Внимание сис админам пикабушникам⁠⁠

Добрый человек, можешь подробнее о блокировке левых расширений? Очень надобно мне на работу))

Извините, что под топовым. Тут суть скорей в том, что тыкают в письмах куда не лень. Сегодня на почту пришло письмо следующего содержания:

-----

Уважаемые коллеги!

Добрый день!

Обращаем Ваше внимание, что в нашей компании 02.09.2015

произошла смена Генерального директора, во вложении высылаем

Вам новый договор, который необходимо подписать в кротчайшие сроки

и прислать его к нам в офис с оригинальной подписью и печатью

Благодарим Вас!

C Уважением

Главный Бухгалтер ООО Нимбус

Дюмина Александра

Прикреплённые документы(2)

1)Договор.rar

2)Приложение к договору.rar

---

Документы не прикреплены - это просто ссылки на rar архивы в которых лежат файлы заканчивающиеся на docx.exe. Файлы прогнал через virustotal и всего 2 антивируса, название которых я и не слышал, увидели вирус в файлах. Остальные антивирусы указали, что файлы нормальные. Отправил их касперскому и через 40 минут каспер на virustotal тоже считал их опасными. Такие письма уже приходили жене на работу и после этого у них начиналась стандартная ситуация с вымоганием денег. Я читал, что в прошлом году просили 1000 баксов за дешифровщик. Так что будьте бдительны!

Неа, просто разрозненные компьютеры в детском саду, локалки, и то нет)) Печаль-беда, если слишком сложно, то я не смогу сделать(( Я так, по верхам нахваталась))

Да ладно, этот все корп антивирусы блокируют, сейчас модно архив с паролем на почту и пароль в теле письма. Я бы даже сказал это единственный надёжный способ доставки вируса адресату.

если не сложно, можете и мне скинуть? у меня доменная. is@kolotovkin.pro

перезагрузись и все пройдет

Какой сайт? Заражается одна фирма, сливается адресная книга, там куча других фирм-партнёров и так по цепочке. Плюс даже если до адресной книги не добраться, e-mail'ы зачастую указываются во всяких doc'ах, которые вирус всё равно шифрует, может заодно и базу адресов своих пополнять.

если не сложно, можете и мне скинуть? у меня доменная. is@kolotovkin.pro

если не сложно, можете и мне скинуть? у меня доменная. is@kolotovkin.pro

Оу, а я не смотрела) я то дома, ночь на дворе) завтра пойду на работу и отпишусь))

Недавно у нас чел поймал похожий вирусняк. Тоже инфы о нем небыло вообще. За неделю примерно с парнями из forum.kasperskyclub.ru получилось найти способ расшифровки. Может создашь там тему, авось кто поможет.

Омг, я буду благодарна очень-очень, только вот контакты как-то надо по другому дать) я не свечу данными)

Омг, я буду благодарна очень-очень, только вот контакты как-то надо по другому дать) я не свечу данными)

Блин я так понимаю, вирус прикручивает данное слово как расширение к файлу и блокирует его? У меня похожий случай был, но у меня слово ._IGR. Так же девушка открыла вложение письма с cmd-файлом. И некоторые файлы, офисовские, картинки, все заболели. Касперский убил более тысячи непонятных экзешников harrypotter.exe и winamp5.exe и т.д. Сетевой диск так же был заражен, но только файлы, которые лежали в корне каталога. До сих пор у той девушки на столе документы создаются с этим расширением, но редактируются без проблем, пока не пойму, где зараза все еще прячется.

 очень полезные знания можно подчерпнуть из подготовительных курсов к экзаменам Microsoft всей линейки продуктов(есть на торрентах)

Не могли бы вы дать ссылку на любой такой материал, хочу посмотреть, а найти не могу

расширения файлов, через которые можно словить исполняемый файл: .doc .jpg .exe .rar .com .bat и еще пачка других расширений, сразу так и не вспомню. К чему это я? К тому, что от человека зависит, от невнимательности его и отключенного нормального антивируса.

