Ваш компьютер атакован опаснейшим вирусом


Страницы: (29) « Первая ... 14 15 [16] 17 18 ... Последняя »	[ ОТВЕТИТЬ ] [ НОВАЯ ТЕМА ]

Druid84

26.02.2017 - 13:05

Статус: Offline

Приколист

Регистрация: 1.02.12
Сообщений: 365

Цитата (Kraftway @ 26.02.2017 - 13:46)

Обычно изменяемый файл просто удаляется и вместо него создается новый с изменениями. Можно попробовать восстановить удаленные файлы в оригинале, хотя скорее всего вирус затирает удаленные, но вдруг получится.

Сейчас вирусы не затираю файлы, а шифруют именно оригинал.
+ Если у человека локальный административный доступ. Удаляет shadowcopy

[^]

Ungydrid

26.02.2017 - 13:07

Статус: Offline

Мана-мана! Тыц-тыц-тырым!

Регистрация: 8.11.07
Сообщений: 16127

Цитата (hmickl @ 26.02.2017 - 12:37)

Цитата (Serg196 @ 26.02.2017 - 02:36)

Цитата (НищийДухом @ 26.02.2017 - 03:02)

На предыдущей работе занимался немного администрированием 1С и использовал для бэкапа баз Effector Saver - очень хорошая и удобная штука, а лицензия стоит дёшево. ВОПРОС: у кого-нибудь есть опыт оплаты требуемой суммы шантажистам с последующим реальным восстановлением данных? Им же ничего не мешает нахуй послать после перечисления денег. Очень интересно.

смотри на сайтах антивирусов. там обычно расписано, кто наебывает, а кто нет. а сначала посмотри, нельзя ли расшифровать без помощи мошенников.

Задавался таким вопросом тоже. Но найденные три фирмы, которые анонсируют себя как единственную и расшифровывающую все и вся на обращение ответили отказом. Одним надо админский по RDP ..."для анализа ситуации...", вторые попросили несколько файлов и тоже отказались по причине воздействия на них посторонних программ типа антивирей или еще каких-то, третья запросила несколько файлов но возвратила один из образцов расшифрованным. Ценник поставили в три раза больше чем был выставлен приславшими шифровальщик. Причем фирма анонсирует себя как работающая с самыми распространенными видами шифровальщиков. Значит существует какой-то алгоритм, позволяющий извлечь ключи шифрования и расшифровать.

Ну да. И называется он - "сам заражаю, сам лечу"
Почитай за криптохуйню и время существования Вселенной. Вот такой "алгоритм"

[^]

ПТУР

26.02.2017 - 13:07

Статус: Offline

Балагур

Регистрация: 2.10.14
Сообщений: 902

Цитата (BETEP @ 26.02.2017 - 00:03)

Я, будучи админом, немало хватанул от этих пидарасов. Но вот что характерно: запустить процесс шифрования может только человек (своими кривыми руками), обычно это любопытная бухгалтерша. Лекарства, кроме бэкапов, от этого нет. Главное-убедить начальство, что проблема не техническая, а административная (нехуй лазить и открывать вложения), деньги всё равно конторские, пусть платят.

Обидно, конечно за свою сеть, но ........

Админ и картридж мэн это разные должности)

[^]

~~chabh~~	26.02.2017 - 13:09 [ показать ] 0
Статус: Offline Ярила Регистрация: 5.03.14 Сообщений: 1100	А с каких пор налоговая письма на электронку шлет?
	[^]

avantjurist	26.02.2017 - 13:10 [ показать ] 0
Статус: Offline Юморист Регистрация: 21.01.15 Сообщений: 542	100к рублей с нас попросили, убили весь комп с технической документацией...
	[^]

divkrd

26.02.2017 - 13:10

Статус: Offline

Хохмач

Регистрация: 22.01.15
Сообщений: 791

Цитата (Druid84 @ 26.02.2017 - 13:00)

Цитата (НищийДухом @ 26.02.2017 - 02:02)

Есть реальный опыт оплаты и востановления.

