Ваш компьютер атакован опаснейшим вирусом


Страницы: (29) « Первая ... 3 4 [5] 6 7 ... Последняя »	[ ОТВЕТИТЬ ] [ НОВАЯ ТЕМА ]

~~Serg196~~

26.02.2017 - 01:16

Статус: Offline

Ярила

Регистрация: 2.07.15
Сообщений: 2371

Цитата (dwag @ 26.02.2017 - 02:01)

Цитата (zoleg @ 25.02.2017 - 23:54)

помогает ежедневный бэкап.
Но многие игнорируют данный способ.
Причем, можно использовать встроенные механизмы винды - да... не лучшая хрень, но когда все зашифровано - станет панацеей.

Бэкап лучше создавать на внешний носитель и извлекать по окончании создания. У нас всю инфу вместе с бэкапами закодировали, пришлось 50к отвалить.

полный доступ к бэкапу должен иметь только оператор архива.

[^]

myaso

26.02.2017 - 01:17

Статус: Offline

Юморист

Регистрация: 13.03.13
Сообщений: 510

Цитата (Sergei07 @ 26.02.2017 - 00:58)

Цитата (madmozgmax @ 26.02.2017 - 00:00)

У нас такое было). После этого тупые админы получили по шапке и увольнение, а бэкап стал раз в 8 часов).

Вот парадокс, письмо открыл не умный пользователь, а писты дали админам...
Когда меня спросили что нам делать, чтобы не поймать такую фигню, я сказал: отдельно выделенный ПК с доступом в интернет, как в армии, не устроило, раз не устроило нефиг на админа гнать.

В чем парадокс?
Если я - начальник и нанимаю админа, который "сидит и ничего не делает - значит работает" то я хочу быть спокойным за айти в своей конторе.
И даже я могу, как начальник, нажать на вложение. По запаре или специально, но ничего произойти не должно.
За это, (странно да?) админам и платят.
К слову: работал в конторе, 300+ сотрудников. Начальство периодически запускало подобные файлы. Ибо писем сотни приходят в день и им не до этого. Ничего не происходило и ок. Меня (разраба) спрашивали порой, типа посмотри файл и открой. Естественно ржал и объяснял ситуацию. Если бы произошло чего - выебли бы админа с нехуевой ЗП. И правильно бы сделали.

Это сообщение отредактировал myaso - 26.02.2017 - 01:19

[^]

OldGarry

26.02.2017 - 01:18

Статус: Offline

Хуй! Пизда! Социализм!

Регистрация: 19.06.12
Сообщений: 3203

Цитата (WR104 @ 26.02.2017 - 01:14)

Цитата (saverbt @ 26.02.2017 - 01:06)

Посоны,поясните,как можно заработать такую шляпу себе на комп? Ну вот приходит файл(пдф или док).У меня к яндексу привязаны рабочие почтовые аккаунты,там сразу отображается превьюшка-значок типа файла. Открыв такую херню,я что,посажу себе бэкдора?Или все же приходят экзешники с расширением pdf, но это может быть реально pdf+exe?Короче,запутался я.Как понять,что тебе прислали херню?

В данном случае речь идет о использовании десктопных почтовиков, либо о скачивании и запуске файла на локальной машине. Чтобы шифровальшик запускался напрямую из браузерной почты я вроде пока не слышал. Хотя хрен его знает, может упустил что.

Вот именно из древней "летучей мыши"- скрипты и не запускаются без пары страшных предупреждений ( что уже многажды спасало и спасает) и в этом почтовике не отображаются ico- картинки маскирующие скрипт в проводнике винды=окне браузера.

[^]

~~Serg196~~

26.02.2017 - 01:19

Статус: Offline

Ярила

Регистрация: 2.07.15
Сообщений: 2371

Цитата (Alice9tails @ 26.02.2017 - 02:02)

Цитата (dedpixai @ 25.02.2017 - 23:47)

Где то читал что парни вродь разобрались как с этой бедой бороться, получалось у них вроде как

Хреново, когда теорию информации не преподают. Всё, что шифруется, может быть расшифровано.
Итак, имеем некий входной файл, некий алгоритм и выходной файл.
Берём декомпилятор алгоритма, выцепляем порядок перестановок байт и их обработку ключом.
Далее - исходный файл и шифрованный файл. На руках три из четырёх неизвестных. Обратная перестановка, обработка, получаем четвёртое неизвестное - ключ шифрования.
А дальше дело техники.

Ты еще про время подбора ключа забыл.

[^]

OldGarry

26.02.2017 - 01:21

Статус: Offline

Хуй! Пизда! Социализм!