и да - ознакомься на досуге с книгами Томаса Лимончелли.

Воот и сотрудница ваша тоже по какой-то ссылке перешла.

политики пропиши и прекрати бегать к каждому юзеру.
к политикам - инструкции, утвержденные руководством.

если ты много чего видел, то прочти это:
https://xakep.ru/2007/05/31/38421/
статья в Хакере была еще в 2007 году.
опытный ты наш)

Короче ищи всякие подозрительные файлы со стандартными расширениями типа xls, doc, docx xlsx, pdf и т.д. И еще глянь файлы зашифрованные на дату изменения. Так сможешь сузить круг поиска до +-1-го дня. Проштудируй еще реестр на изменения. Часто такие шифровальщики оставляют там следы. Ну и папку temp тоже прошурши. Они частенько там остаются.

ну мои поймали скачав эту дрянь под видом драйвера для сканера. Еще один раз поймали шифровальщика как раз под видом файлика с двойным расширением якобы являющегося актом сверки. При чем пришел файл как раз с мыла конторы с которой мы сотрудничаем. Тогда с расшифровкой не парился, так как комп, в основном, использовался только для терминального доступа к 1С.

Насколько понял, файл передаётся скриптами по почте? Храни Великая пустота мою лень и нежелание читать почту.

Спасибо, теперь буду более внимательным. Но если честно мне не даёт покоя один вопрос: как бот (ну не думаю я что рассылает его 1 человек) узнал вашу почту? Должна быть какая-то система... например один сайт который обладает достаточно слабой защитой, чтобы её можно было взломать и выуживать базы данных, и при этом достаточно популярный, чтобы накрыть как можно больший контингент. Кроме того, если запросы находились только на английском, рискну предположить что это должен быть русский вирус, судя по сложности он написан 20-25 летним мужчиной... Хмм... Скажите если я где-то ошибаюсь. А я пока пойду устрою рейд в поиках этого письма счастья.

т.е. сервак пусть будет заражен? главное раб станция целая?:)

вот немного про нейтрино нашел

http://shifro.ru/сколько-стоит-вредоносное-по/

один из клиентов словил недавно, откуда прилетело так и не смог найти, но т.к. человеки-деревья все на тонких клиентах, и с бекапами все хорошо то просто откатился в бекап

У нас бух поймала.

Пришел файлик со "сканом", якобы из пенсионного.

Все честь по чести, правда не совсем, она что-то заподозрила, но "скан" все-же тыкнула открыть....

Пришлось из бекапа восстанавливать.

Причем не только у нее.

(У дуры хватило ума переслать "не открывающийся файл" нашим дизайнерам))

:) она наверно про тебя так же думает.

"Вот дурак, ничего сделать не может, зачем платим вообще ему" :D

будь аккуратней в своих выражениях

Автор, стоял антивирус?

@lokaha подскажи пожалуйста - нашёл ли решения для дешифровки этого вируса?

поймали VAULT. Нагуглил вот это http://chklst.ru/forum/discussion/1481/vault-chto-delat

как-нибудь решили эту проблему? Секретарша сегодня почту у себя проверила...

о новая модификация

http://pikabu.ru/story/_3589643

Скорее всего да, только VNC =) врядли вы через медиаплеер удаленной работой занимаетесь

winrar? его же покупать нужно.. а есть подобное для 7zip?

я то в основной выездной админ, удаленно шлюз настраивать - реально, когда отдаешь себе отчет +если это линукс-машина, то можно в крон перед применением конфигурации записать скрипт, который все откатит через 5-10 минут. По удаленке - настройка софта, допиливание 1С, решение проблем с печатью, ну и всякие мелочи вроде "пропавших" данных, "удаленных" программ и прочее =)

Секретное конечно есть, но разглашать такую инфу нельзя ни в аську, ни на пикабу в равной степени =)

это как из jpg или из rar словить исполняемый файл?)

