Троян с доставкой

У вас не бухгалтера а тупые пёзды. Во первых это все ложь пиздежь и провокация. Налоговая всегда присылает уведомления а не какую то куйню на мыло. Так что вся история для детей кто с налоговой ни разу не общался.

Еще хорошо если письма со "странными" расширениями приходят. Их хоть сразу при внимательности можно отсеять.
На прошлой неделе по email пришел "Договор.doc". Показался подозрительным обратный адрес. Содержимое- RTF. Что это не простой RTF можно определить число визуально по наличию тегов "object". DrWeb ничего не находит.
Отправил файл в drweb - отписали что там Exploit.CVE2012-0158.107, на следующий день включили в обновление баз.

Святые пылесосы! Кто же юзверям админские права даёт? А про ограниченный запуск программ "админ" не слышал? Эникейщики херовы, только профессию позорят.
Ладно там домашний комп, но на предприятие можно толкового спеца нанять?
Это сообщение отредактировал SnakePlisken - 3 авг 2015 в 18:10

так буха за неполное служебное уволили не?
за то что не умеет пользоваться компом, как написано в её резюмэ.
да походу предприятие то ооо"хачтрюкач" на 8 рыл
Это сообщение отредактировал Volonterr - 3 авг 2015 в 18:15

Цитата (Volonterr @ 3.08.2015 - 17:14)

так буха за неполное служебное уволили не? за то что не умеет пользоваться компом, как написано в её резюмэ

А при чём тут буся? Она вопросами компьютерной безопасности не ведает. Нормальный сисадмин исходит из аксиомы, что "пользователи тупые и вообще гады", поэтому права режутся по максимуму, насколько это возможно для нормальной работы.. После порезки прав админ живёт спокойно.
Судьба же эникейщика - метаться, как вшивый по бане.

Цитата (AAD @ 3.08.2015 - 16:09)

Только порка обучение работников поможет избегать подобной хуйни.

К сожалению только зачёркнутое слово поможет, наверное. Ибо обычно: "Я даже и не думала, что такое может произойти". А думать не научили.

Проверь код трояна. На работе такое было, только он не просто шифровал, но и пытался скинуть автору копии документов. Оказалось конкуренты закинули одной из куриц этого червя, типа шпионаж промышленный.

Буквально на той неделе, получал по почте нечто похожее, почта у нас одна для всех, "Акт сверки за июнь", там файл exe вместо архава, что само по себе уже подозрительно.
Всем сказал чтоб не открывали и не качали, а сам в песочнице запустил, догадки подтвердились =)))).

Чет денег не хватает в последнее время.
ТС, спасибо за способ! Пойду срублю бабла ))

если есть у кого подобный подопытный-буду весьма благодарен,если что-по поводу отправки в личку

Антивирь и лишение юзера админских прав - необходимо безусловно но от этих расшифровщиков не помогает. Приходят такие, специально закидывал файлы на Virustotal - первые несколько часов или никто не находят или находят 1-2 антивиря совсем неизвестные.
Потом, часов через 8 - находят почти все.
А шифровщик без всяких админских прав шифрует всё до чего может дотянуться юзер - никаких админских прав не надо для этого.
Только бэкапы и воспитание юзеров на данный момент.

Потомственный системный администратор Алан. Очное и заочное (по IP-адресу) лечение компьютеров. Гадание по портам (COM, LPT, USB). Верну утраченную ОС, сниму вирусную порчу и венец безИнтернетия. Снимаю с программ сглаз правообладателей, выполню отворот RIAA, поиск потерянных файлов по имиджу жесткого диска.

Цитата (ЯПапа @ 3.08.2015 - 14:36)

это называется информационная безопасность, тем более для работников с ценной информацией на компьютерах. премия админу за счет депремирования работников бхгалтерии

За что премию? Уволить нах.
Электронная почта для того и существует, чтобы документы пересылать.
1 - антивирь почему не сработал, если он говорит что троян давно известен?
2 - почтарь почему не блокирует *.js? Может еще и *.exe пропускает?

Повторюсь ещё раз - то, что вирусы запускаются на РАБОЧИХ компах - признак непрофессионального "админа".

1. У всех пользователей отбираем админские права. А ещё лучше - загоняем на тонкие клиенты. Нужны толстые клиенты или фирма большая - тогда Active Directory и централизованные политики безопасности.
2. Ручками прописываем (gpedit.msc) те exe-шники и bat-ники, которые нужны для работы. Не имена, а ХЭШИ файлов. Тогда в почте могут быть хоть миллионы вирусов - они просто не запустятся из-за политик безопасности.
3. Настраиваем прокси, и РУЧКАМИ прописываем те сайты, на которых можно регистрироваться. Таким образом сразу отмирают соцсети, личные почты. ЯП разрешаем. Потом просто добавляем сайты по мере необходимости.
4. Не работаем с админскими правами, чтобы самим не занести вирусню.

Это базовое. Сделал так лет 7 назад и про вирусные эпидемии читаю только на сайтах.

Наученный опытом коллег, помимо регулярного бэкапирования перенес все данные на FreeNAS, и подключил рабочие папки юзеров как сетевые диски. После этого, случалось, юзера с правами локального админа (у некоторых случаях есть такая необходимость) ловили криптовирусы, но зашифрованной оказывалась только хуйня типа фоток с прошлого отпуска, которая хранилась локально - фринас этому злодейству не по зубам.
Кстати, распространялась эта дрянь по почте. Не помог ни контент-фильтр, ни один из самых распростанённых платных антивирусов.

