Вирусы шифровальщики.

Государев завод.
Собрал всех своих владельцев компов.
Рассказал и показал на отловленном зловреде что и как случается.
После того, как они все увидели чем это им грозит, заставил всех расписаться в приказе по заводу. В приказе, состряпанным Вашим покорным слугой, были следующие слова:

"Обращать внимание на то, от кого пришло письмо. Если вы его не ждете - открывать запрещено."

И чуть далее, когда пряники в виде бесперебойной работы были обозначены, дописал про кнут:

"Словивший шифровальщика, а тем паче принесший его из дома на сменных носителях, будет депримирован на 25% от суммы месячной премии."

Вот не поверишь!!! Даже мадамки пост-пенсионного возраста в лет все поняли!

Была такая мысль со второй сетевушкой, но забрили. По идее интернет вообще не нужен в организации, кроме трех компов для почты. Опасения что шифровальщика просто на флэшке принесут диверсанты.

Думаю это эффективно. Порекомендую (если послушают). Денежный стимул - самый лучший. Доходит до всех.

Линуксовый комп со сквидом?!?!?!
Одна сетевуха - наружу, вторя внутрь сети. Так?
А разве на этом самом компе нельзя больше ничего поднять?!
Ставишь третью сетевуху, назначаешь ей IP-адрес отличный от вашей сети - вот тебе демилитаризованная зона!
Ну ладно!
У вас нет спеца по линуксу.
Но ведь "MikroTik RB951 RB951Ui-2HnD" стоит не более 4 тыр. Поставить его между компом с линуксом и вашей сеткой вам ничто не мешает.
А уж найти настройки микротика в инете - это дело нескольких минут. Находите, настраиваете один из портов микротика на левый IP-шник, проброс портов из/в DMZ, настраиваете пару маршрутов - вуаля!
Т.е. второй вариант на порядок более затратный, т.к. в первом случае сетевуху сейчас можно купить за 150-200 рублей.

ЗЫ. Нельзя приготовить яичницу, не разбив яйца. Планирование сетки - это как раз и есть одна из самых важных работ сисадмина. Тем более, надо уметь объяснить любому начальству для чего ты хочешь сделать те или иные новшества и почему тебе надо столько денег. Ну или почему именно тебя нужно отправить на курсы повышения квалификации, чтобы разобраться с линуксом.

В любом случае тебе придется перебрать внутренню часть сетки и перенастроить проксю. По другому тебе никто ничем не поможет.

ЗЗЫЫ, Буквально парой комментов выше тебе уже посоветовали пересобрать линевую машину под несколько сетевух...
Как видишь - "третьего не дано". ©. латинская пословица.

Это сообщение отредактировал Hanglider - 4.07.2017 - 13:14

NAS + ежедневный бэкап спасет в ооочень многих случаях.
Я уже тут отписался как у меня это реализовано.

Мешает. У нас проверки каждый квартал, очень жесткие.

Бэкапы раз в месяц под роспись сдаем. Восстанавливать все придется ооочень долго.

Извини, коллега, но я сам тружусь не в ООО "Атель"Напрасный труд", а на государевом заводе. У нас тоже очень строгие требования по безопасности и по резервированию. Но мне пришлось выдержать не одну схватку с руководством, прежде чем мне удалось выбить микротик, про который написал, NAS на 6 винтов и сами винты по 3Тб каждый, и настроить сетку так, что она просто работает.
Вопрос только в необходимости перемен, и желании их внедрить.

Правда, самые жестокие схватки были с теми, кто проработал на заводе по 20-30 лет, и считал, что им все можно. Но и этих остудил. Сейчас, после нескольких лет реальной пахоты и войны, наш завод считают лучшим по ИТ в холдинге.

не верю. Всегда можно что-то придумать:
- добавить нужные разрешения для пользователей
- в крайнем случае - запуск какой либо хитрозадой программы через RunAs.

>>Бэкапы раз в месяц под роспись сдаем. Восстанавливать все придется ооочень долго.

значит, нужно выбрать систему которая позволит восстановить в разумные сроки.
На работе использую Bareos. Помесячные бэкапы хранятся вглубь на три и более месяца и две недели вглубь ежедневные. Восстановление либо через клиентское приложение используя типичные сценарии восстановления, либо через консоль где доступно все.

Вариант без покупки сетевой - обычный vlan. Если уж совсем делать "тупо, но надежно" - можно хоть каждой клиентской машине свой выдать. Все будут в своих сетках.

