Ваш компьютер атакован опаснейшим вирусом

Я считаю, первое средство от этих мошенников-это полное закрытие полупрозрачных платёжных систем. Все мошенники пользуются платёжными средствами, где нет контроля. Пай-пэл, яндекс-деньги, да много, где нет контроля за собственником счёта. И некому предъявить финансовые претензии. Когда это прикроют, то все эти мошенники исчезнут, поскольку не будет неконтролируемых финансовых потоков. Сразу будет ясно куда идут деньги.

тут бэкап мозга делать надо. обычно запускают файлы присланные по почте тупые юзвери женского полу. их нисколько не ебет что это за файл и кем послан.
п.с. сам столкнулся с подобной хуетой год назад. помогли на форуме доктора веба. небесплатно.

Это сообщение отредактировал Pomario80 - 26.02.2017 - 00:24

Как у тебя все просто.В армии еще 20 лет назад степень зашифровки сов.секретной и особой важности информации была 10 в 17-ой степени лет.Можно было и быстрее расшифровать с привлечением порядка 100-150 тыщ компов,и то на это ушло бы 10-15 лет.К тому времени дешифруемая информация потеряет свою актуальность.

Силился вспомнить, как работает файловая база 1с, но не смог- это все было очень, слишком давно

ЗЫ- спросил у яндекса про файловую базу. Почитал.
Мой вердикт: Расстрелять..
Использовать это сейчас нельзя.
Кто использует - советую написать пин-код на своей банковской карте и хранить ее в заднем кармане джинсов.

Это сообщение отредактировал anikifya - 26.02.2017 - 00:32

Надо почту в Линуксе открывать или в виртуалке или на выделенном компе без важных данных и подключения к внутренней сети.
Расширения js, vbs, scr, com, bat, cmd,... запретить или назначить им запуск самописной программы с окном вызова Админа.

не ингорируют а тупо денег не дает руководство на это
и на песочницы не дает...
да и админ какой нибудь самоучка скорее всего.


Это сообщение отредактировал BuDilNick - 26.02.2017 - 00:26

Чтоб связь времён не терялась:
http://www.yaplakal.com/forum3/topic1507914.html

Да попадаются, что бух или юрист видит письмо с налоговой или судебной херни. Адрес, все есть. В письме архив, как правило zip. Только открываешь якобы уведомление или еще что - и понеслася
Одно дело если документооборот маленький, еще как то можно выловить, а когда переписка активная - люди промахиваются.
Ну и потом, эта шняга вирусом как таковым не является, запускается исключительно с согласия пользователя. Как то так.

Так то все почтовые сервера уже давно в открытую ни бат ни ехе не пропускают, банят сразу.

Открыть ЯП с этим постом!

.js на конце файла.
Мне даже, алкоголику и инвалиду понятно, что это Java скрипт.
нахуй запускать?
Где учили пользоваться компом этих овец и баранов?
платят и поделом.
Аникейщики тоже хороши, собрал всех в актовый зал, и страшилки рассказал, с описанием кар адовых.

Это сообщение отредактировал ska44reg - 26.02.2017 - 00:32

Ох ну слава богу, а то уж подумал, что обиделись

Нормально настроенный сервер бэкапов в сети даже шарами не светит. В облако, в том числе частное (правильно настроенное) зверек никак не попадет. Да вариантов надежного и безопасного бэкапа - масса. Ну а кто ебашит архивы на сетевую шару - ессно потом плакать будет. Как говорится ССЗБ.

Эта хрень не только через вложения попадает. Часто в письме ссылка на закачку, типа, Вам поступило важное уведомление от налоговой, МЧС, полиции и т.д. Для ознакомления перейдите по ссылке и т.д.

Ага. Валяй, попробуй биткоин закрой. С платежниками бороться - это быстрее тебя плавать научат с тазиком цемента на ногах

шагнули вирусняки, однако, вперёд. когда-то можно было через edit "выдирать" говно вручную, а сейчас новые методы. но всё новое, как мы знаем - это давно забытое старое. не думаю, что алгоритм сложнее того же архиватора. просто выполнен нетривиально. меж тем, будущее настаёт, как мы видим. охулиард денег за базу банных. когда на перфокартах программили, такой хуйни не было )

Ну ты и выдал. Тут на Линукс ругаются, как на некошерную ось, а об виртуалке или на выделенном компе без важных данных и подключения к внутренней сети.
Расширения js, vbs, scr, com, bat, cmd,... запретить или назначить им запуск самописной программы с окном вызова Админа. Это сильнейшее колдунство, непосильное 99% пользователей компутеров. Об чём ты говоришь? Лохи должны платить! К сожалению только мы это понимаем.

На всех машинах, которые так или иначе учавствуют в обмене финансовой и иной конфедициальной информацией очень помогает принцип - запрещено все, что явно не разрешено. Это как бы азы, в общем-то.

