описание того, как вернуть данные (контакты и т.п.) и файл с открытым ключем. Закрытый (пользовательский ключ), который является парой к открытому, находится у злоумышленников и нигде не отсвечивает, кроме как если его вам вышлют после оплаты.
В одной конторе этот скрипт не успел наделать много бед, поэтому забили.
В другой он зашифровал порядка 6000 файлов, при этом порядка 400 очень нужные и потеря их критична. Пришлось связываться со злоумышленниками и платить. За пользовательский ключ и утилиту дешифровки отдали порядка 7 тыс. руб.
Что нужно делать, чтоб не попасться на эту махинацию или как-то противостоять злыдням:
1. Внимательно смотреть почту и смотреть что за файлы вам приходят и от кого.
2. Делать резервные копии всех нужных данных.
3. В некоторых антивирях и файрволах есть возможность блокировки запуска файлов .com и тому подобных, но иногда это нельзя сделать по объективным причинам.
Вот статья по беседе с этими хакерами http://apps.plushev.com/2014/08/14/2829/
Я фигею, если честно....
Файлы с расширениями .com, .bat и прочие скрипты не запускаются по дефолту ни в одном почтовом клиенте, как мне помнится. Аутлук уж точно, если настройки безопасности не трогали, плюс корпоративный или любой приличный публичный почтовый сервак такие расширения просто не пропустит.
Как они умудряются запустить эту хрень?
Созранив на рабочий стол и проигнорировав два предупреждения безопасности?
Тогда админ - некомпетентен. Групповыми политиками запретить запуск таких файлов юзеру и все, плюс на почтовом серваке ловить и не пущать, в Эксчендже это делается на Edge-сервере.
В MDaemon в настройках фалов, в MailSite прямо в политиках явным фильтром. Линуксовые еще проще...
Файлы с расширениями .com, .bat и прочие скрипты не запускаются по дефолту ни в одном почтовом клиенте, как мне помнится. Аутлук уж точно, если настройки безопасности не трогали, плюс корпоративный или любой приличный публичный почтовый сервак такие расширения просто не пропустит.
Как они умудряются запустить эту хрень?
Созранив на рабочий стол и проигнорировав два предупреждения безопасности?
Тогда админ - некомпетентен. Групповыми политиками запретить запуск таких файлов юзеру и все, плюс на почтовом серваке ловить и не пущать, в Эксчендже это делается на Edge-сервере.
В MDaemon в настройках фалов, в MailSite прямо в политиках явным фильтром. Линуксовые еще проще...
Цитата(Volodikk @ 17.8.2014, 20:36)
Я фигею, если честно....
Аналогично, коллега...
Но, к примеру, в школе, о которой я упоминал, вообще нет ни системного администратора, ни инженера по локальным сетям, ни кого нет,- не заложено штатным расписанием и , следовательно, никакие суммы на это не выделяются. 260 компьютеров живут своей жизнью... Взбадриваемые порой шлепками преподавателя информатики...
Стоящий после оптического модема маршрутизатор Cisco 2911 принадлежит МГТС и конфигурируется с их стороны...
И что делать бедным училкам?
Что касается более или менее крупных коммерческих подразделений, имеющих нормальный штат и возможности,- да вопросы нужно задавать службе инженерного обеспечения.
Цитата(Volodikk @ 17.8.2014, 20:36)
Файлы с расширениями .com, .bat и прочие скрипты не запускаются по дефолту ни в одном почтовом клиенте, как мне помнится. Аутлук уж точно, если настройки безопасности не трогали, плюс корпоративный или любой приличный публичный почтовый сервак такие расширения просто не пропустит.
Как они умудряются запустить эту хрень?
понимаишь, когда все запуганы делом Поносова, на компы ставятся всякие тхундербёрты и прочие бесплатные клиенты, которые почту принять-то толком не умеют, а чтобы еще и безопасность обеспечить...
а всё чаще прямо через веб-морду.
плюс бесплатные авасты, которые нихрена не ловят.
фирефокс со связкой дырявых плагинов, так любимых эникеем, и отключенными ограничениями.
и так далее.
счастливый эникей радуется, что чист перед законом, а про безопасность он только читал в журнале ][акер.