Микротик - просто райское спасение для таких бюджетных контор. Дешев, неприхотлив, с огромным списком настроек и возможностей, но правда трудноват в настройке для новичков. Кстати в нем самом есть функция Client Isolation на ту же WI-FI и простые правила в Firewall для обычной сети.

P.S. Не забываем о бекапах, раз в месяц - это провал. Суточные инкрементные бекапы спасут вас. Если админ хоть чу-чуть шарит в Linux, то вперед исследовать Bareos/Bacula(WIN/LIN/MAC и полностью бесплатны). Если вам запрещено покупать оборудование - арендуйте небольшой Storage Box с 2тб винтом в том же Хетзнере за 11 Евриков. На сервере линукса - управление бекапами(director), а само сбрасывание на Box(storage path). Бюджетно и дает гарантию. Кстати тот же Bareos/Bacula полностью шифруют свои бекапы, получив доступ к файлу "мнимый взломщик" не сможет его прочитать и извлечь что-то, следовательно СБ довольна будет.

Это сообщение отредактировал limurchick - 4.07.2017 - 13:41

Шифровальщикам ваще параллельно есть у компа интернет или нет. Исполняемый файл шифрует файло на винтах и сетевых дисках, шифрованием интернетов он не занимается.
Ключ создаётя (если создаётся) скорее всего по какому-нить id оборудования или ос, тырнет ему для этого тоже не нужен.
У пети, насколько я слышал, ваше чихать можно на ключ, ибо расшифровка не предусмотрена, всё тупо затирается.

limurchick
Долопихтис
Там, похоже, правят бал "эффективные миньеджеры" Да так, что ТС боится лишний раз в серверную зайти.

Вот так и у меня. Сначала бэкап запароленый, а потом в облако.
В облаке новый в папке, а старый, если нужно, можно из корзины поднять.
Рекламировать не буду.

тады ой

для защиты от этого расширение .js ассоцируйте везде с блокнотом

Сцук!!! Гениально!!!
Вот прямо сейчас попробую политикой назначить. Чтобы при перезапуске у всех переписало! По ходу пьесы можно будет добавлять типы зловредов!
Спасибо!!! Учту при разливе!!!

Вдогонку: проблема в том, что в основном в архиве приходит. При этом оно запустит Wscript host...

Это сообщение отредактировал Hanglider - 4.07.2017 - 15:06

ForFiles из пакета w2k8s. прекрасно справляется с чисткой любой файлопомойки по любому расписанию. Для локальных систем пока лучшего и более простого не нашел.
Кагбэ, тоже не реклама.

А для особо упертых шифровальщиков после копирования меняю расширение архивов на какую-нибудь ересь и ставлю атрибут "system".

Hanglider

А можно чуть по подробней. А то я ведь совсем не админ.
Я просто маску нашёл.

Почему то не взлетает тема.

Это сообщение отредактировал Ondap - 4.07.2017 - 15:43

Прикинем, что у тебя есть ресурс, который надо заархивировать и спрятать куда-нибудь в сеть подальше.
Начинаем прикидывать что именно нам надо:
Winrar;
место "откуда"
место "куда"
набор команд из поставки w2k8s.
Все компы с данными и НАС - в домене. Авторизация по паролям.

В примере:
172.168.0.250 = NAS
172.168.0.220 = сервер с файлопомойкой всех заводских служб

Начинаем созидать пакетный файл. Как можно активнее используем справку по винрару и по командам.

Файл apxib.bat:
================
;Сносим на сервере архивов остатки от предыдущих сесий (вдруг они не убились?)
TASKKILL /F /FI "USERNAME eq Backuper" /IM splwow64.exe

;подключаем ресурс на который будем сливать архив:
net use Z: \\192.168.0.250\Arxib /user:Backuper Твой_Супер_Пароль

rem --------- Архивация данных цехов ---------------
;подключаем ресурс с которого будем сливать архив:
net use W: \\192.168.0.220\CEHA /user:Backuper Твой_Супер_Пароль
;Делаем архив с расширением не rar, а, например rwr
"C:\Program Files\WinRAR\RAR.exe" a -r -rr10 -y -m5 -ep1 -dh -agdd_mmm_yyyy_hh_mm_ss -x@c:\arc\exclude.txt Z:\Arxib\my-artel-CEHA-.rwr "W:\*.*"
;отключаем ресурс с которого сливали архив:
net use w: /DELETE

rem --------- Архивация данных снабженцев ------------------
; повторяем предыдущие три строки, но для диска W: указываем адрес ресурса снабженцев

rem --------- Архивация данных отдела кадров ---------------
; повторяем предыдущие три строки, но для диска W: указываем адрес ресурса кадровиков

;
; и пока не надоест или не кончатся ресурсы.
;-----------------------------------------------------------

;Устанавливаем аттрибуты "только чтение" и "системный" на все архивы в каталоге-приемнике:
ATTRIB +S +R Z:\Arxib\*.rwr

;отключаем диск-примник:
net use Z: /DELETE
================

В итоге получаем набор архивов с именами типа:
my-artel-твое-подразделение-04_Jun_2017_23_00_00.rwr

Где: "my-artel-твое-подразделение-" - название подразделения твоего учреждения.
"04_Jun_2017_23_00_00" - дата и время начала создания архива подразделения.