а exe, com и bat и без того исполняемые)

и сколько лет будут подбирать?)

Можно, хрень такая, реестр херит весь, курейт, каспер, адвклинер нифига не помогает. Неожиданно помог 360 Total Security 0_0 (правда только в Едже только) , ну вообщем проще переустановить Винду

@Lokaha, разобрался?

как заражение произошло?

по 1С свой прогер, допиливание это например хитрый импорт-экспорт из бухгалтерии 8.2 в торговлю 7.7, или обработка, которая считает какой-нибудь отчет, который обычно приходится руками составлять - я в 1Се не силен, поэтому развернуто ответить не могу. Работаем только с юриками, физикам очень сложно выдать нормальный уровень обслуживания за вменяемые деньги. Расспрашивать в аське меня конечно можно, но лучше тут ибо, возможно, ктото с похожими вопросами найдет себе ответы на открытых страницах этого прекрасного ресурса + всякие мессенджеры у меня только в телефоне, а там текст долго набирать. И я не столь стар\консервативен - можно обращаться на ты =)

в аутсорс ушел пока еще учился в универе, позвал товарищ, это было самое начало организации, в которой до сих пор и работаю. По услугам - поддержка пользователей, обновления софта\железа, консультации и допиливание 1С, СКС, СКУД в разных проявлениях, работы с миниАТС, общение с провайдерами, короче, если клиенту надо что-либо связанное с IT, они звонят нам в хелпдеск. Нас небольшая команда - 5 человек + 1-2 стажера которые постоянно приходят и уходят.

люди вроде как и хотят, но видимо, считают что оно само придет, без усилий =)

Друг, запиши длиннопост на примере единичного компа. Тоже заинтересовался этим методом блокировки.

Вот интересная статейка от касперского. https://blog.kaspersky.ru/security-week-35/8713/

Не особо и новая твоя вирусня. Обновляться почаще надо.

Раз такое дело, тут вирус недавно живучий появился, свой днс прописывает(и ,соответственно,трафик перехватывает), и хрен удаляется

т.к. я аутсорс-админ, то реализовано у всех клиентов по разному, у кого на что средств хватает. Начиная от того что есть два десятка виртуальных серверов под разные задачи на двух дохерамощных железных серверах(суммарно 128 потоков и 160Гб памяти), бекап-сервер на котором версионно хранится состояние всех виртуальных серверов(можно откатить любой файл\папку в любую точку времени(за исключением тех моментов, когда файл меняется чаще чем раз в 20-30 минут)) заканчивая тем, что "сервер" стоит у пользователя в качестве рабочей станции. Но есть общие рекомендации, которыми я могу поделиться. 1 - файлопомойка на отдельной машине, с отказоустойчивым RAID, с включенными средствами резервирования, резервные копии лежат в папке с ограниченными правами(дабы невозможно было нагадить в этой папке из под пользовательских учеток) + донести до пользователей, что те документы, которые им жалко потерять должны лежать там.

2 - на рабочих местах пользователя нету прав администратора, без исключений. фотошопы, банк-клиенты всегда можно настроить для работы без прав администратора 2.1 UAC всегда включен(многие "крутые админы" считают что UAC говно, только мешает и т.п. - господа, дело ваше, срача не надо). 3 - если в организации есть деревья(низкоквалифицорованные пользователи, которые пользуются только браузером и офисным пакетом) - им компьютеры с linux(дистрибутив любой, как удобней. лично мне больше симпатизируют debian-like дистры), если им же надо 1С то на отдельной от файлопомойки машине поднимаем терминальник с 1С-ом, откуда базы 1С бекапятся на файлопомойку как было указано выше либо на бекап-сервер. Бекап отдельных машин - занятие достаточно сомнительное, мы от этого отказались т.к. постоянно меняются железки\обновляется софт\локальные данные теряют актуальность. Если еще есть вопросы, задавай, буду пробовать отвечать