это как с угонами машин, как только в форуме появляется "угналиииии, памагите...", первым делом спрашивают "чо стояло?".
вот и тут надо задавать вопрос "чо стояло", и всё сразу встанет на свои места.
Получил вчера оное письмо, Рамблер в спам его запихнул.
Отправитель 2234449@mail.ru
и zip файлик
На работе (2000+ компов) повесили огромную объяву на местном сайте, хотя это врядли спасет :-)
Отправитель 2234449@mail.ru
Цитата
Уважаемые коллеги,
Мы изготовили детали по принятому от Вас заказу. До сегодняшнего вечера отправляем весь товар по адресу.
Высылаю счет для оплаты согласно спецификации (во вложении).
Напоминаю, что согласно договора заказ должен быть оплачен в течение 3-х рабочих дней с момента завершения работ.
Сориентируйте, пожалуйста, когда Вы сможете провести расчет.
--
Надеемся на взаимовыгодное сотрудничество,
с уважением
ООО "Точность"
Мы изготовили детали по принятому от Вас заказу. До сегодняшнего вечера отправляем весь товар по адресу.
Высылаю счет для оплаты согласно спецификации (во вложении).
Напоминаю, что согласно договора заказ должен быть оплачен в течение 3-х рабочих дней с момента завершения работ.
Сориентируйте, пожалуйста, когда Вы сможете провести расчет.
--
Надеемся на взаимовыгодное сотрудничество,
с уважением
ООО "Точность"
и zip файлик
На работе (2000+ компов) повесили огромную объяву на местном сайте, хотя это врядли спасет :-)
Здравствуйте!
Пишу от имени одной Московской школы, по понятным причинам номер не указываю.
Эти люди пошли на встречу и для школы бесплатно прислали дешифратор, скриншоты переписки прилагаются.
Сообщение.
Недавно мы стали жертвой вируса "keybtc". На одном из компьютеров школы были зашифрованы все документы, связанные с работой школы и прикрепленных детских садов, вся документация. Это расширения doc, docx, xls, xlsx, pdf, и все картинки и фотографии. Это примерно несколько тысяч файлов.
Произошло это 11 августа, и сразу после этого обнаружили на рабочем столе текстовый файл с инструкцией, что мы стали жертвой вируса и все файлы зашифрованы. В инструкции было описание куда и как перечислить деньги, чтобы получить дешифратор. В конце инструкции была приписка - "Процесс шифрования закончен: 11.08.2014 / 13:55".
Мы обратились в одну известную антивирусную лабораторию, создали заявку, прислали все файлы и всю информацию, которую они запросили. Через несколько дней пришел ответ, что у них пока нет дешифратора, что в вирусе используется криптостойкий алгоритм шифрования, и чтобы мы следили за их новостями, когда появится ключ.
Мы уже не знали что делать.
Решили попробовать написать на емайл, который был указан в инструкции - keybtc@gmail.com
Отправили два файла ключа, которые тоже появились одновременно с инструкцией, это "KEY.PRIVATE" и "UNIQUE.PRIVATE".
Судя по описанию, это необходимые файлы для расшифровки документов.
Текст письма был следующий:
"Здравствуйте!
Обращается к Вам школа №***, просим дешифратор, спасибо!
Все нужные файлы приложили.".
Ответа сперва не было.
Решили написать через крипто-систему Bitmessage на их адрес, который был указан в инструкции.
Мы уже не надеялись на ответ. Буквально через несколько минут от них пришел ответ.
Переписка была следующая:
- Мы: Здравствуйте! Обращается к Вам школа №***, просим дешифратор, спасибо!
- Они: Отправьте заявку с почты.
- Мы: Писали на keybtc@gmail.com, ответа не было, по инструкции написали сюда. Сейчас еще напишем.
- Они: Все доказательства прикрепляйте сразу
(После этого мы еще раз отправили письмо и приложили три зашифрованных документа.)
- Мы: Спасибо большое! Дешифратор по почте получили, утром запустим на компьютере в школе, отзывы напишем! Спасибо!
Переписывались с ними ночью. Они пошли нам на встречу и бесплатно прислали дешифратор уже через несколько минут после переписки.
Пришло два письма, одно с ответом, другое с дешифратором.