А дело было так.
Вечер среда. Технический директор общается с менеджером другой организации по почте, для выставления счета на оборудования.

Утро четверг. Приходит письмо от этой мадмуазель, такого содержания "Счет во вложении". Причем автор письма она, подпись совершенно идентична с оригиналом. Да еще и переписка сохранена.
Директор недолго думая запускает вложение. И естественно шифруется doc и xls файлы. Причем вирус не тронул не jpg не pdf. Также зашифровал флешку с очень важной информацией которая была только в единственном экземпляре. Все остальное востановили из скрытых копий. Так же вирус попытался зашифровать сетевые диски, но была сделана защита от изменения файлов на сетевых хранилищах. То есть ты можешь туда записать файл, но изменить внутри сетевого доступа ты его не можешь. Только создать новый.
Из-за флешки пришлось платить. сумма вышла 10 т.р.

А получилось так.
Взломали почтовый ящик этой мадмуазель. скопировали всю ее переписку и контакты. Создав почтовый ящик на забугорном сервере от ее имени, сделали рассылку.

Кстати вирус пошел совсем недавно. Называется Spora. Постоянно модифицируется под разные задачи. Так что аккуратно.

Год назад была похожая ситуация, мне на личную почту пришло письмо с рабочей почты моего бывшего коллеги, с просьбой подписать какие-то документы, а в приложение файл вида счет_фактура_блаблабла.doc.js, я в целом воробей стрелянный, во первых я уже там не работаю, поэтому он не стал бы мне слать доки на подпись, да и расширения файлов всегда вижу поэтому файл даблкликом открывать не стал, открыл его блокнотом, посмотрел на скрипт который мне прислали, и мимоходом позвонил коллеге, выяснилось что его почту взломали.

А примерно в это же время на моей старой работе филиал поймал такой же вирус, но люди по незнанию запустили файл и получили шифровку всех файлов в том числе и баз 1С.

В общем суть в чем? Суть в том что кто предупрежден, тот вооружен. Главный принцип которым должны руководствоваться все сотрудники от секретутки до ген дира - не открвай файлы в письме которого не ждешь.

Это сообщение отредактировал divkrd - 26.02.2017 - 13:13

[^]

Лeшbiй

26.02.2017 - 13:11

Статус: Offline

Ярила

Регистрация: 3.07.16
Сообщений: 1774

Цитата (RAMI @ 26.02.2017 - 13:39)

Цитата (Лeшbiй @ 26.02.2017 - 12:25)

Цитата (sparrow85 @ 26.02.2017 - 01:18)

Вторая страница, а адептов Линукса что-то не слыхать... Они обычно сильно бью себя в грудь в подобных темах.

А что тут сказать то... Со стороны пользователей Линукса вся эта ваша тема выражается словами - мыши, кактус, колоться, но всё равно продолжать жрать.

Да линукс многим хорош для работы, но вот для него нет 1С, которая сейчас наверное единственная бухгалтерская софтина и она вроде как не умеет работать в линуксе (сейчас не знаю, но раньше не работала).

http://howknow1c.ru/nastroika-1c/ustanovka...ЮТУ-linux.html

[^]

Feika

26.02.2017 - 13:11

Статус: Offline

Ярила

Регистрация: 26.01.12
Сообщений: 1369

Цитата (2tall @ 26.02.2017 - 12:54)

А настроить почтовый сервер так, чтобы вложения популярных для шифровальщиков форматов автоматически удалялись - никак?

ну можно на дрочить spamassassin, что если к файлу есть вложения и он проходит с новых до сели не известных адресов, то письмо переместиться в папку проверок, а дальше или автоматизировать скриптами или сам ставь ему ацепт и давай зеленый.

