Ваш компьютер атакован опаснейшим вирусом

Цитата (prosvet @ 26.02.2017 - 00:45)

Полезная копипаста: [i]Самое простое, в случае с .js - это даже не настраивать групповые политики ограничения запуска программ и т.п., \а просто сделать на всех ПК в организации тем или иным образом ассоциацию js файлов и других скриптов с блокнотом.

Сюда еще можно добавить анализ вложений на почтовике\клиенте и дополнитеольный контроль общедоступных ресурсов на файлопомойке, что настраивается хоть резидентами, хоть скриптами, хоть политиками. Методов много, но ведь пока гром не грянет, как известно... Беда не столько в шифровальщиках, сколько в том, что главным способом работы в российском ИТ по-прежнему явлется метод "На отъебись", а совсем не бест практикс и ITIL

Цитата (viktori7 @ 26.02.2017 - 00:36)

Расширения js, vbs, scr, com, bat, cmd,... запретить или назначить им запуск самописной программы с окном вызова Админа. Это сильнейшее колдунство, непосильное 99% пользователей компутеров. Об чём ты говоришь? Лохи должны платить! К сожалению только мы это понимаем.

Я что-то не допонял, тот же бесплатный thunderbird умеет сие из коробки, так же блокирует все ссылки в письме по умолчанию.

Что пользуют в конторах, получивших шифровальщики?

Цитата (Amok555 @ 26.02.2017 - 00:48)

Цитата (Alice9tails @ 26.02.2017 - 00:02) Цитата (dedpixai @ 25.02.2017 - 23:47) Где то читал что парни вродь разобрались как с этой бедой бороться, получалось у них вроде как Хреново, когда теорию информации не преподают. Всё, что шифруется, может быть расшифровано. Итак, имеем некий входной файл, некий алгоритм и выходной файл. Берём декомпилятор алгоритма, выцепляем порядок перестановок байт и их обработку ключом. Далее - исходный файл и шифрованный файл. На руках три из четырёх неизвестных. Обратная перестановка, обработка, получаем четвёртое неизвестное - ключ шифрования. А дальше дело техники. Не каждый админ такое провернет)

а если исходного файла нет а есть только зашифрованный...

Цитата (karbat @ 26.02.2017 - 00:54)

Цитата (Amok555 @ 26.02.2017 - 00:48) Цитата (Alice9tails @ 26.02.2017 - 00:02) Цитата (dedpixai @ 25.02.2017 - 23:47) Где то читал что парни вродь разобрались как с этой бедой бороться, получалось у них вроде как Хреново, когда теорию информации не преподают. Всё, что шифруется, может быть расшифровано. Итак, имеем некий входной файл, некий алгоритм и выходной файл. Берём декомпилятор алгоритма, выцепляем порядок перестановок байт и их обработку ключом. Далее - исходный файл и шифрованный файл. На руках три из четырёх неизвестных. Обратная перестановка, обработка, получаем четвёртое неизвестное - ключ шифрования. А дальше дело техники. Не каждый админ такое провернет) а если исходного файла нет а есть только зашифрованный...

Так создай файл да пусть оно его зашифрует.

Цитата (sparrow85 @ 26.02.2017 - 00:18)

Вторая страница, а адептов Линукса что-то не слыхать... Они обычно сильно бью себя в грудь в подобных темах.

Да просто адептам Линукса такие темы глубоко по.... барабану

Цитата (shuttle @ 26.02.2017 - 00:24)

Как у тебя все просто.В армии еще 20 лет назад степень зашифровки сов.секретной и особой важности информации была 10 в 17-ой степени лет.Можно было и быстрее расшифровать с привлечением порядка 100-150 тыщ компов,и то на это ушло бы 10-15 лет.К тому времени дешифруемая информация потеряет свою актуальность.

Не надо путать ситуации. В описанном Вами случае неизвестны два элемента - нет ключа, нет исходного файла. Трудность расшифровки того, что подверглось шифрованию современными алгоритмами основана на том, что тяжко вычислить все простые сомножители открытого ключа (обратное вычисление). Однако, во-первых, данная операция уже сейчас не представляет особой сложности (по крайней мере не годы), во-вторых при известных открытом ключе, алгоритме шифрования и, особенно, генерации ключей, выцепить закрытый ключ не сложно.