********************
Письмо 1:
Здравствуйте. Был выполнен анализ Вашего компьютера (id: 28BC91F0)
Дата шифрования: 2014-08-11
Количество файлов: 7455
Сгенерированный счет: 1AbaXwJn67sgpuQG5Dk6TnF6ovBgj97SWc
Стоимость: 0.0000000 BTC
********************
Письмо 2:
Во вложении находился сам файл дешифратор.
********************
Днем на школьном компьютере запустили дешифратор и через, примерно полчаса, все документы были расшифрованы!
Скриншоты переписок можно просмотреть здесь:
http://s019.radikal.ru/i631/1408/3d/64ef6b916f7c.jpg
http://s020.radikal.ru/i703/1408/ac/3064910538c1.jpg
http://s017.radikal.ru/i405/1408/36/12483bf4b039.jpg
http://s017.radikal.ru/i442/1408/96/6d589a37918d.jpg
Хотим поблагодарить их за то, что они пошли нам на встречу и для школы бесплатно прислали дешифратор.
Как и обещали, написали отзыв.
Спасибо!
--
С уважением,
Московская школа №*** (номер по понятным причинам не указываем).
Пишу от имени одной Московской школы, по понятным причинам номер не указываю.
Эти люди пошли на встречу и для школы бесплатно прислали дешифратор, скриншоты переписки прилагаются.
Сообщение.
Недавно мы стали жертвой вируса "keybtc". На одном из компьютеров школы были зашифрованы все документы, связанные с работой школы и прикрепленных детских садов, вся документация. Это расширения doc, docx, xls, xlsx, pdf, и все картинки и фотографии. Это примерно несколько тысяч файлов.
Произошло это 11 августа, и сразу после этого обнаружили на рабочем столе текстовый файл с инструкцией, что мы стали жертвой вируса и все файлы зашифрованы. В инструкции было описание куда и как перечислить деньги, чтобы получить дешифратор. В конце инструкции была приписка - "Процесс шифрования закончен: 11.08.2014 / 13:55".
Мы обратились в одну известную антивирусную лабораторию, создали заявку, прислали все файлы и всю информацию, которую они запросили. Через несколько дней пришел ответ, что у них пока нет дешифратора, что в вирусе используется криптостойкий алгоритм шифрования, и чтобы мы следили за их новостями, когда появится ключ.
Мы уже не знали что делать.
Решили попробовать написать на емайл, который был указан в инструкции - keybtc@gmail.com
Отправили два файла ключа, которые тоже появились одновременно с инструкцией, это "KEY.PRIVATE" и "UNIQUE.PRIVATE".
Судя по описанию, это необходимые файлы для расшифровки документов.
Текст письма был следующий:
"Здравствуйте!
Обращается к Вам школа №***, просим дешифратор, спасибо!
Все нужные файлы приложили.".
Ответа сперва не было.
Решили написать через крипто-систему Bitmessage на их адрес, который был указан в инструкции.
Мы уже не надеялись на ответ. Буквально через несколько минут от них пришел ответ.
Переписка была следующая:
- Мы: Здравствуйте! Обращается к Вам школа №***, просим дешифратор, спасибо!
- Они: Отправьте заявку с почты.
- Мы: Писали на keybtc@gmail.com, ответа не было, по инструкции написали сюда. Сейчас еще напишем.
- Они: Все доказательства прикрепляйте сразу
(После этого мы еще раз отправили письмо и приложили три зашифрованных документа.)
- Мы: Спасибо большое! Дешифратор по почте получили, утром запустим на компьютере в школе, отзывы напишем! Спасибо!
Переписывались с ними ночью. Они пошли нам на встречу и бесплатно прислали дешифратор уже через несколько минут после переписки.
Пришло два письма, одно с ответом, другое с дешифратором.
********************
Письмо 1:
Здравствуйте. Был выполнен анализ Вашего компьютера (id: 28BC91F0)
Дата шифрования: 2014-08-11
Количество файлов: 7455
Сгенерированный счет: 1AbaXwJn67sgpuQG5Dk6TnF6ovBgj97SWc
Стоимость: 0.0000000 BTC
********************
Письмо 2:
Во вложении находился сам файл дешифратор.