[^]

dwag

26.02.2017 - 13:12

Статус: Offline

Ярила

Регистрация: 16.04.13
Сообщений: 2091

Цитата (Kraftway @ 26.02.2017 - 12:46)

Раньше это может и работало, когда вся эта хрень только появилась. Современные шифровальщики исключают любую возможность попытки восстановления, да и сами самоуничтожаются после того как всё закодировали, чтобы труднее было понять что за хрень конкретно попала в комп, их много разных.
Только бэкапы и лучше на внешние носители.

[^]

Druid84

26.02.2017 - 13:13

Статус: Offline

Приколист

Регистрация: 1.02.12
Сообщений: 365

Цитата (olse @ 26.02.2017 - 14:03)

Цитата (RiDE43YFR25 @ 26.02.2017 - 10:15)

Цитата (Виконт @ 26.02.2017 - 09:03)

тут писали что якобы каспер помог с расшифровкой, на 99,9999999% уверен что пиздеж!

а вообще уже заебали пидоры из за которых я вынужден увеличивать свои затраты на бэкапы и прочее

нет, не те пидоры что эти вирусы пишут, а в первую очередь производители платных антивирусов , которые берут деньги, но нихуя не делают и ни за что не отвечают!
также нихуя мышей не ловят разные отделы к и прочие спецслужбы, нет, наверно огрызок медведева они надежно охраняют, а в остальном их мозгов хватает только репосты отслеживать да провокации устраивать с установкой левого софта

Не мое

"Умные вообще их не ставят ибо толку все одно никакого давно нет. Тот же Касперский в приватных беседах корпоративным клиентам это открыто говорит: дистрибутивы для профита, а вот обеспечить безопасность вашей организации могу только если будет он-лайн подключка и мои спецы будут вас пасти 24 часа в сутки. Остальное в топку. Ну и смысл? Только для дураков, но их много и он им нужен, остальным похуй."

Именно, что не твое. Это из разряда легенд у ночного костра после третьего стакана. В десятый раз повторяю - антивирус не панацея и не решение всех бед, от запрета запуска простого эксплойта до геморроя вашей бабушки-соседки.

Все, у кого подгарает от Каспера, к примеру, как то вот забыли (а может, просто были слишком молоды в то время) про, эпидемию кидошечки например в свое время.... и таких примеров масса.

Не скрою, я сам Каспера недолюбливал, хотя на тот момент он и был монструозным чудовищем. Но с тех пор прошло много лет и компания очеь выросла. Мне есть с чем сравнивать. Кроме того, меня дважды приглашали тестировать их новые продукты. Очень адекватные ребята, хочу сказать.

Если они так уж вас, всепропальщиков, наебать пытаются - подскажи пожалуйста, на кой хуй они тратят немалые средства на внештатные тесты и учеты мнений людей со стороны? В голову не приходило, не?

Так что, ты подобные байки можешь однополчанам-подгоральщикам травить. У адекватных людей они кроме улыбки ничего не вызывают.

Меня кстати каспер во времена kido очень даже спас. Заразился один компьютер, но каспер не дал распространится этой заразе по всей сети. Как только kido пытался атаковать компьютер по 139 порту. Каспер блочил подключение сетевым фильтром.

[^]

PrimatIG	26.02.2017 - 13:14 [ показать ] 1
Статус: Offline Бездельник Регистрация: 19.12.14 Сообщений: 918	Мне только такие попадаются, один раз послал СМСку на на указанный номер: "Ну ты и мудак".
	[^]

olse

26.02.2017 - 13:14

Статус: Offline

Главстаршина

Регистрация: 6.09.14
Сообщений: 1085

Цитата (BattlePorQ @ 26.02.2017 - 02:59)

Цитата (JIR @ 26.02.2017 - 02:54)

Именно, что в зачатке))
Ничё, что лес это фишка АД?)

Посмотрим по месту. Текущего функционала достаточно. Винда стоит безумных денег, и ну её вхуй.