Регистрация: 19.06.12
Сообщений: 3203

Цитата (myaso @ 26.02.2017 - 01:17)

Цитата (Sergei07 @ 26.02.2017 - 00:58)

Цитата (madmozgmax @ 26.02.2017 - 00:00)

У нас такое было). После этого тупые админы получили по шапке и увольнение, а бэкап стал раз в 8 часов).

9600 рублей в месяц. 25 компов в одном городе в разноброс+ 8 по области раскиданы.
Ты сделаешь за эти деньги на них так- что ни останется и шанса вымогателям?

[^]

Zakadr

26.02.2017 - 01:22

Статус: Offline

Ярила

Регистрация: 2.04.10
Сообщений: 1263

Цитата (Фиделька @ 26.02.2017 - 00:39)

Один раз поймал такую заразу, данные достал через Shadow Copy

Было дело, но сейчас уже такое не прокатит, теневые копии эта зараза научилась удалять!

В качестве профилактики могу посоветовать бесплатное ПО CryptoPrevent

Цитата

CryptoPrevent — это небольшая программа, созданная компанией Foolish IT. Эта утилита легко блокирует вирусы-шифровальщики, а так же множество других вредоносных программ. Причём, она делает это без резидентов в памяти, сложных движков анализаторов поведения или сигнатур выполняемых файлов. CryptoPrevent использует возможности самой операционной системы, а именно политики Windows. Это позволяет предотвращать запуск файлов из нестандартных папок: %UserProfile%, %AppData%, %LocalAppData%, %Temp%, Корзина и других. Эти папки используются операционной системой для внутренних нужд, но большое колличество разных вредоносных программа, включая вирусы-шифровальщики, используют эти папки для хранения собственных файлов. Кроме этого важного свойства, которого вполне достаточно для блокировки вирусов-шифровальщиков, CryptoPrevent имеет ещё много дополнительных возможностей.

Это сообщение отредактировал Zakadr - 26.02.2017 - 01:30

[^]

Alice9tails

26.02.2017 - 01:24

-1

Статус: Offline

Весельчак

Регистрация: 7.10.12
Сообщений: 107

Цитата (mikedd @ 26.02.2017 - 01:12)

Садись 2. Ты на поиски своего четвертого неизвестного потратишь сотни лет. Вот к примеру тут народ ищет ключ от фразы зашифрованной RC5-72. 15 лет уже ищет и перебрали уже 4% от всех возможных вариантов. Приз 10 тыщ долларов. Присоединяйся.

Читаем, впечатляемся.

Цитата

В 2010 году группе учёных из Швейцарии, Японии, Франции, Нидерландов, Германии и США удалось успешно вычислить данные, зашифрованные при помощи криптографического ключа стандарта RSA длиной 768 бит. Нахождение простых сомножителей осуществлялось общим методом решета числового поля.[21] По словам исследователей, после их работы в качестве надежной системы шифрования можно рассматривать только RSA-ключи длиной 1024 бита и более. Причём от шифрования ключом длиной в 1024 бит стоит отказаться в ближайшие три-четыре года[22].

Хватит уже писать про подбор ключа. Нету никакого подбора, нету. Это не брутфорс.

[^]

KV4777	26.02.2017 - 01:24 [ показать ] 1
Статус: Offline Ярила Регистрация: 12.12.13 Сообщений: 5118	ежели просят 10 тысяч то похуй админу ЗП платить дороже. На своем компе разок поймал но чтоб зашифровать мою помойку надо часа 4 я столько им не дал ) за 2 минуты успел зашифровать только рабочий стол... да и похер )
	[^]

JIR

26.02.2017 - 01:25

Статус: Offline

Сибирский

Регистрация: 5.02.09
Сообщений: 6584

Цитата (OldGarry @ 26.02.2017 - 01:11)

Цитата (JIR @ 26.02.2017 - 01:06)

Цитата (Sergei07 @ 26.02.2017 - 00:58)

Цитата (madmozgmax @ 26.02.2017 - 00:00)

У нас такое было). После этого тупые админы получили по шапке и увольнение, а бэкап стал раз в 8 часов).

Есть стадо юзеров, есть бюджет, есть админ.
Если админ не может обосновать и получить бюджет, то это плохо.
Безопасность на коленке не делается.

Во всей околобюджетной сфере- минобр, минздрав, минсельхоз и т.д.- все всегда и делалось и делается на коленке и из гнилой фанеры. Увы.
Регулярно данные херятся. Базы многолетние в пизду улетают. Но всем похуй.
Денехнет! ©

Минобр на аутсорсе, минздрав - ещё хлеще (бабло пилят).
Безопасность обеспечивают ЦОДы.