********************
Днем на школьном компьютере запустили дешифратор и через, примерно полчаса, все документы были расшифрованы!
Скриншоты переписок можно просмотреть здесь:
http://s019.radikal.ru/i631/1408/3d/64ef6b916f7c.jpg
http://s020.radikal.ru/i703/1408/ac/3064910538c1.jpg
http://s017.radikal.ru/i405/1408/36/12483bf4b039.jpg
http://s017.radikal.ru/i442/1408/96/6d589a37918d.jpg
Хотим поблагодарить их за то, что они пошли нам на встречу и для школы бесплатно прислали дешифратор.
Как и обещали, написали отзыв.
Спасибо!
--
С уважением,
Московская школа №*** (номер по понятным причинам не указываем).
Цитата(Volodikk @ 17.8.2014, 20:36)
Как они умудряются запустить эту хрень?
Цитата(Школа Москва @ 24.8.2014, 16:16)
- Они: Все доказательства прикрепляйте сразу
Какие, простите, на хрен, доказательства???
Обычно адрес электронной почты школы привязан к ее оф. сайту...
Все сразу видно,- КОМУ ты отправляешь ...
"А казачок- то засланный..." (с)
Нет???
Цитата(Мальберг @ 25.8.2014, 17:27)
Обычно адрес электронной почты школы привязан к ее оф. сайту...
ага.
school456@mail.ru
Пришло аналогичное письмо, только с незнакомой почты, в тексте ссылка на скачивание счет-фактуры в зиповском архиве.
Цитата(Volodikk @ 17.8.2014, 20:36)
Файлы с расширениями .com, .bat и прочие скрипты не запускаются по дефолту ни в одном почтовом клиенте, как мне помнится.
Через веб-морду сохраняли и запускали.
Цитата(Volodikk @ 17.8.2014, 20:36)
Созранив на рабочий стол и проигнорировав два предупреждения безопасности?
Так и было. По трагической случайности, именно на этом компе была админская учетка у пользователя, на всех остальных компах пользователи ограничены в правах. Так нужно, без этого никак.
Цитата(Volodikk @ 17.8.2014, 20:36)
Тогда админ - некомпетентен. Групповыми политиками запретить запуск таких файлов юзеру и все, плюс на почтовом серваке ловить и не пущать, в Эксчендже это делается на Edge-сервере.
В MDaemon в настройках фалов, в MailSite прямо в политиках явным фильтром. Линуксовые еще проще...
Компетентность админа, зачастую, ограничена выделяемым бюджетом.
Сеть одноранговая, стоит только один файл-сервер, почта на хостинге.
До этого у меня сетка была с PDC, BDC, WSUS, прокси - так даже потребности в антивирях не было, ибо пользователь пукнуть без ведома администратора не мог. Внутренний почтовый сервак решает многое, согласен, но вот убедить руководство потратиться на это, порой нереально. Да и сложно, когда инет-канал нестабилен, резервный вобще только в мечтах существует.
и к нам пришла эта беда.
вовремя заметил, зашифровала на шаре-обменнике всего 48 файлов.
админы-придурки нихрена не работают, антивирусы везде посносили, новые не ставят.
заблокировал шару, теперь админы ищут вирус.
"всего-то" 500 компов. ))
вовремя заметил, зашифровала на шаре-обменнике всего 48 файлов.
админы-придурки нихрена не работают, антивирусы везде посносили, новые не ставят.
заблокировал шару, теперь админы ищут вирус.
"всего-то" 500 компов. ))
легко отскочил.
а как заметил?
а как заметил?
зашёл на шару в нужную мне папку, которая называется .admins, и соответственно она попала первая под раздачу, т.к. в самом верху. а в ней увидел зашифрованный xls.
тут же по drp заскочил на сервер и отключил шару, и стал звонить админам.
а уже потом разбор полётов и проверка других шар.
тут же по drp заскочил на сервер и отключил шару, и стал звонить админам.
а уже потом разбор полётов и проверка других шар.
ууууу... как тебе повезло-то!...
Цитата(Argentum @ 31.10.2014, 12:19)
ууууу... как тебе повезло-то!...
Ага, всего то 500 компов
Это текстовая версия — только основной контент. Для просмотра полной версии этой страницы, пожалуйста, нажмите сюда.