Винда уже стоит вполне вменяемых денег. Штука в том, что если не приведи небеса, уважаемый BattlePorQ, скажем, влюбится в прекрасную молодую Гаитянку, упорется ромом, бросит все и уедет на ПМЖ в Порт-о-Пренс, не предупредив руководство...

То человек, который придет на его место будет наверняка не один день разбираться в костылях с зачатками леса, который в отличии от нормального будет напоминать карликовые леса тундры, говоря при этом нехорошие слова и поминая всуе RFC 4513....

И да, к слову. Group Policy охуенны :)

[^]

manager2

26.02.2017 - 13:15

Статус: Offline

Ярила

Регистрация: 30.03.05
Сообщений: 25446

Цитата (dwag @ 26.02.2017 - 00:01)

Бэкап лучше создавать на внешний носитель и извлекать по окончании создания. У нас всю инфу вместе с бэкапами закодировали, пришлось 50к отвалить.

нахера?
в сетевую папку под отдельной учеткой
или в зону безопасности Акрониса
да, куча вариантов, куда шифровальщик не дотянется

[^]

Feika

26.02.2017 - 13:15

Статус: Offline

Ярила

Регистрация: 26.01.12
Сообщений: 1369

Цитата (Druid84 @ 26.02.2017 - 13:00)

А получилось так.
Взломали почтовый ящик этой мадмуазель. скопировали всю ее переписку и контакты. Создав почтовый ящик на забугорном сервере от ее имени, сделали рассылку.

Кстати вирус пошел совсем недавно. Называется Spora. Постоянно модифицируется под разные задачи. Так что аккуратно.

dkim и spf сразу бы зарубили на корню, не верю, если только с ящика мадмуазель, не отправили.

[^]

bender376

26.02.2017 - 13:15

Статус: Offline

Ярила

Регистрация: 1.08.13
Сообщений: 12701

Цитата (Басаревъ @ 26.02.2017 - 13:04)

Так переходите на Лялех. До него вирусам не добраться никогда.

с чего бы вдруг?
Анекдот про неуловимого Джо знаешь? Как только процент наличия линупса на рынке десктопов станет коммерчески выгодным, его сожрут моментально. Причем линукс свалится в разы быстрее. Т.к. линукс предполагает наличия довольно приличных знаний об ОС и ее окружении. В том числе и со стороны взломщика. А поскольку юзер в большинстве своем беспечное животное, то... Тот же андроид тому подтверждение.
Так то линуксовые сервера ломаются, часто и успешно, другое дело что это скажем не так явно афишируется пока в силу свой малочисленности и закрытости. Но там если ломают, то ломают, убытки колоссальные.

Это сообщение отредактировал bender376 - 26.02.2017 - 13:17

[^]

divkrd

26.02.2017 - 13:15

Статус: Offline

Хохмач

Регистрация: 22.01.15
Сообщений: 791

Цитата (Druid84 @ 26.02.2017 - 13:13)

Цитата (olse @ 26.02.2017 - 14:03)

Цитата (RiDE43YFR25 @ 26.02.2017 - 10:15)

Цитата (Виконт @ 26.02.2017 - 09:03)

А я один раз по молодости поймал вирус который убивал все экзешники, каспер его конечно поймал, но после того как вирус убил все экзешники на шаре, поэтому я к любым антивирусам отношусь скептически, как дополнительный барьер их можно использовать, но как панацею их воспринимать очень опасно

Это сообщение отредактировал divkrd - 26.02.2017 - 13:16

[^]

znanio	26.02.2017 - 13:19 [ показать ] 1
Статус: Offline Приколист Регистрация: 13.11.13 Сообщений: 263	вопрос: а какого хуя бухгалтерша пытаясь посмотреть .док запускает джаваскрипт? у неё совсем что ли мозгов нет?? может это всётаки не в плохих админах дело? может и бухгалтершам по шапке надавать, чтобы хуйню не творили?
	[^]

Prizm08

26.02.2017 - 13:20

Статус: Offline

Балагур

Регистрация: 30.07.08
Сообщений: 855

Цитата (chabh @ 25.02.2017 - 22:09)

А с каких пор налоговая письма на электронку шлет?

