|
Компьютерный форум OSzone.net » Информационная безопасность » Защита компьютерных систем » Вопрос - Шифровальщики вымогатели и SRP |
|
Вопрос - Шифровальщики вымогатели и SRP
|
Ветеран Сообщения: 2417 |
У нас сегодня в очередной раз одна из сотрудниц получила письмо счастья, замаскированное под деловую переписку с zip-архивом внутри, в архиве файл .js. Ну она не придумала ничего лучше, чем запустить это, несмотря на то, что я лично несколько месяцев назад после первого за несколько лет подобного инцидента обходил всех сотрудников, объясняя что вот именно так делать не надо, как отличить нормальный документ от замаскированного зловреда, и чем грозит, если наплевать на бдительность. Не помогли ни объяснения, ни ограниченная учетка, ни "антивирус" MSE.
Так вот, что думаете насчет идеи прописать в SRP запрещающее правило для пути "*.js", чтобы рубануть начисто возможность запуска этого типа вируса? Я не стал делать этого сразу, потому что не уверен, не появятся ли проблемы у всяких бухгалтеров с их браузерами, расширениями, клиентами, платежками и пр.? |
|
Отправлено: 15:30, 11-08-2016 |
Пользователь Сообщения: 110
|
Профиль | Сайт | Цитировать На самом деле уже есть две утилиты, которые в паре могут обеспечить почти 100% защиту. Про первую тут уже написал NickM, задача которой тупо не давать запускать определенные типы исполняемых файлов, вторая http://virusinfo.info/showthread.php?t=203022 же утилита блокирует по поведению шифровальщики.
|
Отправлено: 21:49, 24-08-2016 | #11 |
Для отключения данного рекламного блока вам необходимо зарегистрироваться или войти с учетной записью социальной сети. Если же вы забыли свой пароль на форуме, то воспользуйтесь данной ссылкой для восстановления пароля. |
Новый участник Сообщения: 2
|
Профиль | Отправить PM | Цитировать Приветствую форумчане.
На днях один из компов в сети поймал шифровщик да винчи. я вовремя успел его обезвредить (он только малую часть файлов успел зашифровать на машине пользователя) собственно в чем вопрос: у компа были права на запись на некоторые папки на файловом сервере (2008R2 - сразу скажу на нем идет бэкап расшаренных папок в такие же папки, но на другом локальном/физическом диске, не рэйд, просто бэкап прогой без перезаписи измененных файлов). Есть какие-нибудь методы и/или средства избежать шифровки данных на шаре, если на комп в сети вирус уже проник и лютует? |
Отправлено: 10:26, 31-08-2016 | #12 |
Железных Дел Мастер Сообщения: 24530
|
Профиль | Сайт | Отправить PM | Цитировать Цитата konkistador:
|
|
------- Отправлено: 11:20, 31-08-2016 | #13 |
Ветеран Сообщения: 4677
|
Профиль | Отправить PM | Цитировать Цитата ShaddyR:
сканят и ещё как. мы таким образом потеряли в одном из городов 10Тб бэкапов - шара на NAS была хоть и скрытой, но для everyone=RW. |
|
------- Отправлено: 11:49, 31-08-2016 | #14 |
Ветеран Сообщения: 1496
|
Профиль | Отправить PM | Цитировать 0. Шифровальщики сканируют сеть. Такие есть, они не дураки.
1. Существенная корректировка: права на запись были не у компьютера, а у пользователя. 2. Судя по всему, ежечасные shadow copies не применяете. Досадно. 3. Убедитесь, что разрешения NTFS на запись стоят только для нужных групп пользователей и только на требуемые папки. Ещё Server 2012 R2 умеет делать Conditional Permissions (например, "разрешить запись только при условии, что пользователь работает на компьютере финансового департамента"). 4. Внятного способа отличить работу сетевого пользователя от работы вируса нет, хотя некоторые производители клялись, что могут. Так или иначе, для снижения рисков придётся распространять SRP на все сервера и рабочие станции. |
------- Отправлено: 12:14, 31-08-2016 | #15 |
Новый участник Сообщения: 2
|
Профиль | Отправить PM | Цитировать Цитата WindowsNT:
Цитата WindowsNT:
Цитата WindowsNT:
Цитата WindowsNT:
Цитата WindowsNT:
|
|||||
Отправлено: 13:13, 31-08-2016 | #16 |
Ветеран Сообщения: 1496
|
Профиль | Отправить PM | Цитировать 1. Теневые копии не являются заменой полноценному резервному копированию.
2. Но без них нельзя. Технология моментальных снимков является чрезвычайно эффективной и изначально предназначена для резервирования в рабочие часы, не прерывая работу пользователей. В конце концов, включить shadows и отконфигурить на ежечасные snapshots ничего не стоит, а отдача максимальна. Типичный сценарий: звонок "помогите, всё пропало, кто-то удалил все папки!" 1. В журнале безопасности с помощью предварительно настроенного аудита успешных удалений ищу дату и время удаления, а также имя героя; 2. Монтирую правильную тень и восстанавливаю потерянные объекты. |
------- Отправлено: 13:42, 31-08-2016 | #17 |
Железных Дел Мастер Сообщения: 24530
|
Профиль | Сайт | Отправить PM | Цитировать cameron, исходил из того, что подобным заразам нужно время для обработки локальных объектов, на сетевые не тратятся... значит, уже тратятся... приму к сведению.
WindowsNT, против шифровальщиков бесполезны как теневые копии, так и точки восстановления - сносится первым же делом. |
------- Отправлено: 22:44, 31-08-2016 | #18 |
Забанен Сообщения: 13
|
Цитата dislike:
|
|
Отправлено: 10:37, 06-09-2016 | #19 |
Железных Дел Мастер Сообщения: 24530
|
Профиль | Сайт | Отправить PM | Цитировать Цитата OIVA12:
|
|
Отправлено: 12:27, 06-09-2016 | #20 |
Участник сейчас на форуме | Участник вне форума | Автор темы | Сообщение прикреплено |
| |||||
Название темы | Автор | Информация о форуме | Ответов | Последнее сообщение | |
Приложения-вымогатели добрались до телевизоров | OSZone News | Новости информационных технологий | 0 | 16-06-2016 12:30 | |
2008 R2 - Почему KmPlayer игнорирует SRP? | zionkv | Windows Server 2008/2008 R2 | 1 | 15-02-2016 11:12 | |
вирусы-шифровальщики. | r-studio | Хочу все знать | 66 | 03-08-2013 19:04 | |
[решено] Блокираторы... вымогатели... | Your_Teacher | Лечение систем от вредоносных программ | 12 | 16-01-2013 15:34 | |
2008 R2 - [решено] Подскажите по srp | nokogerra | Windows Server 2008/2008 R2 | 4 | 15-10-2012 15:34 |
|