Внимание сис админам пикабушникам
Появился новый вирус шифровальщик шифрует в .neutrino
Просит писать для получения расшифровки на neutrino@protonmail.ru
Как произошло заражение пока не понятно, но я в процессе и скоро это узнаю. Сотрудница поймала пока я был на больничном. Скорее всего в каком то новом исполняемом файле и без архива (на архиваторе стоит жесткий режим блокировки левых расширений).
P.S. по мере поступления инфы буду писать в коменты. Предупрежден - значит вооружен!
Просит писать для получения расшифровки на neutrino@protonmail.ru
Как произошло заражение пока не понятно, но я в процессе и скоро это узнаю. Сотрудница поймала пока я был на больничном. Скорее всего в каком то новом исполняемом файле и без архива (на архиваторе стоит жесткий режим блокировки левых расширений).
P.S. по мере поступления инфы буду писать в коменты. Предупрежден - значит вооружен!
Механизм защиты давно отработан и обязателен для использования в рабочих средах отличных от домашних. Воткну копипасту, её можно немного доработать, но общий смысл должен быть ясен.
Возможно для кого-то это будет открытием (очень может быть что для большинства), но гораздо эффективней антивирусов это настроить политику ограничения применения программного обеспечения (Software Restriction Policies). Лучше всего конечно использовать ее вместе с антивирем параллельно. Механизм защиты прост и эффективен, суть его в том что пользователю разрешено запускать только явно разрешенные приложения, это избавляет от всяческих неприятностей с запуском вирусни, установкой adware, spyware и прочей мути в профиль пользователя и еще от ряда неприятностей. После чего юзер хоть до боли в фалангах пусть тыкается в ссылки в письмах, ничего плохого не произойдет.
Если коротко, то:
- Учётным записям всех сотрудников выдаем права только Users.
- Максимально возможное количество приложений перенести в Program Files и Program Files (x86).
- Создать политику ограниченного запуска ПО: «Пуск» -> «Выполнить» -> secpol.msc -> «Политики ограниченного использования программ» (Software Restriction Policies), создаем новую политику ограниченного запуска, выбираем пункт «Применение» и во втором пункте выбираем «Всех пользователей, кроме локальных администраторов».
- Что бы пользователи могли использовать ярлыки на рабочем столе и в прочих местах необходимо разрешить их использовать. Открываем пункт «Назначенные типы файлов» и удаляем из него расширение LNK.
- Теперь включаем правила «Белого списка». Для этого переходим в подпапку «уровни безопасности» и задаем пункту «Запрещено» значение «По умолчанию».
- При необходимости разрешения выполнения программ из папок отличных от C:\Windows и C:\Program Files (они задаются как разрешенные по умолчанию и прав на запись туда у пользователя быть не должно ) вам нужно добавить правило пути в раздел "Дополнительные правила". Например добавление пути C:\Distr c «Неограниченным» доступом. В этом случае стоит сразу учитывать что разрешения на запись в эту папку надо ограничивать и выдавать только администраторам. Нужно всегда помнить аксиому - у пользователя не должно быть прав на запись туда, откуда разрешен запуск!.
P.S. Если ограничение на запуск ПО необходимо применить пользователям в домене, то мы соответственно должны создать новую групповую политику (например pExecutionPolicy ) в том OU куда входят эти пользователи и удаляем права на чтение и применение данной политики у Authenticated Users. В разделе Конфигурация пользователя настраиваем эту политику как описано выше. Затем создаем группу безопасности (например gExecutionPolicy) и присваиваем данной группе права на чтение и применение политики pExecutionPolicy. Добавляем один-два-несколько тестовых пользователей в группу gExecutionPolicy и проверяем действие политики, если надо корректируем правила, если все как надо загоняем в эту группу всех остальных пользователей.
это же бабы, только уйди они сразу на порносайты
один из клиентов словил недавно, откуда прилетело так и не смог найти, но т.к. человеки-деревья все на тонких клиентах, и с бекапами все хорошо то просто откатился в бекап
Вот интересная статейка от касперского. https://blog.kaspersky.ru/security-week-35/8713/
Не особо и новая твоя вирусня. Обновляться почаще надо.
Внесу и я свою лепту, вот список мест, где файлы криптовирусов искать:
APPDATA
Диск:\Documents and Settings\%UserName%\Application Data\ (NT/2000/XP)
Диск:\Users\%UserName%\AppData\Roaming\ (Vista/7/8)
"%USERPROFILE%\AppData\Local" (Vista/7/8)
"%USERPROFILE%\Local Settings\Application Data" NT/2000/XP)
TEMP (временный каталог):
%TEMP%\???????.tmp\ (пример: temp\vum35a5.tmp)
%TEMP%\???????.tmp\??\ (пример: temp\7ze5418.tmp\mp)
%TEMP%\???????\ (пример: temp\pcrdd27)
%WINDIR%\Temp
Временный каталог Internet:
"%USERPROFILE%\Local Settings\Temporary Internet Files\" (NT/2000/XP)
"%LOCALAPPDATA%\Microsoft\Windows\Temporary Internet Files\" (Vista/7/8)
..\temporary internet files\content.ie5\
..\temporary internet files\content.ie5\????????\ (? -- a-z, 0-9)
Рабочий стол:
"%UserProfile%\Desktop\"
Корзина:
Диск:\Recycler\
Диск:\$Recycle.Bin\
Диск:\$Recycle.Bin\s-1-5-21-??????????-??????????-??????????-1000 (? -- 0-9)
Системный каталог:
"%WinDir%"
"%SystemRoot%\system32\"
Каталог документов пользователя:
%USERPROFILE%\Мои документы\
%USERPROFILE%\Мои документы\Downloads
Каталог для скачивания файлов в браузере
%USERPROFILE%\Downloads
Каталог автозагрузки
%USERPROFILE%\главное меню\программы\автозагрузка