[^]

rus2205

26.02.2017 - 01:26

-3

Статус: Online

Ярила

Регистрация: 1.02.14
Сообщений: 7401

Цитата (dwag @ 26.02.2017 - 00:01)

Цитата (zoleg @ 25.02.2017 - 23:54)

теневые копии тома (shadow copies) NTFS'а хер они зашифруют, ибо они по умолчанию RO

[^]

myaso

26.02.2017 - 01:27

Статус: Offline

Юморист

Регистрация: 13.03.13
Сообщений: 510

Цитата (OldGarry @ 26.02.2017 - 01:21)

Цитата (myaso @ 26.02.2017 - 01:17)

Цитата (Sergei07 @ 26.02.2017 - 00:58)

Цитата (madmozgmax @ 26.02.2017 - 00:00)

У нас такое было). После этого тупые админы получили по шапке и увольнение, а бэкап стал раз в 8 часов).

Не нравится ЗП - меняй работу. Или я не прав?
Если человек - специалист, то не должен бояться остаться без работы и денег. Если нет... ну что тут скажешь... Хороший человек - не профессия.

[^]

~~WR104~~

26.02.2017 - 01:27

Статус: Offline

Юморист

Регистрация: 18.08.16
Сообщений: 402

Цитата (OldGarry @ 26.02.2017 - 01:13)

Цитата (vlad2009 @ 26.02.2017 - 01:11)

Цитата (sparrow85 @ 25.02.2017 - 22:43)

В 2016 году число атак с использованием вымогательского ПО в четыре раза превысило показатель за 2015 год.

Плата операторам вредоносного ПО за расшифровку файлов только поощряет киберпреступников к дальнейшему проведению подобных атак, уверены эксперты. Тем не менее, многие жертвы вымогателей предпочитают платить, благодаря чему количество атак с использованием троянов-шифровальщиков растет в геометрической прогрессии.

Согласно опубликованному в прошлом месяце отчету экспертов института Ponemon, 48% компаний, ставших жертвами вымогательского ПО, предпочитают заплатить выкуп злоумышленникам и не искать другие решения проблемы. По данным ФБР, в 2015 году общая сумма выкупа составила $24 млн, но уже в первые три месяца 2016 года она увеличилась до $209 млн (речь идет только об известных атаках и только в США). Если подобная тенденция будет продолжаться, к концу текущего года сумма выкупа достигнет $1 млрд.

В 2015 году только CryptoWall3 причинил ущерб по всему миру на $325 млн. Убытки от обнаруженной в прошлом году версии CryptoWall4 достигли $18 млн. По подсчетам страховой компании Beazley, в 2016 году число атак с использованием вымогательского ПО в четыре раза превысило показатель за 2015 год.

Как сообщили эксперты Symantec, в марте прошлого года количество заражений троянами-шифровальщиками достигло 56 тыс. – в два раза больше, чем обычно.

Вот так иногда запускается шифровальщик.

Если ТП из бухгалтерии(или кто там ещё) не видит расширение в конце "js"...

В web-морде почты мыловаров- этого не видно.
Следующее предложение?

Не видно? Да ну?

Ваш компьютер атакован опаснейшим вирусом

[^]

~~Serg196~~

26.02.2017 - 01:27

Статус: Offline

Ярила

Регистрация: 2.07.15
Сообщений: 2371

Цитата (zoleg @ 26.02.2017 - 02:06)

Цитата (nix1976 @ 26.02.2017 - 00:03)

Цитата (dedpixai @ 25.02.2017 - 23:47)

Где то читал что парни вродь разобрались как с этой бедой бороться, получалось у них вроде как

расшифровали кодированное 128-битным ключом не имея его ???
гении - однозначно. а если точнее - не может быть...

ну наверно, на первых экземплярах шифровальщика, может быть и подействовало, но сейчас, что спецы в каспере, что в дрвебе разводят руками и говорят что сделать ничего не могут.

не все шифровальщики используют стойкое шифрование, а также немало таких, которые "мимикрируют" под шифровальщики, а шифрование заключается в какой-нибудь ерунде типа заксоривания содержимого байтом или словом.