Цитата (madmozgmax @ 26.02.2017 - 00:00)

У нас такое было). После этого тупые админы получили по шапке и увольнение, а бэкап стал раз в 8 часов).

Вот парадокс, письмо открыл не умный пользователь, а писты дали админам...
Когда меня спросили что нам делать, чтобы не поймать такую фигню, я сказал: отдельно выделенный ПК с доступом в интернет, как в армии, не устроило, раз не устроило нефиг на админа гнать.

Главный антивирус - в голове. Есть некоторые бухгалтеры, которые наносят вредя больше чем все вирусы вместе взятые

Цитата (awolfman @ 26.02.2017 - 00:54)

Цитата (viktori7 @ 26.02.2017 - 00:36) Расширения js, vbs, scr, com, bat, cmd,... запретить или назначить им запуск самописной программы с окном вызова Админа. Это сильнейшее колдунство, непосильное 99% пользователей компутеров. Об чём ты говоришь? Лохи должны платить! К сожалению только мы это понимаем. Я что-то не допонял, тот же бесплатный thunderbird умеет сие из коробки, так же блокирует все ссылки в письме по умолчанию. Что пользуют в конторах, получивших шифровальщики?

тандерберд прекрасно разрешает ссылки, проверено пару раз.

А мне лично интересна позиция всяких "антивирусов" (кавычки понятны, надеюсь?) типа касперов и прочих пидарасов. Бапки блять немеряны за свое програмно (это существительное, это я так красиво совокупил "программно" и "гавно") стригут - мол вся хуйня, эвристический анализ, всяка поебота, новые технологии. А шифраторов не ловят нихкуя. С формулировкой мол "системный процесс" и прочия трихомундия. БЛЯТЬ ЕБАНЫЙ В РОТ ТЕБЕ ЕВГЕНИЙ И ПРОЧИЕ ПИДАРЫ ВСЮ ВАШУ ЭВРИСТИКУ типа чо блять потоковое шифрование - это норм? Ебаные словесные эквилибристы эвристических анализов.
Сука начинаю верить в страшилку что они гандоны вирусню нынче и пишут

Это сообщение отредактировал Ungydrid - 26 фев. 2017 г. в 01:02

На предыдущей работе занимался немного администрированием 1С и использовал для бэкапа баз Effector Saver - очень хорошая и удобная штука, а лицензия стоит дёшево. ВОПРОС: у кого-нибудь есть опыт оплаты требуемой суммы шантажистам с последующим реальным восстановлением данных? Им же ничего не мешает нахуй послать после перечисления денег. Очень интересно.

Цитата (Sergei07 @ 26.02.2017 - 01:00)

Цитата (awolfman @ 26.02.2017 - 00:54) Цитата (viktori7 @ 26.02.2017 - 00:36) Расширения js, vbs, scr, com, bat, cmd,... запретить или назначить им запуск самописной программы с окном вызова Админа. Это сильнейшее колдунство, непосильное 99% пользователей компутеров. Об чём ты говоришь? Лохи должны платить! К сожалению только мы это понимаем. Я что-то не допонял, тот же бесплатный thunderbird умеет сие из коробки, так же блокирует все ссылки в письме по умолчанию. Что пользуют в конторах, получивших шифровальщики? тандерберд прекрасно разрешает ссылки, проверено пару раз.

Ну хз, у меня выдает сообщение, что все ссылки заблокированы в целях безопасности.

Цитата (dedpixai @ 25.02.2017 - 23:47)

Где то читал что парни вродь разобрались как с этой бедой бороться, получалось у них вроде как

дали писды бухам, чтоб во вложения не тыкали?

вообще все решается бакапами, нормально настроенной системой безопасности и насильственным обучением пользователей. но этим надо заниматься

Посоны,поясните,как можно заработать такую шляпу себе на комп? Ну вот приходит файл(пдф или док).У меня к яндексу привязаны рабочие почтовые аккаунты,там сразу отображается превьюшка-значок типа файла. Открыв такую херню,я что,посажу себе бэкдора?Или все же приходят экзешники с расширением pdf, но это может быть реально pdf+exe?Короче,запутался я.Как понять,что тебе прислали херню?

Цитата (Amok555 @ 26.02.2017 - 00:56)

Цитата (karbat @ 26.02.2017 - 00:54) ... а если исходного файла нет а есть только зашифрованный... Так создай файл да пусть оно его зашифрует.

Не факт, что поможет. Скриптовые вирусняки очень часто берут связки ключей для каждой сессии шифрования отдельно.
Но, если честно, ситуация, когда исходного файла нет, встречается редко. Где-то вполне себе тихо-мирно валяется копия чего-то зашифрованного. Личные файлы, старые базы или те, которые записываются инкрементально (отдельно файл с данными недельной давности и файлы изменения этих данных каждым днём)... Практически всегда есть исходная копия.
Но вообще - тут правильно написали. Проблема в организации ведения компьютерно-сетевого хозяйства, а не в самих шифровальщиках.

Выходит и ЯП стал на сторону вымогателей...
Джус, Шум, Вайл,! Вам всем отвалили или одному кому?
У вас уже постоянно стали появляться и поддерживаться темы- в которых лейтмотивом проходит мысль что- "Новые угрозы неизлечимы и платить нельзя! Но мы вот заплатили и все у нас в шоколаде! Но вы сами смотрите, конечно!"

Цитата (Sergei07 @ 26.02.2017 - 00:58)

Цитата (madmozgmax @ 26.02.2017 - 00:00) У нас такое было). После этого тупые админы получили по шапке и увольнение, а бэкап стал раз в 8 часов). Вот парадокс, письмо открыл не умный пользователь, а писты дали админам... Когда меня спросили что нам делать, чтобы не поймать такую фигню, я сказал: отдельно выделенный ПК с доступом в интернет, как в армии, не устроило, раз не устроило нефиг на админа гнать.

Есть стадо юзеров, есть бюджет, есть админ.
Если админ не может обосновать и получить бюджет, то это плохо.
Безопасность на коленке не делается.

ISHTAR у нас ловили

Цитата (Ungydrid @ 26.02.2017 - 01:01)

А мне лично интересна позиция всяких "антивирусов" (кавычки понятны, надеюсь?) типа касперов и прочих пидарасов. Бапки блять немеряны за свое програмно (это существительное, это я так красиво совокупил "программно" и "гавно") стригут - мол вся хуйня, эвристический анализ, всяка поебота, новые технологии. А шифраторов не ловят нихкуя. С формулировкой мол "системный процесс" и прочия трихомундия. БЛЯТЬ ЕБАНЫЙ В РОТ ТЕБЕ ЕВГЕНИЙ И ПРОЧИЕ ПИДАРЫ ВСЮ ВАШУ ЭВРИСТИКУ типа чо блять потоковое шифрование - это норм? Ебаные словесные эквилибристы эвристических анализов. Сука начинаю верить в страшилку что они гандоны вирусню нынче и пишут

С тех пор, как прозвучала впервые фраза "Антивирус - не панацея" - ничего не изменилось. Защита информации всегда подразумевала и продолжает комплекс мер с прямой зависимостью стоимости и трудозатрат от ценности информации.

Не получится нажать большую синюю кнопку "Сделать все пиздато" и уйти пить кофе. Я думал, сейчас это понимает любой вменяемый эникей. Ан нет...

del

Это сообщение отредактировал vlad2009 - 26 фев. 2017 г. в 01:20

Цитата (JIR @ 26.02.2017 - 01:06)

Цитата (Sergei07 @ 26.02.2017 - 00:58) Цитата (madmozgmax @ 26.02.2017 - 00:00) У нас такое было). После этого тупые админы получили по шапке и увольнение, а бэкап стал раз в 8 часов). Вот парадокс, письмо открыл не умный пользователь, а писты дали админам... Когда меня спросили что нам делать, чтобы не поймать такую фигню, я сказал: отдельно выделенный ПК с доступом в интернет, как в армии, не устроило, раз не устроило нефиг на админа гнать. Есть стадо юзеров, есть бюджет, есть админ. Если админ не может обосновать и получить бюджет, то это плохо. Безопасность на коленке не делается.

