Автор Тема: Вирусы шифровальщики  (Прочитано 22825 раз)

0 Пользователей и 1 Гость просматривают эту тему.

Оффлайн IT26

  • Новичок
  • Сообщений: 15
  • Похвалили: 1 раз(а)
  • Откуда: Красноярск
Вирусы шифровальщики
« : 04/10/2019 00:01:27 »
Доброго времени суток!

Я тут новенький. Коллега подсказал этот ресурс, спасибо ему. Простите если ниже озвученная информация будет дубликатом. Весь форум читать пока нет возможности и желания!

Пару недель назад, два клиента словили шифровальщиков, итог работы их, шифровальщиков, такой - система вроде и работает, но ни один файл/программу открыть/запустить не возможно (1С шифруется на раз), к каждому имени файла добавлено циферков и букв, в расширении каждого файла, что то новое. Как правило в каждой папке с зашифрованными файлами есть текстовый файл с текстом на английском куда отправить просьбу о расшифровке, обычно выглядит так

all your data has been locked us You want to return?
write email ххx@хххх.хх


Собственный опыт борьбы с этой заразой:
1. ЛЮБОЙ антивирус - 100% гарантии не даст (они умеют лечить только то, что знают). Для неверующих - попробуйте к архиву winZip добавить пароль хотя бы из 10 символов. Кто его, пароль, подберет - лично дам штуку баксов!  И какой антивирус на это среагирует?!
2. Новая разновидность шифровальщиков этого, 2019, года - из разновидности Crusis - HARMA/DHARMA/EBOLA как правило эти слова и есть расширения зашифрованных файлов, после оригинального имени файла обычно присутствует уникальный ID номер, по которому авторы заразы за энную сумму баксов подберут/дадут/продадут ключик для расшифровки.
3. В зараженном компьютере в папке автозагрузки присутствует как минимум один экзешный файл.
4. С зараженного компьютера вирус пытается зашифровать все, что находится на ПК и в открытом доступе в локальной или VPN сетке.
5. Как он попадает? По RDP с простыми паролями и со стандартным портом 3389, через почту (аля я с налоговой, вы нам должны), через "я тут качнул бесплатно кино и активировал винду".

Если все таки словили шифровальщика:
1. отключить зараженный ПК от сети и интернета, как его опознать точно сказать тяжело, если на ПК появляются новые учетные записи, я про винду, сразу стоит насторожиться.
2. с чистого ПК зайти на ресурс https://www.nomoreransom.org/crypto-sheriff.php?lang=ru и в разделе "Крипто-шериф" отправить пару зашифрованных файлов, если Вам повезет, то можно подобрать расшифровщика (декриптора).
3. воспользоваться ранее сохраненным бэкапом данных/системы.

Меры предосторожности:
1. Резервные копии - это самое надежное, хоть данных хоть системы в целом, копия системы лучше, восстановить быстрее получится.
2. В винде ставить антивирусник и включать брэндмауер, не отключать контроль учетных записей. Я тут читал на форуме, что для установки UTM ЕГАИС надо отключать БМ, чушь полная (ну почитай справку и разреши порты или приложения через БМ.... спать спокойней будешЬ), ставится он нормально и с включенным БМ при условии нормальных дров на носители КЭП.
3. Если без RDP работать не можете, делайте нестандартные порты на RDP после инета, + километровые пароли на RDP, Любителям VPN также стоит грамотно построить структуру открытых ресурсов.
4. как пример использовать недорогое резервное хранение на решениях от WD MyCloud хотя бы. НЕ РЕКЛАМА.

В итоге про зараженность двух клиентов:
1. первые потеряли только одну базу 1С, и то восстановили ее с месячной резервной копии. Этот клиент использовал резервирование данных на внешний HDD, когда вирус начал действовать спохватились не сразу, потому одна копия одной из баз 1С была зашифрована. Отключив внешний HDD спасли все остальные резервные копии. В данном случае было расширение на зашифрованных файлах EBOLA.
2. вторые потеряли УВЫ все, расширение зашифрованных файлов было уже HARMA, бэкапов не было, два магазина были связаны по OVPN (через Padavan) + RDP с простейшим паролем. На OVPN грешить не надо, у связанных по OVPN были папки с базами расшарены, тем более с полными правами. Данным товарищам пришлось делать полный переучет в чистые базы 1С в двух магазинах. Благо кассовые ПК были без обще доступных ресурсов, на время восстановления кассы работали с ранее загруженной базой товаров. Хотя.... они наконец то и навели у себя порядок в учете!!!

