Троян с доставкой

Маска не панацея, хотя согласен, процентов 90 вирусни отметет. А 0-day уязвимости того же pdf? Бэкапы, бэкапы и проверки бэкапов на регулярной основе.

я разве где-то написал, что одно отменяет другое?
конечно бэкапы нужны
конечно они должны быть ежедневными инкриментными, а данные за месяц- оффлайновыми, а по итогам года затираться уже помесячно

но первична всегда минимизация возможности наступления риска

Юникс-системы всем в помощь и хоть обзвонятся уроды...
и мальчик с флешкой тоже туда же пойдет

Бухгалтерию и спецсофт, которому нет аналога на виртуалки или под вайн

У админа резко прибавится времени на по настоящему важные дела вроде попить пива и почитать ЯП.

Опять же на сиське поглазеть.

Добавлено в 16:38
и да - бэкап наше все, но это очевидно

Называется социальная инженерия.
Именно так К. Митник и стал знаменит.

вот почему надо сейвы делать)))

Закрытый нат от закачки вирей, сто летнее правило внутри организации...

http://www.yaplakal.com/forum32/topic763613.html?hl=

Тупые бухгалтера. Я говорю всегда присылайте официальное письмо почтой или через сбис иначе идите нахуй.

Способ распространения не нов. Мои тупики именно так его и словили. Потом я уже сама видела письмо якобы от Роспотребнадзора о рассмотрении жалобы (наша организация никаких дел с РПН иметь не может) и ссылкой, ведущей на сайт в зоне .in.ua по ссылке скачивался архив с файлом .scr внутри - оказался шифровальщик, но нод его ловил. а вот того красавца, которого тупики словили - не ловит никто и лекарства нет - vault. Причем, хочу отметить, адрес отправителя был релевантен и действительно находится на сервере РПН. Поэтому пользователи и ловятся на подобные вещи. Я им уже памятку накатала на трех листах, чтобы избежать подобного в будущем. Хотя сомневаюсь...

тоже такой ловили . только тогда по почте прилетело молча от налоговой и поубивало 1с ные файлы. расшифровать так и не удалось хотя для этого купили даже лицензию дрвеба который к слову обещал обеспечить расшифровку

Всё намного проще, Автор: Jessica в теме письма пишите: my foto всё и не надо никому звонить. Или старо как мир в Аське : стань королём аськи. Сами всё нажмут.

Нас так поимели, все еще файлы зашифрованные есть, кто на опен офисе сидел и на серваке документы не хранил повезло. Запускался гад каждую пятницу. Вроде вылечил сисадмин.

ИБ это не только запрещение всего и вся, это еще и обучение пользователей работе с информацией.
Если в конторе нет ИБшника, то какая нафиг премия админу, если он не удосужился обезопасить свою сеть и пользователей от подобного?

И да, старый бородатый прикол начинает претворяться в жизнь:
"Здравствуйте, я молдавский вирус. По причине ужасной бедности моего создателя и низкого уровня развития технологий в нашей стране я не способен причинить какой-либо вред вашему компьютеру. Поэтому очень прошу: сами сотрите какой-нибудь важный для вас файл, а потом разошлите меня по почте другим адресатам. Заранее благодарен за понимание и сотрудничество."

У нас бухгалтер тоже словила троян-шифровальщик. Открыла письмо якобы от судебных приставов. И тоже потом жаловалась, что у нее важные файлы неоткрываются. Плохо еще и то, что у нее сетевой диск подключен был, на котором и других пользователей доки были... обидно то, что выводов не делают. Ее же потом на авито развели))) выставила на продажу какую то хреновину, звонок хочу вам денег перевести на карту, скажите номер карты и три цифры с обратной стороны, а теперь код из смски. И эта дура сказала. И вот как такие люди бухгалтерами работают?

у нас бэкапится, но запретов ни на что нет, так как часто нужны файлы и *.exe, и *.msi и другие исполняемые файлы

Это + запрет переключения и создания новых учётных записей с правами админа -- настраивается весь софт, делается образ диска, и настройка политик безопасности через скрипт. Один раз и навсегда, до момента когда винт сдохнет или мать сгорит.

На все вопли типа игрушка не запускается либо документ "finans.dok.exe" - посылать нахрен открытым текстом.