[^]

ToxaB	26.02.2017 - 01:28 [ показать ] 10
Статус: Offline Балагур Регистрация: 18.07.16 Сообщений: 863	backup, сливаемый на линуксовую шару по крону (в определенное время со стороны линуха - это главное! - наше все!) даже если убьется вся база и 1с-ка то бэкап все равно останется, вирь до него просто добраться не сможет :))) уже один раз бухгалтерию так спас :)
	[^]

~~stas1981~~	26.02.2017 - 01:30 [ показать ] 3
Статус: Offline жидорептилойд Регистрация: 27.08.12 Сообщений: 25989	1 и главное - делай бекапы,сука !!!! каждый вечер сука !!!! ДЕЛАЙ !!!!!! 2 и не мене главное - на дворе уже 2017 год...облачные сервисы весьма доступны и весьма неприступны ...практика показывает что они уже адаптированы для обслуживания бизнеса любого уровня. 3 ДЕЛАЙ БЕКАПЫ СУКА !!!!
	[^]

BattlePorQ	26.02.2017 - 01:30 [ показать ] 0
Статус: Offline Парасьонах Регистрация: 20.07.09 Сообщений: 65304	Дык из бэкапа всё поднимаем за пару минут, даже если кто-то настолько мудак, чтоб открыть подобное письмо. Ну, если я настолько дятел, что оно дошло до бухгалтерии. Это сообщение отредактировал BattlePorQ - 26.02.2017 - 01:31
	[^]

~~Serg196~~

26.02.2017 - 01:32

Статус: Offline

Ярила

Регистрация: 2.07.15
Сообщений: 2371

Цитата (anikifya @ 26.02.2017 - 02:25)

Цитата (zoleg @ 26.02.2017 - 00:12)

Цитата (anikifya @ 26.02.2017 - 00:07)

Цитата

Только лишь бухгалтер откроет это письмо, как во всей локальной сети происходит шифрование баз данных "1С"

прекратите писать хуйню.
у пользователя не должно хватить прав на что то, кроме папки "рабочий стол" и "мои документы"
И уж точно - на открытие портов или запуск левых соединений, или запуск экзешников не из "программ файлз"
Если хватило- это вопрос к админу.

Хватит ходить в вытянутом свитере с отщеренным еблом и починять принтеры.
Время наводить порядок в сети.

обычно базы 1С
ставят на на полные права пользователям в группе, иначе не работает - это DBF.
Что в большинстве используется в 7.7, и на папки с 8 файлами, со своим форматом.
Шифровальщик запускается под пользователем и шифрует все до чего может дотянуться, включая базы данных, где есть доступ.
Так что про свитерок ты рановасто .

Силился вспомнить, как работает файловая база 1с, но не смог- это все было очень, слишком давно

ЗЫ- спросил у яндекса про файловую базу. Почитал.
Мой вердикт: Расстрелять..
Использовать это сейчас нельзя.
Кто использует - советую написать пин-код на своей банковской карте и хранить ее в заднем кармане джинсов.

бэкапы еще не изобрели?
так-то и база может полететь, безо всяких вирусов.
а если не нравится - пользуйся 1с в связке с SQL. Кстати, большие базы в восьмерке файловом варианте безбожно тормозят (на семерке все летало).

[^]

OldGarry

26.02.2017 - 01:32

Статус: Offline

Хуй! Пизда! Социализм!

Регистрация: 19.06.12
Сообщений: 3203

Цитата (JIR @ 26.02.2017 - 01:25)

Цитата (OldGarry @ 26.02.2017 - 01:11)

Цитата (JIR @ 26.02.2017 - 01:06)

Цитата (Sergei07 @ 26.02.2017 - 00:58)

Цитата (madmozgmax @ 26.02.2017 - 00:00)

У нас такое было). После этого тупые админы получили по шапке и увольнение, а бэкап стал раз в 8 часов).

Минобр на аутсорсе, минздрав - ещё хлеще (бабло пилят).
Безопасность обеспечивают ЦОДы.

ЦОДы работают только с данными статистики и отчетности, централизованно поступающими по ведомственным ИС. Все.
Вся остальная информационная текучка обеспечивающая работу всех организаций- бухгалтерия, делопроизводство, архивы, кадры и т.д. и т.п.- зависит исключительно от людей и компов на местах.
До царя далеко, до Бога высоко.©

[^]

l0g0ut

26.02.2017 - 01:33

Статус: Offline

Хохмач

Регистрация: 14.04.15
Сообщений: 711

Цитата (rus2205 @ 26.02.2017 - 01:26)

Цитата (dwag @ 26.02.2017 - 00:01)

Цитата (zoleg @ 25.02.2017 - 23:54)

теневые копии тома (shadow copies) NTFS'а хер они зашифруют, ибо они по умолчанию RO

Если залезет по рдп враг, то легко станет владельцем System Volume Information и даст себе полные права, после чего удалит там все.

