Компьютерный форум OSzone.net  

Компьютерный форум OSzone.net (http://forum.oszone.net/index.php)
-   Защита компьютерных систем (http://forum.oszone.net/forumdisplay.php?f=20)
-   -   Шифровальщик появляется каждый месяц (http://forum.oszone.net/showthread.php?t=338346)

s.i.p.a 21-12-2018 10:49 2847320

Шифровальщик появляется каждый месяц
 
Помогите побороть заразу.
С периодичностью раз в месяц шифруется сервер. Копии делаются на qnap, по этому беда не большая. но тратится время на восстановление информации из копий. Очень достало. Выявить разносчика не представляется возможным. Шифровалщик 2 раза был Джон Траволта, в последний раз Бенджамин Джек.
Что имеем:
Есть сервер 2008r2. На нём установлен симантек который и антивирус, и фаервол. Клиенты работают в локальной сети с 1С, клиент-банками и имеют в доступе одну расшаренную общую папку. Извне доступ только через керио впн клиент.
Права админа только у админа.

ShaddyR 21-12-2018 14:03 2847365

Права раздавались по принципу "всем - всё" или как-то по-другому? Applocker никак не настраивается?

s.i.p.a 26-12-2018 11:53 2848340

Цитата:

Цитата ShaddyR
Права раздавались по принципу "всем - всё" или как-то по-другому? Applocker никак не настраивается? »

Нет. пользователь может запускать только 1С и клиент банки. Так же имеет доступ к одной папке общей. Остольные права отключены. Не может пользователь зайти в папку другую, либо на другой диск, либо запустить exe-шник левый. Что можно в Applocker добавить? Все расширения в запрещенные кинуть?

s.i.p.a 26-12-2018 17:00 2848423

Сегодня обнаружил несколько интересных вещей.
1) symantec endpoint protection не работает. т.е. вообще не работает. Не запускается, даже пропал в программах и компонентах, хотя в трее значёк висит. При попытке запуска кричит, что не хватает разных dll.
2) Появился в папке c:\Users\Администратор\Music\ интересный архив nat2.zip. антималваре пишет что это майнер. Но я сомневаюсь. Для справки, пользователь Администратор не используется никем.
3)Проверял 20-го числа нинкаких угроз не было. Пришёл сегодня проверил, не работает антивирус и появился этот файл.

p.s. вирус убрал

mwz 26-12-2018 17:05 2848425

s.i.p.a, не надо прикреплять архивы с трянами при неограниченном доступе к архивам — и даже с подозрениями на троянов. Не говоря уж о прочем, это даже на статью УК тянет.

s.i.p.a 26-12-2018 17:16 2848428

Цитата:

Цитата mwz
s.i.p.a, не надо прикреплять архивы с трянами при неограниченном доступе к архивам — и даже с подозрениями на троянов. Не говоря уж о прочем, это даже на статью УК тянет. »

эээм, вроде взрослые люди и если там написано файл с вирусом, то зачем его открывать если ты не уверен что сможешь безопасно его открыть? Но ваше беспокойство я понимаю, если посоветуйте как ограничить к нему доступ или проконсультируете как правильно поступить с этим архивом - буду благодарен.

mwz 26-12-2018 18:04 2848434

Цитата:

Цитата s.i.p.a
то зачем его открывать если ты не уверен что сможешь безопасно его открыть? »

Трояны интересуют не только порядочных людей...
Да и с ними вообще в раздел http://forum.oszone.net/forum-87.html

А отсюда ссылку на архив всё же уберите.

PS
Ну на сервере их собственный антивирь убрал.

ShaddyR 27-12-2018 00:26 2848482

Цитата:

Цитата s.i.p.a
пользователь может запускать только 1С и клиент банки. Так же имеет доступ к одной папке общей. Остольные права отключены. Не может пользователь зайти в папку другую, либо на другой диск, либо запустить exe-шник левый »

значит, может. Не обязательно exe'шник, сойдёт и яваскрипт. Опять же, если под админской УЗ что-то создалось - тогда к апплокеру вопросов нет, ибо не обязан по-умолчанию следить за старшенькими.

Рыжик 16-01-2019 01:02 2852543

Пользуйтесь касперским, я "поставил и забыл". Вирусы хватает на лету, отражает неплохо сетевые атаки и прочий мусор летящий с интернета. Купите, настройте и пользуйтесь, он обновляется сам каждые два часа. Что хорошо, блокирует скрытые установки рекламного софта. Взломать его самозащиту невозможно. Не просто так на него повесили "санкции", очерняют некоторые не чистые на руку компании и тд.

eco 22-01-2019 21:49 2853840

Цитата:

Цитата Рыжик
Взломать его самозащиту невозможно. »

Как 2 пальца об асфальт.
Цитата:

Цитата Рыжик
касперским »

Каким именно?
Цитата:

Цитата Рыжик
Что хорошо, блокирует скрытые установки рекламного софта. »

Да ну?

Рыжик 26-01-2019 06:04 2854671

eco, у меня тотал стоит, да, установки блокирует(не все, кроме архивов), каспер сообщит об этом в уведомлении в нижнем правом углу экрана, снимает галочки иногда сам, а так просто блокирует запуск установщика, спрашивает - запретить или разрешить. Амиго на дух не переносит, хороший антивирус. Встроенный ад блок и тд, все отлично работает. На счет взлома, не получится, пока активна его самозащита. А, забыл, для приемлемой работы, желательно настроить.

s.i.p.a 25-03-2019 16:01 2865047

Буквально сегодня обратилась контора. поймали шифровальщика с расширением .mark. Как обычно, вирус отработал в выходной день и успел зашифровать 1.5ТБ данных. У ребят стояли kerio control и касперский тотал. Не помогло, легли оба фаервола. Примечательно, что данная контора является конкурентом конторы, о которой я изначально писал. И по их рассказам есть ещё третья, которой шифровальщик подпортил нервы летом 2018. И ещё один момент, все они работают с одной госструктурой, которая иногда требует доступ к компам и серверам.

В общем, пока единственная верная защита, на мой взгляд - это бекапы в облако или на NAS.


Время: 21:04.

Время: 21:04.
© OSzone.net 2001-