Один раз поймал такую заразу, данные достал через Shadow Copy

проблема не в админах, а пользователях-кретинах, которым удобно пользоваться сетевыми дисками, на которые в первую очередь лезут такие вот шифровальщики. пользователь-кретин будет настаивать на подключении сетевого диска, особенно если есть какое-никакое положение в конторе, а потом получит зашифрованные базы\файлы и будет тыкать пальцем на IT-службу. понятно, что бекапы это и первично и вторично, но прислушаться к IT и не идти на поводу у своих тупых хотелок - избежать совместных проблем бесценно, я считаю.

у одних товарищей мадам запустила такое из почты не глядя - "я в понедельник утром ещё и письма читать должна?"
ещё мне нравится когда такие письма друг другу несколько раз пересылают - "у меня не открылось, давай у тебя посмотрим!"

Я смотрю, Вы очень любезны с дамами, сударь. Обосрать, послать подальше, покичиться принадлежностью к касте привилегированных администраторов-непрофессионалов - бедных терпил, которым ума не хватило доступ разграничить, да минусов понаставить - это Ваш удел?
Хотите дельный совет по поводу шифровальщиков? Не допускайте их в сеть. Резидентная прога с анализом содержимого файлов, к которым происходит обращение (на диске) на предмет поиска js кода - вот, что нужно для таких случаев. Сценарии js (а нынешняя эпидемия именно с ними связана) используют собственные средства операционной системы для выполнения шифрования как такового. А для этого им необходимо проинициализировать вполне конкретные обращения к API, т.е. задействовать очень даже узнаваемые команды.
Давайте так: откройте самым обычным блокнотом любое виндовое приложение, обратите внимание на первые два байта: MZ. В любых исполняемых файлах windows (*.exe) первые два байта будут такими. С кодом java/js всё аналогично. Даже в исполняемом байтовом потоке (скомпилированный java-код) есть характерные последовательности.
Касательно помочь бедным жертвам шифровальщиков. Это бесплатно написать расшифровщик? Может, переночевать ещё пустить за просто так? Сами попались, я тут не при делах. Совет дать могу, но не более.

Полезная копипаста:
Самое простое, в случае с .js - это даже не настраивать групповые политики ограничения запуска программ и т.п., \а просто сделать на всех ПК в организации тем или иным образом ассоциацию js файлов и других скриптов с блокнотом.
Пользователь открывает .js ... и видит его содержимое в блокноте. Всё, вреда ноль.
Во-вторых настроить групповые политики ограниченного использования программ ...
Как дополнительная мера - практически все пользуются WinRar (редко у кого установлен 7-zip по-умолчанию или какой-либо другой архиватор), но мало кто задумывался что все придумали до нас. Если в настройках того же WinRar на всех ПК в компании установить такую опцию как на картинке внизу,
То запустить исполняемый файл непосредственно из архива, как и делает большинство, не удастся.
Совокупность всех описанных методов в сочетании с ограничением прав пользователей и наличием антивирусного ПО снизят возможные риски к минимуму.
Если же вы сами системный администратор, но, к примеру, в подшефной вам фирме используется сеть без доменов и все пользователи имеют права локального администратора (тут не будем говорить о том что правильно, а что нет), да еще и ПК больше 10 - никто не мешает вам написать bat'ник автоматизирующий весь этот процесс и запустить на всех машинах.

Ну например, настраиваем тот же WinRar:

reg add HKEY_CURRENT_USER\Software\WinRAR\Extraction /v UseExclNames /t REG_DWORD /d 1 /f
reg add HKEY_CURRENT_USER\Software\WinRAR\Extraction /v ExclNames /t REG_SZ /d "*.exe *.com *.pif *.scr *.bat *.cmd *.lnk *.js *.vbs" /f

При этом никто не мешает предусмотреть все варианты, т.е. с 32-х и с 64-битными системами, с Windows XP и Windows 7 и старше и т.п. Потратив час на такой bat'ник, впоследствии можно избавить себя от многих проблем.

Это сообщение отредактировал prosvet - 26.02.2017 - 00:47

Это как?
Не, когда три письма в день, то еще могу поверить, а так...У меня на прошлой работе на почтовом гейте спама было примерно 1,2-1,5 млн писем. В месяц. Рабочих, которые реально сваливаются на рабочий экчендж конечно меньше, в среднем меньше десятки тысяч.
На нынешней все конечно скромнее, но и там порядок рабочей корреспонденции немал.
И вы предлагаете все это просматривать на каком то терминале непонятном? Это как бы важнейшая часть документооборота, изолировать которую очень трудно.

Не каждый админ такое провернет)

По-наберут по объявлениям... ни нырять, ни плавать. А туда же... админы все.

Это сообщение отредактировал JIR - 26.02.2017 - 00:51