приходит такой файл на почту, под именем счет-фактура.scr, а как известно когда бухгалтер видит слово счет-фактура, его мозг отключается и он начинает скачивать файл и запускать его)))
И конечно же нет антивиря на почтаре, нет антивиря на рабочей станции буха, бэкапов нет... ну да, некоторые дирехторА записывают админов в обслуживающий персонал, в один ряд с курьерами, уборщицами, секретаршами (ничего против указанных специалистов не имею, просто технический персонал - другой класс)
Включенная проактивная защита/контроль программ (настроенное соответственно) просто не даст запустить всякому трешу и детектить вредоносное по по базе антивиря абсолютно не обязательно для локеров шифровальщиков и тд есть BSS. У меня на почтовых серверах по мимо всего просто режутся вложения по маске *.exe/bat/cmd/lnk/pif/scr и тд. проблем нет =D
ОК, придется осведить весь комплекс мер: 0. Бэкапы, серверов - регулярно (не реже раза в сутки, а то и почаще). С логированием операций, сигнализацей сбоев процесса, и регулряным аудитом результатов. Рабочие станции, если в виде исключения на этих станциях лежат важные файлы (на ПК, а не на сервере - в виде очень большого исключения); 1. Антивирь на почтаре, "рубит" все "опасное", отправляет в "карантин" все подозрительное с уведомлением админу; 2. Анивирь на рабочей станции в режиме "жесткой паранои" проверяет все и вся; 3. Админскими настройками, подкрепленными распоряжением руководства, запрещено: 3.1. USB порты, все, включая телефоны; 3.2. Админские права у пользователей; 3.3. Сохранение файлов на жесткий диск ПК куда-либо, кроме "рабочий стол" и "мои документы"; 3.4. Запуск ЛЮБЫХ исполняемых файлов, кроме тех, что добавлены в "одобрено".
Стоит такое удовольствие недешево, но наверное дешевле чем про...бать отчетные БД перед сдачей отчетности и историю всех переговоров и контрактов.
Пройти может и в этом случае, практика это подтверждает. Другое дело, что вероятность такого события существенно падает. Поэтому бэкапы, план восстановления и аудит бэкапов и плана восстановления все равно остаются. В конце концов и железо может сломаться, и потопы бывают, и целенаправленная диверсия "изнутри" возможна.
Контроль активности программ,контроль запуска программ,ksn при первом запуске анализ программы эвристика и на основе неё выбор группы? Очень часто эти модули не включены или настроены по принципу "все в доверенные так меньше геморроя" . Даже на "дефолтных" настройках контроль запуска программ сразу порежет запуск софта без цифровой подписи из %temp% который попытается установить сетевое соединение и тд.