Предохраняемся от Пети с Мишей

ТС, спасибо! Разослал по своим!

У наших админов очень даже достойная зп и штат большой, однако в начале этой неделе всем нашим системам это не помешало лечь из-за вирусной атаки. Да, админы всё исправили, но практически сутки простоя для IT компании это не шутки.
Ну и касательно этих вредных советов тут уже все кому не лень отписался.

А теперь все тоже самое только с конкретными мерами как для корпоративных так и для домашних пользователей.

0. не давать юзерам админских прав!

Защищаю дистанционно по номеру карты и трем цифрам на обороте.

135 - Netbios over TCP....Remote Assistance юзает. Скуль ещё активно использует.
При закрытии 445го - прощайте шары.

Это сообщение отредактировал Solmar - 28.06.2017 - 09:47

А хакеры и вирусы это одно и тоже?
И по сути: имею хренову тучу знакомых и друзей, занимающихся некрупным частным бизнесом и ставших жертвами вирусов-шифровальщиков. Так что не обманывайте себя и других мнимой безопасностью.

Это сообщение отредактировал Комендор - 28.06.2017 - 10:24

Недавно ж была тема, где ссылка на скрипт в письме удачно замаскировалась под пдф-файл.
Ну а скрипт - это скрипт. Он, что захотел автор, то и сделает. Запускать скрипт на исполнение будет юзер, ткнув мышкой на, как ему кажется, ссылку на пдф.

Это сообщение отредактировал Фрэнсис - 28.06.2017 - 09:44

С wiki

https://ru.wikipedia.org/wiki/Список_портов_TCP_и_UDP

135/TCP,UDP EPMAP (DCE[en] Endpoint Mapper) Официально
135/TCP,UDP MSRPC (Microsoft RPC[6]) — используется в приложениях «клиент—сервер» Microsoft (например, Exchange) Неофициально
135/TCP,UDP LOC-SRV (Locator service) — используется службами удалённого обслуживания (DHCP, DNS, WINS и т.д.) Неофициально

139/TCP,UDP NETBIOS-SSN (NetBIOS Session Service) Официально

Хотя вот тут ( http://sysadmins.ru/topic393164.html ) пишут, что это RPC TCP, тогда согласен, его лучше тоже закрыть от греха подальше

Разговор про конфиндициальность в другом месте.
Тут речь именно о сохранении данных.

Есть что скрывать, храни данные в защищенных местах. Просто пользователю и облака хватит. Ессоно интимные фотки сливать туда не надо. Думаю догадаются.

Это сообщение отредактировал kottor45 - 28.06.2017 - 09:56

Да вообще прямой проброс портов снаружи внутрь ИМХО ебануто. Зачем это делать? VPN есть для доступа. А ФТП (если таковой есть) вообще лучше ЗА сегментом безопасности размещать.

А это мну ВСЕГДа стебало, когда одмины думают только о внешнем периметре, наглухо отрубая фаерволы на внутреннюю сеть, говоря "А че, онаж внутри"

А этот вирусняк случаем не попытка микрософта навязать свои обновления?

Ага, придуманная иллюминатами чтоб все люди в мире ставили себе аугументации. Большей части этих дыр уже лет больше чем седьмой винде. И их уже обсасывали вдоль и поперек.

VampirBFW

vpn в случае заражения удаленной сети не спасет, а только усугубит. но, соглашусь, что вот эти конкретно порты через vpn пробрасывать смысла нет

Нет, но они в теме А вообще, все эти свежие шифровальщики (Petya.A/C, Ваня ) это всего лишь проба сил. Хакеры уже денег получили за написание вируса - шифровальщика! Кстати, шифрование априори, не является вирусным действием, а вот метод распространения - является.

Есть такая штука KMS называется. если даже активация слетит KMS можно снова запустить.

обнов с самого начала не ставил, проверился - всё закрыто

не все обновы кмс лечит, емнип

Пока с этим проблем не было Единственно win 7 64. Но от 7рок пару лет уже отказались.

Это сообщение отредактировал kottor45 - 28.06.2017 - 10:13

В нутри сети Петя распространяется при помощи PsExec и WMI. Учётки добывает себе Mimikatz'ем

Если сеть большая то на всех компах сети нужно все закрывать.

Первое что нужно сделать, это настроить поведенчиские алгоритмы внутренней системы защиты. У меня например при изменении более 10 файлов в течении 30 секунд выполнение программы будет остановлено.

свой совет засунь себе в одно место. У нас два очень грамотных админа с нормальной зарплатой. Однако, это не помешало предприятию "лечь" за 20 минут! И никаких писем, вложений, ничего - компы просто начали перезагрузку сами. Самое страшное - легли компьютеры, с которых ведется управление оборудованием, а это уже аварийная ситуация, могут люди пострадать. Ничего даже выключить нельзя было, чудом остался один, был на ХР, через него останавливали весь завод! И да, МБР капец. Стандартные фиксы ни к чему не приводят. Диск Ц или Д - по фиг. Процентов 30 файлов живые остались, там в расширениях дело. 1С - убит. А если такая фигня на АЭС, что будет? Администратор, блин. Ты мудрый совет дай, что делать, а не про зарплату ной. Давай, я возьму тебя на работу, 3000$ в месяц дам. Сачком успеешь отловить такое?

Это сообщение отредактировал backs - 28.06.2017 - 10:30

Хороший совет

На дебиан что ли переползти, на резервной машине, от греха...
Кстати, 1 Тб на халяву в облаке, не так давно, можно было по акции получить в вечное пользование, в одном из отечественных облачных сервисов.
Само собой перед заливкой в облако конфиденциальную инфу самому зашифровать можно и на куски попилить...

Это сообщение отредактировал Exemperis - 28.06.2017 - 11:08