[mike 1]

На самом деле уже есть две утилиты, которые в паре могут обеспечить почти 100% защиту. Про первую тут уже написал NickM, задача которой тупо не давать запускать определенные типы исполняемых файлов, вторая http://virusinfo.info/showthread.php?t=203022 же утилита блокирует по поведению шифровальщики.

[konkistador]

Приветствую форумчане.
На днях один из компов в сети поймал шифровщик да винчи.
я вовремя успел его обезвредить (он только малую часть файлов успел зашифровать на машине пользователя)

собственно в чем вопрос: у компа были права на запись на некоторые папки на файловом сервере (2008R2 - сразу скажу на нем идет бэкап расшаренных папок в такие же папки, но на другом локальном/физическом диске, не рэйд, просто бэкап прогой без перезаписи измененных файлов).
Есть какие-нибудь методы и/или средства избежать шифровки данных на шаре, если на комп в сети вирус уже проник и лютует?

[ShaddyR]

Цитата konkistador:

средства избежать шифровки данных на шаре, если на комп в сети вирус уже проник и лютует? »

не подключать ресурсы сетевых ПК как диски. Шифровальщики не сканят сеть на предмет общих ресурсов.

[cameron]

Цитата ShaddyR:

Шифровальщики не сканят сеть на предмет общих ресурсов. »

это заблуждение.
сканят и ещё как. мы таким образом потеряли в одном из городов 10Тб бэкапов - шара на NAS была хоть и скрытой, но для everyone=RW.

[WindowsNT]

0. Шифровальщики сканируют сеть. Такие есть, они не дураки.
1. Существенная корректировка: права на запись были не у компьютера, а у пользователя.
2. Судя по всему, ежечасные shadow copies не применяете. Досадно.
3. Убедитесь, что разрешения NTFS на запись стоят только для нужных групп пользователей и только на требуемые папки. Ещё Server 2012 R2 умеет делать Conditional Permissions (например, "разрешить запись только при условии, что пользователь работает на компьютере финансового департамента").
4. Внятного способа отличить работу сетевого пользователя от работы вируса нет, хотя некоторые производители клялись, что могут. Так или иначе, для снижения рисков придётся распространять SRP на все сервера и рабочие станции.

[konkistador]

Цитата WindowsNT:

0. Шифровальщики сканируют сеть. Такие есть, они не дураки.

Понял. Вопрос про ярлыки с сетевыми папками отпал сам собой.

Цитата WindowsNT:

1. Существенная корректировка: права на запись были не у компьютера, а у пользователя.

Извините, вы правы - пользователя. Просто у меня 1 комп - 1 пользователь.

Цитата WindowsNT:

2. Судя по всему, ежечасные shadow copies не применяете. Досадно.

Нет, не применяем. вместо этого делается бэкап файлов раз в 2 часа (для важных папок). Не подскажите, что лучше теневые копии или мой вариант?

Цитата WindowsNT:

3. Убедитесь, что разрешения NTFS на запись стоят только для нужных групп пользователей и только на требуемые папки

так и есть. Правда у некоторых пользователей - есть доступ ко всем

Цитата WindowsNT:

Так или иначе, для снижения рисков придётся распространять SRP на все сервера и рабочие станции.

Уже читаю. Спасибо за помощь.

[WindowsNT]

1. Теневые копии не являются заменой полноценному резервному копированию.
2. Но без них нельзя. Технология моментальных снимков является чрезвычайно эффективной и изначально предназначена для резервирования в рабочие часы, не прерывая работу пользователей. В конце концов, включить shadows и отконфигурить на ежечасные snapshots ничего не стоит, а отдача максимальна.

Типичный сценарий: звонок "помогите, всё пропало, кто-то удалил все папки!"
1. В журнале безопасности с помощью предварительно настроенного аудита успешных удалений ищу дату и время удаления, а также имя героя;
2. Монтирую правильную тень и восстанавливаю потерянные объекты.

[ShaddyR]

cameron, исходил из того, что подобным заразам нужно время для обработки локальных объектов, на сетевые не тратятся... значит, уже тратятся... приму к сведению.

WindowsNT, против шифровальщиков бесполезны как теневые копии, так и точки восстановления - сносится первым же делом.

[OIVA12]

Цитата dislike:

ни ограниченная учетка, »

Что, прям была учётная запись обычного пользователя и был установлен пароль администратора и всё равно система была разрушена?

[ShaddyR]

Цитата OIVA12:

была учётная запись обычного пользователя и был установлен пароль администратора и всё равно система была разрушена? »

Просто у уважаемого dislike'ка везуха на невезуху