налоговая и приставы это еще фигня.. на контору ваще пришло письмо от следственного комитета... типа: "Извещение о возбуждении уголовного дела.pdf.js" )))

[^]

prosvet

26.02.2017 - 13:21

Статус: Offline

Ярила

Регистрация: 26.04.14
Сообщений: 5291

Цитата (olse @ 26.02.2017 - 13:03)

Не скрою, я сам Каспера недолюбливал, хотя на тот момент он и был монструозным чудовищем.
Но с тех пор прошло много лет и компания очеь выросла.
Мне есть с чем сравнивать. Кроме того, меня дважды приглашали тестировать их новые продукты.
Очень адекватные ребята, хочу сказать.

колюсь, но продолжаю кусать Касперского и его компанию...
ребята неадекватные - что в техподдержке, что в среднем звене
на форуме полный бесспредел модераторов-любителей помахать модераторской палочкой :(
тестировать их новые продукты может любой желающий... называется любительское бэта-тестирование.

Антивирус полезен как обновляемая база уже известных вирусов - против неизвестных зловредных программ неэффективен.

[^]

Psiho	26.02.2017 - 13:30 [ показать ] 0
Статус: Online Ярила Регистрация: 20.03.07 Сообщений: 1268	Опять 25... Не устану повторять, что лучшее средство от шифровальщиков - внедрение SRP Для возмущающихся бездействием антивирусов - для них шифровальщик выглядит как запуск пользователем некоей программы с пакетной обработкой файлов. Малоотличимо от архиватора по сути. Наверно можно определить по сигнатурам стандартные библиотеки шифрования и выводить предупреждение - но хз. В любом случае, любые ухищрения в способах доставки вируса на комп жертвы сводятся к тому, что исполняемый файл будет запускаться не из Program Files и не из Windows (в НОРМЕ у них тупо прав не хватит). SRP позволяет запретить запуск программ вне указанных папок. А попасть туда они могут только с админскими привилегиями. Для редакций Windows не поддерживающих SRP/домен, есть уже описанная в данном топике программулина - CryptoPrevent.
	[^]

olse

26.02.2017 - 13:30

Статус: Offline

Главстаршина

Регистрация: 6.09.14
Сообщений: 1085

Цитата (prosvet @ 26.02.2017 - 13:21)

Цитата (olse @ 26.02.2017 - 13:03)

Я немного о другом тестировании, непосредственно в офисе в диалоге с разрабами. Ну да ладно.

Я не знаю, как мне еще написать, что антивирус лишь одна составляющая в комплексе мер ИБ? Не единственная, но полезная. Зачем ты опять повторяешь очевидные вещи, хотя о них писали еще на первых страницах?

Это сообщение отредактировал olse - 26.02.2017 - 13:34

[^]

Druid84

26.02.2017 - 13:33

Статус: Offline

Приколист

Регистрация: 1.02.12
Сообщений: 365

Цитата (LazYap @ 26.02.2017 - 13:16)

Цитата (Archikoff @ 26.02.2017 - 12:08)

Цитата (2419217 @ 26.02.2017 - 11:03)

Если кто-то придумал, как зашифровать, обязательно найдется тот, кто расшифрует. Иначе быть не может. Просто кому надо этим заниматься даром? Но рано или поздно найдется и тот, кто заплатит стороннему программисту, может быть, и сумму побольше, чем требуют вымогатели (просто из принципа, чтобы не платить преступникам).