ЗЫ: а еще лично была описанная в анекдоте ситуация: от знакомого по аське падает ссылка с комментарием "Ну как тебе". Открываю. Появляется порнушная хуйня с "отправьте смс...".
Отвечаю:
- Мне педерастическое порево не интересно.
- А как ты его убрал? Я с другого компа прочитал как от этого избавиться, и спустя час победил.
- Как дети, ей-богу... как, как? - вайн закрыл! А за такие шуточки можно и в табло получить.
Это сообщение отредактировал lastnatural - 3 авг 2015 в 19:25

Пойду почту проверю...

Это еще ладно если от обычных коммерческих контор.
Но вот был случай с одной весьма известной конторой, издающих сертификаты ЭЦП, средства ПО шифрования, защищенного документооборота. Палить её название не буду.
Ну уж там-то с информационной безопасностью должно быть на высоте.
Присылают мне на почту коммерческое предложение. Письмо не доходит. И так несколько раз. Пока не влез в логи почтового сервера - а там от демона DrWeb привет: "вложение ....pdf заражено трояном ....".
Так что, как говориться, и на самую хитрую жопу найдется хуй винтом.
P.S. на самом деле я был в той конторе - там внутренняя сеть (связанная с криптографией) полностью отделена от инета; у каждого сотрудника на столе по 2 монитора.

Ну как-бы тоже такое прилетало:
Мы - официальные представители рогов и копыт, бла, бла, мы заинтересовались вашими услугами, бла, бла, ловите счет (заархивированный) на оплату.
Блядь, в официальном письме "Ловите?" Это раз, нет никаких подписей, телефонов, официальных ссылок и вообще инопланетяне из космоса прислали получается? -это два. Ну и в третьих, какой нах счет на оплату, если по идее мы должны его высылать, какие-то нам не очень продуманные "заказчики" написали. Пару раз еще такие же письма с других адресов приходили, которые удалялись, не скачивая, через неделю все прошло.

Админа нахрен уволить. У меня подобная хрень 15 лет назад была, когда мсбласт появился. Но тогда никто к тому готов не был.

Цитата (FedorSymkin @ 3.08.2015 - 14:17)

Долго думал, открывать тему с таким названием или нет.. Любопытство победило!

А я чёта забздел, в итоге так и не открыл
Это сообщение отредактировал Petrovi468 - 3 авг 2015 в 21:07

Это называется - социальная инженерия, наиболее эффективный метод получения необходимого.

Метод хорош тем, что гарантированно 100% достигает цели. Причем не у левых дяди-тети, которые трясутся лишь за фоточки, а удар по платежеспособной аудитории - компаниям, которым потеря таких данных - полный ахтунг.

Бэкапы рулят. Админ молодец. Антивирусы проморгали, не умеют они эффективно ловить то, что не написано в их же лабораториях.
Это сообщение отредактировал Алеандр - 3 авг 2015 в 21:18

Цитата (AAD @ 3.08.2015 - 11:09)

Скоро они бля сами будут приходить с флэшкой в офисы. А тупые курицы все так же доверчиво будут открывать их каталоги.

на мою бывшую работу так и пришли - показать новую недорогую программу, то ли для бухгалтерии, то или еще какая-то. Принесли флешку, установили триал-версию программы, пощелкали по менюшкам, оставили рекламные буклеты и визитки и уехали. Вирусов не было, но директор наорал на девчонок люто))
Это сообщение отредактировал Бронетемкин - 3 авг 2015 в 21:19

товарищи умные админы, просто сказать"будьте бдительны" и я могу, вы пошагово, пожалуйста, поясните, какую прогу устанавливать, какие кнопочки нажимать
сам строитель если что....

Цитата (SnakePlisken @ 3.08.2015 - 19:12)

Повторюсь ещё раз - то, что вирусы запускаются на РАБОЧИХ компах - признак непрофессионального "админа". 1. У всех пользователей отбираем админские права. А ещё лучше - загоняем на тонкие клиенты. Нужны толстые клиенты или фирма большая - тогда Active Directory и централизованные политики безопасности. 2. Ручками прописываем (gpedit.msc) те exe-шники и bat-ники, которые нужны для работы. Не имена, а ХЭШИ файлов. Тогда в почте могут быть хоть миллионы вирусов - они просто не запустятся из-за политик безопасности. 3. Настраиваем прокси, и РУЧКАМИ прописываем те сайты, на которых можно регистрироваться. Таким образом сразу отмирают соцсети, личные почты. ЯП разрешаем. Потом просто добавляем сайты по мере необходимости. 4. Не работаем с админскими правами, чтобы самим не занести вирусню. Это базовое. Сделал так лет 7 назад и про вирусные эпидемии читаю только на сайтах.

думашь спрятался , ну ну....
бывало что под RDP урезана учетка и прикинь там шифровка пошла, только разрешение было ограниченно на файлы , а так похерились все до которых дотянулсо криптер ....
2-е недели дешифровывали из DrWeb, остальные мягко послали ....

Красиво развели, засранцы!))))