Ваш компьютер атакован опаснейшим вирусом

давайте сравним количество контор где есть хоть один полноценный системный администратор, и контор где как вы выразились картриджмэн приходит по звонку, а теперь прикиньте , обожглась такая маленькая контора , заплатила вымогателю, попутно договорилась с админом поумнее и подороже соответственно, да еще и прикупила хотя бы один внешний hdd , вы думаете эти затраты владелец из личного кармана выложит? а вот хуй ! за все заплатят клиенты, а поскольку таких контор тысячи, вот вам и общее подорожание

На любом непрофильном сайте найдутся люди которые имеют определенный опыт в обсуждаемом вопросе =)

Это сообщение отредактировал divkrd - 26.02.2017 - 14:13

Ага, отследить сессию если она идет через 10 стран по всему миру, удачи хуле =)

У нас программер ещё в позапрошлом году собрал всех,у кого есть доступ к1ске и популярно обьяснил -никаких вложений в незапланированных письмах не открывать, желательно для подтверждения нормальности письма связыватся с адресатом. И особо подчеркнул - если что,пеняйте на себя, я могу только предупредить,потом помочь не смогу.

Год прошёл без косяков, потом приходит новая бухгалтера - и пизда базам

айтишник вроде с виду не глупый, бэкапы должны были остаться =)

Окай. Ну отследишь ты меня до ТЦ, где я 12 часов назад сидел с ноутом и пил кофе. Дальше что?

в принципе, ограничение прав можно настроить так, что вирус не сможет испортить базы данных 1С.
Сходу рисуется такая схема:

у каждого пользователя - своя учетка (учетка А) с которой он работает на компе. Для запуска 1С есть еще одна учетка (учетка С). Доступ к базе настроен так, что учетка А доступа к базам не имеет. 1С в свою очередь запускается под учеткой С.
В этом случае даже если пользователь под учеткой А запустит троян из почты - у того не будет прав доступа к базе ни при каких обстоятельствах.

Можно я дополню?

Сидел через анонимный впн в бразилии, отдел К увидит бразильский айпи и забьет йух, потому что поиск тебя займет неоправданно много времени и будет стоить неоправданно много денег.

Это сообщение отредактировал divkrd - 26.02.2017 - 14:21

Spora.Ransomware расширения не меняет. Наверное, именно этот казус и поставил в тупик дешифровщиков?

Это говно мамонта шуршало только в путь. В отличие от.

так тупо прав не хватит.
у меня на одном из компов в домене девачка как-то такую хуйню открыла.
и собственно, все что та смогла шифрануть - это файлы юзверя на локальном компе.
а им сто раз говорилось-все критически важное хранится на шарах.так что кроме фоточек с котиками и прочей ненужной херни ничего не пострадало.

Поможет, если правильно настроены права доступа.

Really? 0day?

это утопия.
если в день сотруднику приходится работать хотя бы с сотней писем-никто не будет убивать столько времени на подтверждение.
это называется свою работу на других взвалить.

Не вариант.
В бюджетной сфере, директора сами зачастую готовы отсасывать у работников- лишь бы только сохранить их опыт на этих местах за ЭТУ зарплату. Замену им брать негде и обучать- некогда и некому.

Странно, запускает скрипт долбоёп бухгалтер, а платит начальство.
Само ни чего не запускается, даже если открыть письмо, всё равно требуется запустить выполнение скрипта или программы, открыть файл и проигнорировать предупреждение системы.

Нет, это называется "организационные методы обеспечения информационной безопасности", это именно то что делают специалисты по информационной безопасности которые знают свое дело хотя бы в теории.

Ну что ж, давайте на чистоту, по-взрослому.
AES, который Вы так явно прорекламировали, и его разновидности является по-сути блочным помехозащищающим кодированием, адаптированным для применения к шифрованию.
Что он делает, кратенько:
строит двумерный массив из потока входных данных
каждый элемент массива заменяет на элемент из другого массива по поределённому правилу. Жесткому, обратимому, зависимому от ключа, то есть обрабатывает массив, накладывая ключ (на самом деле чуть сложнее, там матричное байтовое умножение)
производит нелинейный циклический сдвиг строк массива, при чём каждая строка сдвигается на количество, взятое из специальной таблицы
перетасовывает слобцы матрицы
накладывает сгенерированный расширенный ключ, основанный на ключе шифрования.
итоговый поток выдаётся как результат
Это если в двух словах.
Криптостойскость зашифрованной информации основывается практически только на длине ключа. Не имея исходного файла, "взломать" выходной поток действительно можно только перебором, что займёт дохреналиард времени.
Однако, проанализируем другую ситуацию: у нас есть исходный поток. Напоминаю, стойкость шифрования определяется длиной ключа. Представьте, что входной файл имеет размер меньше длины ключа. Например, 2 или 4 байта. Те самые 2 или 4 байта, которые известны для начала файла. Если обратиться к порядку действий алгоритма, станет понятно, что в таком случае ключ, сколь бы он ни был длинным, не может быть наложен на входной поток целиком, то есть реальная стойкость ограничена именно размером входного файла, и первые несколько бит ключа спокойно находятся даже простым перебором, хотя реально надо вместо перебора строить матрицу наложения ключа для последующего взлома.
Уже на этом этапе стойкость ключа снижается в 16-32 раза, и дальнейшая атака простым перебором не представляется делом прям заоблачно длительным. Но мы не идём простым путём, благо у нас есть сам алгоритм исходного шифрования, и первую строчку в блоке блочного кода мы можем восстановить просто за счёт отсутствия её смещения при нелинейном циклическом сдвиге. Это позволяет снизить стойкость ключа ещё на пару-тройку порядков...
Впрочем, дальше рассказывать не буду, кто захочет разобраться в стойкости шифрования при наличии исходного сообщения и алгоритма - тот сам разберётся. Я лишь приведу пару цитат, как итог других подходов к атакам шифрования:

Важно вот что: алгоритмы шифрования, используемые при вирусных атаках не имеют практически ничего общего с новомодными способами по одной простой причине: они их не содержат. Наличие отдельной процедуры шифрования информации в теле вируса настолько же палевно, насколько палевно выглядит волчий хвост, торчащий из-под овечьей шкуры.
Js вирусняки-шифровальщики вообще не пользуются своими модулями - либо системными библиотеками, либо загружаемыми снаружи. Они лишь содержать инструкции, какой алгоритм и с какими параметрами использовать, где взять ключ для шифрования. Однако в системных библиотеках ни о каком шифровании по ГОСТам речи нет, а в загружаемых снаружи... Для этого нужен полноценный бэкдор, который чаще используют более продуктивно, нежели по-быстрому подкинуть процедуру шифрования.
Почему существуют подобные вирусняки? Потому, что заплатить за ключ дешевле, чем заплатить за взлом зашифрованной информации. Я не зря обращаю внимание на декомпиляцию алгоритма, это довольно долгий и дорогой процесс.
Нанять программиста на такую задачу или же заплатить производителям антивирусного ПО (на самом деле одно и то же) обойдётся раз в 10 дороже той суммы, которую требуют вымогатели.
С другой стороны, если мои файлы зашифруют и попросят за расшифровку 500-700 тысяч рублей, я со спокойной душой пошлю зловредов нафиг и потрачу 30-50 тыс. на нормальный анализ кода и выцепление ключа.

Это не паранойя.

Он может быть виден, но он не должен быть доступен для модификации.

Прокатит. Но вирусы совершенствуются, поэтому нужно не жопой вилять, а титановые трусы надевать.

Гы-гы!Очередной способ обхода Windows AppLocker

сетевые шары тоже успешно шифруются.

У нас бухи работают в 1С по RDP ) чего и вам советую ))

Ну сколько можно, блять, права доступа еще не изобрели?