Таки с ключами проблема, что их надо перебирать, а для этого нет чудо программы, брутфорс пароля требует огромных ресурсов и времени, мало директоров согласится ждать 10-20-30 суток, чтобы высчитать пароль + если алгоритм изменен. Короче, проще заплатить - дать пизды бухгалтеру. Или восстановить бэкап + дать пизды бухгалтеру.

По факту пизды получит не бухгалтерша, а мудак-одмин ибо не предусмотрел, не предупредил, не провел работу с сотруднками, проебал бекапы. А бухгалтерша скажет, что ее дело делать отчеты и сдавать вовремя НД и на инфобезопасность у нее нет времени. И она будет права.

То есть повашему:
Бухгалтерша купила права, машину, села за руль, сбила пешеходов и она оправдана??? Ведь она бухгалтерша и у нее нет времени учить пдд?

Знание элементарных правил по видения за компьютером, в интернете и информационной безопасности должен знать каждый пользователь. В резюме что написано??? Не уж та ли уверенный пользователь ПК!!!

[^]

olse

26.02.2017 - 13:33

Статус: Offline

Главстаршина

Регистрация: 6.09.14
Сообщений: 1085

Цитата (Psiho @ 26.02.2017 - 13:30)

Опять 25... Не устану повторять, что лучшее средство от шифровальщиков - внедрение SRP

Для возмущающихся бездействием антивирусов - для них шифровальщик выглядит как запуск пользователем некоей программы с пакетной обработкой файлов. Малоотличимо от архиватора по сути. Наверно можно определить по сигнатурам стандартные библиотеки шифрования и выводить предупреждение - но хз.

В любом случае, любые ухищрения в способах доставки вируса на комп жертвы сводятся к тому, что исполняемый файл будет запускаться не из Program Files и не из Windows (в НОРМЕ у них тупо прав не хватит). SRP позволяет запретить запуск программ вне указанных папок. А попасть туда они могут только с админскими привилегиями. Для редакций Windows не поддерживающих SRP/домен, есть уже описанная в данном топике программулина - CryptoPrevent.

Ну и AppLocker до кучи :)

[^]

divkrd

26.02.2017 - 13:35

Статус: Offline

Хохмач

Регистрация: 22.01.15
Сообщений: 791

Цитата (Psiho @ 26.02.2017 - 13:30)

Это справедливо только для приложений, большинство шифровальщиков это ява скрипты(да и вообще скрипты), которые используют функционал самой операционной системы для шифрования файлов. В этой ситуации наиболее действенным методом будет запрет запуска любых скриптов неавторизованными пользователями на уровне групповых политик операционной системы.

[^]

Kalyu4ii

26.02.2017 - 13:37

Статус: Offline

Ярила

Регистрация: 2.05.14
Сообщений: 2138

Цитата (zoleg @ 25.02.2017 - 23:57)

Цитата (Adaril @ 25.02.2017 - 23:56)

Вопрос - а если у меня 1с на удаленке И там Почта не юзается никакая и вообще файлы не гуляют - риск занести заразу какой?

по сети на сетевые диски гуляет смело данная сифозина, ну и естественно по локальным дискам, но вот по удаленке он еще не могет.

Могёт, ещё как могёт! Последняя версия вируса, которая открывает удаленный доступ к вашему компу для злоумышленника. Тот подключается и шифруем все что находит. Уже несколько фирм попали. Но было и так: есть терминальный сервер и к нему напрямую подключен сервер 1С SQL вот на терминальном все зашифровало, а вот 1с SQL остался не тронутым. Причем у всех шифровало сервера ночью, а вот компы во время простоя.

[^]

Понравился пост? Еще больше интересного в Телеграм-канале ЯПлакалъ!

Только зарегистрированные и авторизованные пользователи могут оставлять комментарии. Авторизуйтесь, пожалуйста, или зарегистрируйтесь, если не зарегистрированы.

1 Пользователей читают эту тему (1 Гостей и 0 Скрытых Пользователей)	Просмотры темы: 78071
0 Пользователей: