Для лиги Программистов, ребята помогите кто сталкивался с такой бедой? .id-2222242375_decrypt@india.com вирус шифровальщик.
зашифровал все файлы на компьютере, потеряно много информации, все известные дешифраторы не помогают, антивирусники молчат.
приходит такой файл на почту, под именем счет-фактура.scr, а как известно когда бухгалтер видит слово счет-фактура, его мозг отключается и он начинает скачивать файл и запускать его)))
раскрыть ветку (9)
И конечно же нет антивиря на почтаре, нет антивиря на рабочей станции буха, бэкапов нет... ну да, некоторые дирехторА записывают админов в обслуживающий персонал, в один ряд с курьерами, уборщицами, секретаршами (ничего против указанных специалистов не имею, просто технический персонал - другой класс)
раскрыть ветку (8)
раскрыть ветку (5)
Включенная проактивная защита/контроль программ (настроенное соответственно) просто не даст запустить всякому трешу и детектить вредоносное по по базе антивиря абсолютно не обязательно для локеров шифровальщиков и тд есть BSS. У меня на почтовых серверах по мимо всего просто режутся вложения по маске *.exe/bat/cmd/lnk/pif/scr и тд. проблем нет =D
раскрыть ветку (1)
ОК, придется осведить весь комплекс мер:
0. Бэкапы, серверов - регулярно (не реже раза в сутки, а то и почаще). С логированием операций, сигнализацей сбоев процесса, и регулряным аудитом результатов. Рабочие станции, если в виде исключения на этих станциях лежат важные файлы (на ПК, а не на сервере - в виде очень большого исключения);
1. Антивирь на почтаре, "рубит" все "опасное", отправляет в "карантин" все подозрительное с уведомлением админу;
2. Анивирь на рабочей станции в режиме "жесткой паранои" проверяет все и вся;
3. Админскими настройками, подкрепленными распоряжением руководства, запрещено:
3.1. USB порты, все, включая телефоны;
3.2. Админские права у пользователей;
3.3. Сохранение файлов на жесткий диск ПК куда-либо, кроме "рабочий стол" и "мои документы";
3.4. Запуск ЛЮБЫХ исполняемых файлов, кроме тех, что добавлены в "одобрено".
Стоит такое удовольствие недешево, но наверное дешевле чем про...бать отчетные БД перед сдачей отчетности и историю всех переговоров и контрактов.
0. Бэкапы, серверов - регулярно (не реже раза в сутки, а то и почаще). С логированием операций, сигнализацей сбоев процесса, и регулряным аудитом результатов. Рабочие станции, если в виде исключения на этих станциях лежат важные файлы (на ПК, а не на сервере - в виде очень большого исключения);
1. Антивирь на почтаре, "рубит" все "опасное", отправляет в "карантин" все подозрительное с уведомлением админу;
2. Анивирь на рабочей станции в режиме "жесткой паранои" проверяет все и вся;
3. Админскими настройками, подкрепленными распоряжением руководства, запрещено:
3.1. USB порты, все, включая телефоны;
3.2. Админские права у пользователей;
3.3. Сохранение файлов на жесткий диск ПК куда-либо, кроме "рабочий стол" и "мои документы";
3.4. Запуск ЛЮБЫХ исполняемых файлов, кроме тех, что добавлены в "одобрено".
Стоит такое удовольствие недешево, но наверное дешевле чем про...бать отчетные БД перед сдачей отчетности и историю всех переговоров и контрактов.
раскрыть ветку (2)
раскрыть ветку (1)
Пройти может и в этом случае, практика это подтверждает.
Другое дело, что вероятность такого события существенно падает.
Поэтому бэкапы, план восстановления и аудит бэкапов и плана восстановления все равно остаются.
В конце концов и железо может сломаться, и потопы бывают, и целенаправленная диверсия "изнутри" возможна.
Другое дело, что вероятность такого события существенно падает.
Поэтому бэкапы, план восстановления и аудит бэкапов и плана восстановления все равно остаются.
В конце концов и железо может сломаться, и потопы бывают, и целенаправленная диверсия "изнутри" возможна.
раскрыть ветку (1)
Контроль активности программ,контроль запуска программ,ksn при первом запуске анализ программы эвристика и на основе неё выбор группы? Очень часто эти модули не включены или настроены по принципу "все в доверенные так меньше геморроя" . Даже на "дефолтных" настройках контроль запуска программ сразу порежет запуск софта без цифровой подписи из %temp% который попытается установить сетевое соединение и тд.