Тут, наверное, может возникнуть вопрос - а ты куда смотрел? Ответ - за одну сумму - я буду подсказывать, чем то помогать и рекомендовать, а рекомендации были и не раз.... За другую сумму я буду сам отслеживать, что там и где происходит.

Ради эксперимента, я с вновь созданного почтового ящика отправил просьбу о предоставлении расшифровки данных с текстом - я русский, мол и так под санкциями, денег нема, помАгите бесплатно - ответ пришел через пару часов (походу от индуса), где была просьба отправить один из зашифрованных файлов размером не более трех мегабайт. Что я и сделал, отправил зашифрованный вордовский файл. Примерно через сутки пришел ответ со скриншотом открытого файла. В тексте письма была информация - по вашему ID зашифрованного файла, мы оценили восстановление ваших данных в сумму 3000$, если на указанные реквизиты в биткоинах средства не поступят к нам в течении 24 часов сумма за восстановление ваших данных будет ОТ 5000$.  тут, кстати, можно предположить, что в момент шифровки файлов, при подключенном интернете, им (мошенникам) сливается информация об объеме зашифрованных данных. Понятно, что я им платить ни чего не собирался, через две недели сумма за расшифровку с 3000$ упала до 500$..... Выводы делайте сами.

Для информации - есть теперь новый вид "бизнеса" (есть в сети такие "помогатели") - мы расшифруем ваши данные, только эти товарищи просят предоставить им зашифрованный файл и информацию куда отправлять запрос о расшифровке, а так как они выступают посредниками с определенными скидками,  они делают то же самое, что могли бы и вы при оплате мошенникам.

Но к сожалению слишком много историй с выплатами мошенникам заканчиваются так - мы отправили деньги, а они проанализировав объем данных попросили еще столько же....

Если у кого то есть информация по защите от данной заразы предлагаю делиться!
 

Оффлайн PuRGen

  • Наш человек
  • Эксперт
  • ***
  • Сообщений: 3468
  • Похвалили: 807 раз(а)
  • Роман
  • Откуда: Камышлов Свердловская обл.
Re: Вирусы шифровальщики
« Ответ #1 : 04/10/2019 00:13:51 »
Тема не совсем профилная для данного форума, но актуальная.
Какая защита? Только бакапы, при чём такие, куда зараза не дотянется.
Как так можно? Например отдельный сервер бакапов забирает себе снимки дисков, копии виртуальных машин и.т.п. куда у самих компов доступа нет. Отправка резервных копий в хранилища, куда рабочей системе разрешена только запись и чтение, но не изменение и удаление..... думаю смысл ясен.
 
Это сообщение считают полезным: jindos, Master X, Олег Арм

Оффлайн IT26

  • Новичок
  • Сообщений: 15
  • Похвалили: 1 раз(а)
  • Откуда: Красноярск
Re: Вирусы шифровальщики
« Ответ #2 : 04/10/2019 00:36:02 »
Можно облачность хотя бы гугла или подобных использовать, если объемы вменяемые. В данном случае надо брать во внимание скорострельность передачи данных при местном интернете. Понятно что на гугло или подобное облко зараза не залезет, н надо понимать, что бесплатно в таких облаках только одна копия хранится. А если уже туда залили зашифрованную копию....

Кстати очень полезная вещь это - теневые копии винды, если на любой файл ткнуть пкм/свойства то через вкладку "Предыдущие версии" можно вытянуть ранний вариант файла. Но это надо предварительно настроить.

К примеру https://xakep.ru/2016/05/09/faq-windows-shadow-copy/
 

Оффлайн drfaust

  • Резидент
  • Эксперт
  • ****
  • Сообщений: 5237
  • Похвалили: 575 раз(а)
  • Я не Шариков, просто судьба располосовала мой лоб.
  • Откуда: РФ, Лангепас, MSK+2 (UTC+5)
    • faust.dlinkddns.com
Re: Вирусы шифровальщики
« Ответ #3 : 04/10/2019 00:40:01 »
Если у кого то есть информация по защите от данной заразы предлагаю делиться!
Как-то у каспера или веба(не помню) была такая бесплатная услуга. Им надо тело шифровальщика(на форуме подсказывают как его найти) и несколько зашифрованных файлов. Иногда (далеко не всегда) они могли предоставить декриптор. Естественно вся инфа об этом шифровальщике тут же попадает в их БД.
При этом если учуяли шифровальщика не прогонять антивирем систему - тело шифровальщика будет уничтожено и никто уже не поможет.