Где и как этому научиться - очень сложный вопрос, ибо для достижения хорошей производительности труда и низкого количества факапов надо в равной степени и теорию знать и на практике ее применять. Опять же из общих советов - если получаешь вышку, связанную с IT областью, то надо вникать в то, что рассказывают преподы, даже если это не совсем про администрирование(например программирование), я в свое время слушал далеко не все, и теперь жалею об этом. Также полезно прочитать либо Танетбаума, либо Олиферов(основы сетей), несмотря на то, что там много воды лучше начинаешь понимать как это работает. Кроме того, если вы не ярый фанатик *NIX решений, очень полезные знания можно подчерпнуть из подготовительных курсов к экзаменам Microsoft всей линейки продуктов(есть на торрентах) - там, в отличии от тычячестраничных манов по продуктам все достаточно кратко и емко, но периодически приходится погугливать некоторые моменты. Также, как не странно, надо уметь программировать, и не на школьном уровне - это реально помогает при решении непонятных глюков чего-угодно - от логики работы электронных систем в вашем автомобиле до тонкостей работы банк-клиентов с порезанными правами пользователя. Да простят меня красноглазобородатые - С# очень легко освоить. Про подмастерьев - без какой-то базы в голове научить таких подмастерьев, чтобы они работали лучше чем мальчики по вызову из объявлений на столбах не получается, по крайней мере у меня - сейчас учу уже пятого, но более-менее успешно выучить удалось только двух(более-менее успешно = можно выпустить человека на более-менее тривиальную заявку не опасаясь что он сделает только хуже, и не получать от него звонки каждые 10 минут)

yaslyk@mail.ru сюда кинь плиз тоже.

А если в офисе этот вирь подхватит десяток компов, тоже форматировать? Хз это точно не выход.

Механизм защиты давно отработан и обязателен для использования в рабочих средах отличных от домашних. Воткну копипасту, её можно немного доработать, но общий смысл должен быть ясен.

Возможно для кого-то это будет открытием (очень может быть что для большинства), но гораздо эффективней антивирусов это настроить политику ограничения применения программного обеспечения (Software Restriction Policies). Лучше всего конечно использовать ее вместе с антивирем параллельно. Механизм защиты прост и эффективен, суть его в том что пользователю разрешено запускать только явно разрешенные приложения, это избавляет от всяческих неприятностей с запуском вирусни, установкой adware, spyware и прочей мути в профиль пользователя и еще от ряда неприятностей. После чего юзер хоть до боли в фалангах пусть тыкается в ссылки в письмах, ничего плохого не произойдет.

Если коротко, то:

- Учётным записям всех сотрудников выдаем права только Users.

- Максимально возможное количество приложений перенести в Program Files и Program Files (x86).

- Создать политику ограниченного запуска ПО: «Пуск» -> «Выполнить» -> secpol.msc -> «Политики ограниченного использования программ» (Software Restriction Policies), создаем новую политику ограниченного запуска, выбираем пункт «Применение» и во втором пункте выбираем «Всех пользователей, кроме локальных администраторов».

- Что бы пользователи могли использовать ярлыки на рабочем столе и в прочих местах необходимо разрешить их использовать. Открываем пункт «Назначенные типы файлов» и удаляем из него расширение LNK.

- Теперь включаем правила «Белого списка». Для этого переходим в подпапку «уровни безопасности» и задаем пункту «Запрещено» значение «По умолчанию».

- При необходимости разрешения выполнения программ из папок отличных от C:\Windows и C:\Program Files (они задаются как разрешенные по умолчанию и прав на запись туда у пользователя быть не должно ) вам нужно добавить правило пути в раздел "Дополнительные правила". Например добавление пути C:\Distr c «Неограниченным» доступом. В этом случае стоит сразу учитывать что разрешения на запись в эту папку надо ограничивать и выдавать только администраторам. Нужно всегда помнить аксиому - у пользователя не должно быть прав на запись туда, откуда разрешен запуск!.