Единственное, к чему не удалось получить доступ пока, это теневые копии бэкапов (механизм Windows Image Backup), но там есть консольные комманды для удаления старых бэкапов, через тот же wbadmin

[^]

~~zeleniy63~~	26.02.2017 - 01:33 [ показать ] 0
Статус: Offline Приколист Регистрация: 6.09.13 Сообщений: 211	Год назад наша бухгалтерия словила такой шифровальщик. Выручила лаборатория Касперского, отослали им файл, на следующий день получили скрипт который всё исправил. Никому платить не пришлось.
	[^]

myaso

26.02.2017 - 01:34

Статус: Offline

Юморист

Регистрация: 13.03.13
Сообщений: 510

Цитата (stas1981 @ 26.02.2017 - 01:30)

1 и главное - делай бекапы,сука !!!! каждый вечер сука !!!! ДЕЛАЙ !!!!!!
2 и не мене главное - на дворе уже 2017 год...облачные сервисы весьма доступны и весьма неприступны ...практика показывает что они уже адаптированы для обслуживания бизнеса любого уровня.
3 ДЕЛАЙ БЕКАПЫ СУКА !!!!

У меня всегда на крупных проектах репликация настроена. Сервера сейчас арендуются за копейки - это доступно чуть более чем всем.
Порой, день работы БД (скажем, crm у нас) - это потеря времени, минимум, но и денег. Причем в миллионах.

[^]

Adaril

26.02.2017 - 01:35

Статус: Offline

Хохмач

Регистрация: 29.04.14
Сообщений: 653

Цитата (zoleg @ 25.02.2017 - 22:57)

Цитата (Adaril @ 25.02.2017 - 23:56)

Вопрос - а если у меня 1с на удаленке И там Почта не юзается никакая и вообще файлы не гуляют - риск занести заразу какой?

по сети на сетевые диски гуляет смело данная сифозина, ну и естественно по локальным дискам, но вот по удаленке он еще не могет.

Спасибо,это радует

[^]

OldGarry

26.02.2017 - 01:36

Статус: Offline

Хуй! Пизда! Социализм!

Регистрация: 19.06.12
Сообщений: 3203

Цитата (myaso @ 26.02.2017 - 01:27)

Цитата (OldGarry @ 26.02.2017 - 01:21)

Цитата (myaso @ 26.02.2017 - 01:17)

Цитата (Sergei07 @ 26.02.2017 - 00:58)

Цитата (madmozgmax @ 26.02.2017 - 00:00)

У нас такое было). После этого тупые админы получили по шапке и увольнение, а бэкап стал раз в 8 часов).

Мы тут другой вопрос обсуждаем, если вы не заметили.
Что может позволить себе и ожидать впоследствии- организация, с озвученными мною условиями.
Ваше мнение?

[^]

BattlePorQ

26.02.2017 - 01:37

Статус: Offline

Парасьонах

Регистрация: 20.07.09
Сообщений: 65304

Цитата (Serg196 @ 26.02.2017 - 01:32)

а если не нравится - пользуйся 1с в связке с SQL. Кстати, большие базы в восьмерке файловом варианте безбожно тормозят (на семерке все летало).

PostgreSQL. И сервер 1С под Линуксом. Да и клиенты тоже.

[^]

l0g0ut

26.02.2017 - 01:38

-1

Статус: Offline

Хохмач

Регистрация: 14.04.15
Сообщений: 711

Цитата (Serg196 @ 26.02.2017 - 01:32)

Цитата (anikifya @ 26.02.2017 - 02:25)

Цитата (zoleg @ 26.02.2017 - 00:12)

Цитата (anikifya @ 26.02.2017 - 00:07)

Цитата

Только лишь бухгалтер откроет это письмо, как во всей локальной сети происходит шифрование баз данных "1С"

Силился вспомнить, как работает файловая база 1с, но не смог- это все было очень, слишком давно

SQL...
это ж надо купить, как минимум сервер приложений 1С, а если еще и х64, то это ж 6 зарплат приходящего эникея!

Ах да, если эникей приходящий, то SQL от MS придется покупать

[^]

Понравился пост? Еще больше интересного в Телеграм-канале ЯПлакалъ!

Только зарегистрированные и авторизованные пользователи могут оставлять комментарии. Авторизуйтесь, пожалуйста, или зарегистрируйтесь, если не зарегистрированы.

1 Пользователей читают эту тему (1 Гостей и 0 Скрытых Пользователей)	Просмотры темы: 78051
0 Пользователей: