Шифровальщик появляется каждый месяц
 

Помогите побороть заразу.
С периодичностью раз в месяц шифруется сервер. Копии делаются на qnap, по этому беда не большая. но тратится время на восстановление информации из копий. Очень достало. Выявить разносчика не представляется возможным. Шифровалщик 2 раза был Джон Траволта, в последний раз Бенджамин Джек.
Что имеем:
Есть сервер 2008r2. На нём установлен симантек который и антивирус, и фаервол. Клиенты работают в локальной сети с 1С, клиент-банками и имеют в доступе одну расшаренную общую папку. Извне доступ только через керио впн клиент.
Права админа только у админа.

Права раздавались по принципу "всем - всё" или как-то по-другому? Applocker никак не настраивается?

Нет. пользователь может запускать только 1С и клиент банки. Так же имеет доступ к одной папке общей. Остольные права отключены. Не может пользователь зайти в папку другую, либо на другой диск, либо запустить exe-шник левый. Что можно в Applocker добавить? Все расширения в запрещенные кинуть?

Сегодня обнаружил несколько интересных вещей.
1) symantec endpoint protection не работает. т.е. вообще не работает. Не запускается, даже пропал в программах и компонентах, хотя в трее значёк висит. При попытке запуска кричит, что не хватает разных dll.
2) Появился в папке c:\Users\Администратор\Music\ интересный архив nat2.zip. антималваре пишет что это майнер. Но я сомневаюсь. Для справки, пользователь Администратор не используется никем.
3)Проверял 20-го числа нинкаких угроз не было. Пришёл сегодня проверил, не работает антивирус и появился этот файл.

p.s. вирус убрал

s.i.p.a, не надо прикреплять архивы с трянами при неограниченном доступе к архивам — и даже с подозрениями на троянов. Не говоря уж о прочем, это даже на статью УК тянет.

эээм, вроде взрослые люди и если там написано файл с вирусом, то зачем его открывать если ты не уверен что сможешь безопасно его открыть? Но ваше беспокойство я понимаю, если посоветуйте как ограничить к нему доступ или проконсультируете как правильно поступить с этим архивом - буду благодарен.

Трояны интересуют не только порядочных людей...
Да и с ними вообще в раздел http://forum.oszone.net/forum-87.html

А отсюда ссылку на архив всё же уберите.

PS
Ну на сервере их собственный антивирь убрал.

значит, может. Не обязательно exe'шник, сойдёт и яваскрипт. Опять же, если под админской УЗ что-то создалось - тогда к апплокеру вопросов нет, ибо не обязан по-умолчанию следить за старшенькими.

Пользуйтесь касперским, я "поставил и забыл". Вирусы хватает на лету, отражает неплохо сетевые атаки и прочий мусор летящий с интернета. Купите, настройте и пользуйтесь, он обновляется сам каждые два часа. Что хорошо, блокирует скрытые установки рекламного софта. Взломать его самозащиту невозможно. Не просто так на него повесили "санкции", очерняют некоторые не чистые на руку компании и тд.

Как 2 пальца об асфальт.
Каким именно?
Да ну?

eco, у меня тотал стоит, да, установки блокирует(не все, кроме архивов), каспер сообщит об этом в уведомлении в нижнем правом углу экрана, снимает галочки иногда сам, а так просто блокирует запуск установщика, спрашивает - запретить или разрешить. Амиго на дух не переносит, хороший антивирус. Встроенный ад блок и тд, все отлично работает. На счет взлома, не получится, пока активна его самозащита. А, забыл, для приемлемой работы, желательно настроить.

Буквально сегодня обратилась контора. поймали шифровальщика с расширением .mark. Как обычно, вирус отработал в выходной день и успел зашифровать 1.5ТБ данных. У ребят стояли kerio control и касперский тотал. Не помогло, легли оба фаервола. Примечательно, что данная контора является конкурентом конторы, о которой я изначально писал. И по их рассказам есть ещё третья, которой шифровальщик подпортил нервы летом 2018. И ещё один момент, все они работают с одной госструктурой, которая иногда требует доступ к компам и серверам.

В общем, пока единственная верная защита, на мой взгляд - это бекапы в облако или на NAS.