Во всей околобюджетной сфере- минобр, минздрав, минсельхоз и т.д.- все всегда и делалось и делается на коленке и из гнилой фанеры. Увы.
Регулярно данные херятся. Базы многолетние в пизду улетают. Но всем похуй.
Денехнет! ©

Цитата (Alice9tails @ 26.02.2017 - 02:02)

Цитата (dedpixai @ 25.02.2017 - 23:47) Где то читал что парни вродь разобрались как с этой бедой бороться, получалось у них вроде как Хреново, когда теорию информации не преподают. Всё, что шифруется, может быть расшифровано. Итак, имеем некий входной файл, некий алгоритм и выходной файл. Берём декомпилятор алгоритма, выцепляем порядок перестановок байт и их обработку ключом. Далее - исходный файл и шифрованный файл. На руках три из четырёх неизвестных. Обратная перестановка, обработка, получаем четвёртое неизвестное - ключ шифрования. А дальше дело техники.

Садись 2. Ты на поиски своего четвертого неизвестного потратишь сотни лет. Вот к примеру тут народ ищет ключ от фразы зашифрованной RC5-72. 15 лет уже ищет и перебрали уже 4% от всех возможных вариантов. Приз 10 тыщ долларов. Присоединяйся.

Цитата (SnowKitty @ 26.02.2017 - 00:04)

Цитата (75nizz @ 25.02.2017 - 23:55) Это кидалово или они реально расшифровываются после оплаты? года полтора назад на работе комп зашифровали (не бухгалтерский), в ответном е-майл указали цену - 15000, я отписался - готов заплатить, больше от них вестей не было, написал на форум каспера, ответили "купи нашу лицуху и вышли несколько зашифрованных файлов", купил, выслал, прислали дешифратор, 99% файлов расшифровалось

Примерно также расшифровал пару лет назад содержимое компа детсада. И таки да, помогли только в Каспере, ДрВебы сказали, что ничем помочь не могут.

По факту: не скупиться на хороший антивирус и настроить политики безопасности. А то понаставят себе авастов бесплатных, а потом удивляются: "Не может быть, у нас же антивирус на компе".
Ну и, само собой, юзверей в правах урезать.

Это сообщение отредактировал Akela76 - 26 фев. 2017 г. в 01:17

Цитата (vlad2009 @ 26.02.2017 - 01:11)

Цитата (sparrow85 @ 25.02.2017 - 22:43) В 2016 году число атак с использованием вымогательского ПО в четыре раза превысило показатель за 2015 год. Плата операторам вредоносного ПО за расшифровку файлов только поощряет киберпреступников к дальнейшему проведению подобных атак, уверены эксперты. Тем не менее, многие жертвы вымогателей предпочитают платить, благодаря чему количество атак с использованием троянов-шифровальщиков растет в геометрической прогрессии. Согласно опубликованному в прошлом месяце отчету экспертов института Ponemon, 48% компаний, ставших жертвами вымогательского ПО, предпочитают заплатить выкуп злоумышленникам и не искать другие решения проблемы. По данным ФБР, в 2015 году общая сумма выкупа составила $24 млн, но уже в первые три месяца 2016 года она увеличилась до $209 млн (речь идет только об известных атаках и только в США). Если подобная тенденция будет продолжаться, к концу текущего года сумма выкупа достигнет $1 млрд. В 2015 году только CryptoWall3 причинил ущерб по всему миру на $325 млн. Убытки от обнаруженной в прошлом году версии CryptoWall4 достигли $18 млн. По подсчетам страховой компании Beazley, в 2016 году число атак с использованием вымогательского ПО в четыре раза превысило показатель за 2015 год. Как сообщили эксперты Symantec, в марте прошлого года количество заражений троянами-шифровальщиками достигло 56 тыс. – в два раза больше, чем обычно. Вот так иногда запускается шифровальщик. Если ТП из бухгалтерии(или кто там ещё) не видит расширение в конце "js"...

В web-морде почты мыловаров- этого не видно.
Следующее предложение?

Цитата (saverbt @ 26.02.2017 - 01:06)

Посоны,поясните,как можно заработать такую шляпу себе на комп? Ну вот приходит файл(пдф или док).У меня к яндексу привязаны рабочие почтовые аккаунты,там сразу отображается превьюшка-значок типа файла. Открыв такую херню,я что,посажу себе бэкдора?Или все же приходят экзешники с расширением pdf, но это может быть реально pdf+exe?Короче,запутался я.Как понять,что тебе прислали херню?

В данном случае речь идет о использовании десктопных почтовиков, либо о скачивании и запуске файла на локальной машине. Чтобы шифровальшик запускался напрямую из браузерной почты я вроде пока не слышал. Хотя хрен его знает, может упустил что.