Ну а так - под виндой только бэкапы. БД 1Сок и нужные файлы лучше хранить на отдельном сервере с хорошим парольным доступом (SAMBA уже намного лучше чем когда-то и более менее устойчива).
А по 1Ске - так вообще терминальный сервер зарядить на к-либо линухе. Но это всё деньги, а клиент платить не будет пока не останется без зарплаты (1С бух), клиент-банков и т.п.

З.Ы. Тут вспомнилась клиентша. 1С Розница. Зарядил через батник архивацию БД на соседний веник и последующую отправку в облако. Сказал что бы раз в неделю перед уходом домой запускали этот батник. Они всё аккуратно записали в тетрадочку. И что? прихожу полгода спустя - последняя копия только моя, когда показывал/рассказывал. Ну ладно, оживил БД, данные не потерялись, сделал бэкап (проверить, вдруг в батнике "что-то пошло не так") - всё работает...
Не кассами одними жив ЦТО ;-)
 

Оффлайн PuRGen

  • Наш человек
  • Эксперт
  • ***
  • Сообщений: 3468
  • Похвалили: 807 раз(а)
  • Роман
  • Откуда: Камышлов Свердловская обл.
Re: Вирусы шифровальщики
« Ответ #4 : 04/10/2019 00:47:04 »
IT26, Я не про облачность в модном понятии майлов и прочих яндексгуглодисков, я про виртуализацию на предприятии.
в понятии народном, бакапы в папку типояндексодиска с синхронинизацией только туда и запретом перезаписи. Но тут чистить хвосты уже другим способом и с доступом на удаление с другого компа.
 

Оффлайн Master X

  • https://kkt-serv.ru/ и https://forum.kkt-serv.ru/
  • Модератор раздела
  • Эксперт
  • ****
  • Сообщений: Я форумный маньяк!!
  • Похвалили: 899 раз(а)
  • Для Спасибок:9+2!0№2;9!6%6(9)5__0
  • Откуда: г.Горький
    • АРХИВ_Профсоюза
Re: Вирусы шифровальщики
« Ответ #5 : 04/10/2019 00:51:35 »
Всё это лажа. Не использовать виндовс!
На работе поймали. С полгода назад. ФорматЦэ
Кашпировкий фри...
Linux is working. The future is open(Ц)IBM
Если найдёте ошибки в форуме или чего нужно добавить/исправить пишите мне в личку -добавлю/исправлю!
 

Оффлайн Master X

  • https://kkt-serv.ru/ и https://forum.kkt-serv.ru/
  • Модератор раздела
  • Эксперт
  • ****
  • Сообщений: Я форумный маньяк!!
  • Похвалили: 899 раз(а)
  • Для Спасибок:9+2!0№2;9!6%6(9)5__0
  • Откуда: г.Горький
    • АРХИВ_Профсоюза
Re: Вирусы шифровальщики
« Ответ #6 : 04/10/2019 00:54:16 »
И всё куда без пароля(ВСЁ полегло) -сетевые диски.
Linux is working. The future is open(Ц)IBM
Если найдёте ошибки в форуме или чего нужно добавить/исправить пишите мне в личку -добавлю/исправлю!
 

Оффлайн Master X

  • https://kkt-serv.ru/ и https://forum.kkt-serv.ru/
  • Модератор раздела
  • Эксперт
  • ****
  • Сообщений: Я форумный маньяк!!
  • Похвалили: 899 раз(а)
  • Для Спасибок:9+2!0№2;9!6%6(9)5__0
  • Откуда: г.Горький
    • АРХИВ_Профсоюза
Re: Вирусы шифровальщики
« Ответ #7 : 04/10/2019 01:02:19 »
Хорошо, что ключи и всякое повесили на меня. Каждый месяц делаю бэкапы на *rar с паролем. И не храню на компе ключи.
П-пох.ер на все ваши вируы. Б-бздю.
А в целом. Защитник Шиндовс не помог, вроде по дефолту стоит.?
Linux is working. The future is open(Ц)IBM
Если найдёте ошибки в форуме или чего нужно добавить/исправить пишите мне в личку -добавлю/исправлю!
 