Архив в легкую читается Winrar-ом, но при этом недоступен шифровальщику т.к. ресурс не пускает никого, кроме одного персонажа "Backuper" с паролем

"Супер_Пароль_Архиватора", и, разумеется, администратора ресурса, с его еще более навороченным паролем. )))

Файлик exclude.txt содержит типы файлов, которые не нужно архивировать. Например:
================
.dll
.dt
.zip
.rar
.iso
.nrg
.7z
.mpg
.avi
.mp4
.vob
.wmv
.mp3
.mov
.tmp
================

Остальные параметры посмотри в справке к винрару.

Раз в месяц можно запускать чистилку вместилища архивов.
Фалик del_xlam.bat:

================
; подключаем диск с архивом
net use Z: \\192.168.0.250\Arxib /user:Backuper Твой_Супер_Пароль
; сносим все, старше 30 дней
FORFILES /P "Z:\Arxib" /S /D -30 /C "cmd /c del /f /a /q @file"
;отключаем
TASKKILL /F /FI "USERNAME eq Backuper" /IM splwow64.exe
================

Вот как-то так. )))

ЗЫ. Это самое простое, что может и должен сделать админ, организуя архивирование данных.

ЗЫЫ. Я кинул простейший вариант для самой маленькой сети. Для Вас - открыты все пути для творчества и для увеличения/уменьшения вариантов архивирования файловых данных. Потому как для SQL-серверов с инкрементным приращением архивов, архивация и настройка будет сложнее и должна будет производиться на самом сервере SQL.
Удачи в работе.

Это сообщение отредактировал Hanglider - 4.07.2017 - 17:21

Нихрена не понял, но расписал очень хорошо!

Вычисти ничего незначащие комментарии от моего лица и посмотри что к чему. Там реально просто. Разберешься. Было-бы желание.

Это сообщение отредактировал Hanglider - 4.07.2017 - 19:13

Попытаюсь выразиться мягко. Твою мать нехай.
Что произойдёт, если я в .txt пропишу твои выражения?
Спасибо я понял. Каникулы с 1 сентября закончатся, надеюсь.
К чему это

Бред.

Эхх, самописные батники для бекапа тоже хороши. Но если лень в них и в более правильных/продвинутых вещах разбираться - ставим самый обычный Acronis Backup. В последних версиях у него есть возможность подсоединять сетевую папку/диск - делать бекап и отсоединять. Фактически - можно сохранять состояния диска запланировано и если что-то пошло не так - восстановить ПОЛНОСТЬЮ(да да, полностью всю Windows даже с MBR разделами, GPT увы не поддерживается) на момент бекапа.

На примере Пети, WannaCry и подобных. Шифровщик попадает на диск, шифрует файлы, шщифрует boot(загрузочный) сектор и после/при перезагрузки высвечивает сообщение о выплате денег. Смеемся, загружаемся с acronis live cd/usb, восстанавливаем с монтированием удаленного диска/каталога систему на момент бекапа(рекомендую раз в сутки вечером, до начала раб. дня) и радуемся жизни.

Также если у вас более-менее современные компы/ноуты. В биосе есть простая вкладка - Secure Boot. С UEFI он работает отлично, не давая этим самым шифровальщикам заменить boot сектор. В итоге нужно будет восстановить всего лишь полноценную копию того же WIN 8/8.1/10(про 7 не уверен) не заботясь о разделе загрузчика.

Если для тебя такое - бред, то зачем ты спрашивал?
Ну а если не понял - то зачем пытаешься что-то админить? Тебе тут делать нечего....

НУ кто-же Вам мешает разбираться?! Вон повыше, какой-то чудак, спросил - я ответил. Он, видимо, ничего не поняв, назвал написанное бредом. )))
Если уж чувак в простом текстовом файле не в состоянии разобраться, то специализированное программное обеспечение, может и спасет его, но, скорее всего, он и в нем ничего не поймет. )))