Да ладно. Vault прекрасно ловится Каспером.
Буквально 2 недели назад прислали шефу такое письмецо с ссылкой. Вытащили письмецо на тестовый ноут без антивиря и давай его запускать. Скачивается ZIP (причем сначала скачался с расширением ZIP[1]. Пришлось руками менять расширение с матами на криворуких вирусописателей. Распаковали - лежит SCR. Запустили. Зашифровал 2 файла - книжку в формате PDF и самого себя в ZIPе.
Ржали всем отделом. Вылезло сообщение о шифровании файлов с адресом в сети Tor. Зашли туда - цена расшифровки - 49$. Тут уже от смеха сползли под стол. Оставили им на сайте (в чате) все, что мы думаем о таких мастерах.
В Диспетчере сняли процесс сообщения, поставили Каспера, прогнали и всю эту муть вырезали под чистую.
Для проверки (уже с Каспером) тыркнулись в ссылку в письме. Каспер сразу выплюнул сообщение, что страница заблокирована.

Кстати, а если взять и переименовать какую матрасовку гиг в 10 весом в док и повесить её в "мои документы" - оно при попытке шифрануть ЭТО по нехватке памяти не сдохнет?

у меня таких клиентов уже более 10
все маленькие конторы.
из разговора с последним:

я: У вас даже антивирус не стоит
заказчик: как не стоит, стоит же - бла бла 365, какой то беспланый
...
инфу подняли
я: нужно винды переустановить и антивирус купить. У вас кстати ломаный windows стоит
заказчик: как ломаный!? там же наклейка есть.
я: нет ее
заказчик: должна быть. может она оторвалась, но я их скотчем проклеивал
просматриваю системник со всех сторон, признаков наличия наклейки нет и никогда не было!
я: нет ее и никогда видать не было, то делаем?
заказчик: а можно все так же оставить?
я: как хотите
за кадром да мне на вас дебилов по *уй!!! Заплатите за то что сделано а там делайте что хотите

вымогатели попросили 15000 - инфу подняли за 7500

Пользователи долбаебы.
****

История 2 - первая. на момент кода они словили я уже с недели 3 знал что есть такое. Вообщем поймали.
все зашифровано включая все базы 1С но есть одно но, этой дуре повезло. Основная база в этот момент была открыта и осталась не тронутой. Ушла домой и по привычки не закрыла программу. Это ее и спасло.
Мучались они сутки мне позвонили. Прихожу. - забегая вперед, у них 2 офиса по 3 компа в каждом.
Прихожу значит смотрю стоит антивир NOD32 все смотрю работает все обезвредил и удалил. следы все нашел конечно. Молчат, ничего не делали вот перестало.
В итоге выяснилось:
Да пришло письмо! - после того как носом ткнул, да открывала, но ничего не было!!!
да антивирус стоял но не обновлялся, хотя был куплен! Шеф платит только за разовые посещения и я не отслеживаю что у них там твориться. За пару месяцев до этого были небольшие проблемы в другом офисе. Он приобрел NOD32 там его активировал и обещал активировать и в другом офисе, но .... Активировал его только тогда когда все уже было зашифровано!
Кстати NOD32 этот скрип распознал как вирус и удалил!

Вот так из-за своей халатности и тупорылости и жадности про*бали все документы и 4 базы 1С, но повторюсь основная база у них осталась.

Я раньше парился по таким вещам а сейчас пох. бухгалтерша сидит крокодиловыми слезами рыдает. я Говорю с вас столько то денег за вызов. и до свидания! Помочь с вашей халатностью и тупостью я не могу!

вымогатели попросили 450$ январь 2015,
за вызов диагностику и раскрытие их лжы (Я ничего не делал, а антивирус стоял все работала, ты нам хуйню посоветовал) - 2000р

Это сообщение отредактировал asd255 - 3.08.2015 - 17:46

Социальный инженеринг называется. Лет 10 назад сам использовал что бы пароль от мыла узнать

Каждую неделю получаем письма то от судов, то от приставов, то от налоговой. Еще приходят акты сверки постоянно с неизвестных адресов ( все адреса в в базе, поэтому обычно ясно, от какого клиента пришло письмо). И все с подозрительными вложениями. Отправляются в спам сразу же =) А вот в нашем офином здании постоянно слышу жалобы на шифровальщиков. Документы, фотки - это фигня. Вот шифровальщики баз 1С - вот это реально беда. Делайте архивные копии, господа!

печатал печатал. хотел рассказать про один красивый и высокотехнологичный способ. но потом понял что все херня.

ruff
в 4 случаях письма с актами приходили как раз от контрагентов
и фильтрами сортировались в папки в outlook
пользователи даже подумать не могли что это вирус

Анальное

Связались с производителем трояна наверное? Касперские, др вебы и пр. это не лечат.