Оффлайн geodile

  • Наш человек
  • Эксперт
  • ***
  • Сообщений: 1491
  • Похвалили: 153 раз(а)
  • Откуда: kuzbass
Re: Вирусы шифровальщики
« Ответ #8 : 04/10/2019 01:05:07 »
лет пять назад несколько знакомых попадали под шифровку.
через суппорт лицензионного др.веба отправлял им пару мелких файлов с каждого компа,
они через некоторое время присылали утилиту для восстановления по каждому случаю.
все сработало нормально.
 

Оффлайн IT26

  • Новичок
  • Сообщений: 15
  • Похвалили: 1 раз(а)
  • Откуда: Красноярск
Re: Вирусы шифровальщики
« Ответ #9 : 04/10/2019 01:08:41 »
PuRGen
Я понял, мелкомагазины тут вылетают, они начинают вкладывать деньги когда петух клюнет так, что зашивать долго приходится!

drfaust
Не поможет от новых версий заразы, увы, там тоже не д..., более складывается впечатление, что это новый вид заработка производителя антивирусного ПО. Обратное не доказано!

Master X
Не спорю, а теперь объясните это министерствам подвластным, а еще было бы полезно все таки обозначить - значимость итешника либо виндового либо линуксоидного, от к примеру закупщика работающего на госзакупках по 44фз
 

Оффлайн IT26

  • Новичок
  • Сообщений: 15
  • Похвалили: 1 раз(а)
  • Откуда: Красноярск
Re: Вирусы шифровальщики
« Ответ #10 : 04/10/2019 01:10:41 »
лет пять назад несколько знакомых попадали под шифровку.
через суппорт лицензионного др.веба отправлял им пару мелких файлов с каждого компа,
они через некоторое время присылали утилиту для восстановления по каждому случаю.
все сработало нормально.
Отправляли касперычу, ответ - вылечить поможем, расшифровать - НЕТ! При купленной лицензии. Опять делаем вывод - умеем лечить, что знаем!
 
Это сообщение считают полезным: tamvas

Оффлайн IT26

  • Новичок
  • Сообщений: 15
  • Похвалили: 1 раз(а)
  • Откуда: Красноярск
Re: Вирусы шифровальщики
« Ответ #11 : 04/10/2019 01:15:52 »
Хорошо, что ключи и всякое повесили на меня. Каждый месяц делаю бэкапы на *rar с паролем. И не храню на компе ключи.
П-пох.ер на все ваши вируы. Б-бздю.
А в целом. Защитник Шиндовс не помог, вроде по дефолту стоит.?
А rar зашифруют?! Неееее только внешний бэкап!
 

Оффлайн Master X

  • https://kkt-serv.ru/ и https://forum.kkt-serv.ru/
  • Модератор раздела
  • Эксперт
  • ****
  • Сообщений: Я форумный маньяк!!
  • Похвалили: 899 раз(а)
  • Для Спасибок:9+2!0№2;9!6%6(9)5__0
  • Откуда: г.Горький
    • АРХИВ_Профсоюза
Re: Вирусы шифровальщики
« Ответ #12 : 04/10/2019 01:19:44 »
Хорошо, что ключи и всякое повесили на меня. Каждый месяц делаю бэкапы на *rar с паролем. И не храню на компе ключи.
П-пох.ер на все ваши вируы. Б-бздю.
А в целом. Защитник Шиндовс не помог, вроде по дефолту стоит.?
А rar зашифруют?! Неееее только внешний бэкап!
А вот рар на почте. Сасай лалка!
Linux is working. The future is open(Ц)IBM
Если найдёте ошибки в форуме или чего нужно добавить/исправить пишите мне в личку -добавлю/исправлю!
 

Оффлайн Master X

  • https://kkt-serv.ru/ и https://forum.kkt-serv.ru/
  • Модератор раздела
  • Эксперт
  • ****
  • Сообщений: Я форумный маньяк!!
  • Похвалили: 899 раз(а)
  • Для Спасибок:9+2!0№2;9!6%6(9)5__0
  • Откуда: г.Горький
    • АРХИВ_Профсоюза
Re: Вирусы шифровальщики
« Ответ #13 : 04/10/2019 01:23:13 »
И да, эти ваши шифровальщики по расширениям работают? А если без расширения? Или rar.666 ну тема понятна...

#МОМкПЌсвязь РПссОО10*…d вот так файл обозвать -сработает шифровальщик?
Linux is working. The future is open(Ц)IBM
Если найдёте ошибки в форуме или чего нужно добавить/исправить пишите мне в личку -добавлю/исправлю!
 