P.S. Если ограничение на запуск ПО необходимо применить пользователям в домене, то мы соответственно должны создать новую групповую политику (например pExecutionPolicy ) в том OU куда входят эти пользователи и удаляем права на чтение и применение данной политики у Authenticated Users. В разделе Конфигурация пользователя настраиваем эту политику как описано выше. Затем создаем группу безопасности (например gExecutionPolicy) и присваиваем данной группе права на чтение и применение политики pExecutionPolicy. Добавляем один-два-несколько тестовых пользователей в группу gExecutionPolicy и проверяем действие политики, если надо корректируем правила, если все как надо загоняем в эту группу всех остальных пользователей.

На веб шлюзе можно спокойно запретить скачивание архивов, а вот в почте они часто ходят.

а если для тебя все юзеры тупые, то я хочу посмотреть на то, как к тебе будет относиться самый обычный повар какого-нибудь ресторана или работник СЦ, к которому ты прибежишь за ремонтом монитора. так то.

а какой пример?
в компании с полусотней рабочих станций, были прописаны политики.
политики ограничивали установку ПО, запуск некоторого ПО (торренты, скайп, вайбер и тд); разграничивались политики доступа к сетевым ресурсам (на файлшаре создан структурированный каталог по отделам); к каждому специфическому ПО (Axapta, TradeX, Lotus Notes etc) были написаны инструкции, выложены на файлшару, заверены подписью директора компании.
после этого был подписан приказ о применении штрафных санкций к тем юзерам, которые подписались под инструкциями и не придерживались их, в следствии чего происходил сбой ПО и тд.

потраченного времени на разработку и внедрение - два-три месяца.
через пол года проблемы "тупых" юзеров отпала.

На счёт базы не думаю, иначе пострадавших было бы куда больше. А вот с парсером идея интересная, однако, слишком просто, честно, не думаю что человек с таким хитрым устройством вируса до этого додумается и я всё таки склоняюсь к идее со взломом. 

Вопрос к тебе ещё один, какими проф сайтами пользуется ваша компания? То бишь обязательно же должны быть рекламы на других сайтах, а не только ваша страничка.

Юзер сидел под админом? Где права?

"инструктаж" нужно проводить, создавая инструкции и согласовывать их с руководством. это раз.
второе: инструкции высылать на рабочие ящики сотрудников с флагом о прочтении.

где-то на пикабу как раз недавно читал пост про это, или не на пикабу, не помню уже. Ща поищу и кину ссылку. Сам офигел от такого.

не подписывайся под всеми админами, пожалуйста.

Подскажи с кого адреса пришло письмо

Подскажи с кого адреса пришло письмо

Да да, пакостник ещё тот. Обратите внимание на то, что шифровать может и то, что в сетевых шарах, но при условии, что шара примонтирована как сетевой диск. Шифрует перебирая буквы дисков, если есть сетевой, то и в файлопомойке зашифрует. Тут можно только свести опасность шифрования к минимуму. 1. Запретить использовать яваскрипт. 2. Разграничить права жёстко. 3. И само сабой бекапы. 4. Ну и инструктаж. Например когда я нашёл это письмо счастья то обнаружил, что письмо пришло ночью в субботу из якобы какой-то службы другого города, подпись Главный бух.и всё. Любопытный пользователь тупо открыл, запусив скрипт. При этом сначала пришло письмо с этого адреса со словом привет, на него ответили на что получили вложение с этим дерьмом.

Там скорее шифрование по типу gnuPG. Шифрует, сохраняет ключ с контрольным словом, чтобы его из базы сервера дернуть... И все, кроме этого - никак обратно не развернешь.

Образец остался?

стопудово лазила на порносайтах