Оффлайн PuRGen

  • Наш человек
  • Эксперт
  • ***
  • Сообщений: 3468
  • Похвалили: 807 раз(а)
  • Роман
  • Откуда: Камышлов Свердловская обл.
Re: Вирусы шифровальщики
« Ответ #14 : 04/10/2019 01:24:28 »
А вот рар на почте. Сасай лалка!
Как вариант для небольших объемов. Собственно об чем я и говорил, бакап туда, куда шифровальщик не дотянется.
 
Это сообщение считают полезным: Master X

Оффлайн vvm

  • Наш человек
  • Эксперт
  • ***
  • Сообщений: 1964
  • Похвалили: 290 раз(а)
  • Откуда: Владимир
    • Форум vvm
Re: Вирусы шифровальщики
« Ответ #15 : 04/10/2019 01:28:51 »
Хорошо, что ключи и всякое повесили на меня. Каждый месяц делаю бэкапы на *rar с паролем. И не храню на компе ключи.
П-пох.ер на все ваши вируы. Б-бздю.
А в целом. Защитник Шиндовс не помог, вроде по дефолту стоит.?

fsa делай через снапшот лвм
 

Оффлайн Master X

  • https://kkt-serv.ru/ и https://forum.kkt-serv.ru/
  • Модератор раздела
  • Эксперт
  • ****
  • Сообщений: Я форумный маньяк!!
  • Похвалили: 899 раз(а)
  • Для Спасибок:9+2!0№2;9!6%6(9)5__0
  • Откуда: г.Горький
    • АРХИВ_Профсоюза
Re: Вирусы шифровальщики
« Ответ #16 : 04/10/2019 01:29:53 »
Как итог. На лицензионном ПО должна быть защита. На халявном руки не из жопы у админов -остальные пусть страдают и платят!
Linux is working. The future is open(Ц)IBM
Если найдёте ошибки в форуме или чего нужно добавить/исправить пишите мне в личку -добавлю/исправлю!
 
Это сообщение считают полезным: PuRGen, dima644

Оффлайн vvm

  • Наш человек
  • Эксперт
  • ***
  • Сообщений: 1964
  • Похвалили: 290 раз(а)
  • Откуда: Владимир
    • Форум vvm
Re: Вирусы шифровальщики
« Ответ #17 : 04/10/2019 01:30:32 »
неистово плюсую
 
Это сообщение считают полезным: Master X

Оффлайн PuRGen

  • Наш человек
  • Эксперт
  • ***
  • Сообщений: 3468
  • Похвалили: 807 раз(а)
  • Роман
  • Откуда: Камышлов Свердловская обл.
Re: Вирусы шифровальщики
« Ответ #18 : 04/10/2019 01:33:52 »
Снапшот тема! А по олдсульному, поднять на отдельном компе  фтп только для записи/чтения, но не изменения или удаления и кидать бакапы туда.
 
Это сообщение считают полезным: Master X

Оффлайн IT26

  • Новичок
  • Сообщений: 15
  • Похвалили: 1 раз(а)
  • Откуда: Красноярск
Re: Вирусы шифровальщики
« Ответ #19 : 04/10/2019 01:45:18 »
И да, эти ваши шифровальщики по расширениям работают? А если без расширения? Или rar.666 ну тема понятна...

#МОМкПЌсвязь РПссОО10*…d вот так файл обозвать -сработает шифровальщик?

А чем отличается выше описанный набор символов от любого расширения? В первом посте описано, что система вроде работает, а все остальное нет. Загуглите результат работы вирусни из первого поста в этом году. Хотя бы сеть стоматологий в штатах. Они все на кмс активировались наверное.....
 

Оффлайн Master X

  • https://kkt-serv.ru/ и https://forum.kkt-serv.ru/
  • Модератор раздела
  • Эксперт
  • ****
  • Сообщений: Я форумный маньяк!!
  • Похвалили: 899 раз(а)
  • Для Спасибок:9+2!0№2;9!6%6(9)5__0
  • Откуда: г.Горький
    • АРХИВ_Профсоюза
Re: Вирусы шифровальщики
« Ответ #20 : 04/10/2019 02:01:34 »
Это шиндовсы -там всё можно разрешить, а у вирусни прав больше чем у юзера -шиндовс мастдай!
Linux is working. The future is open(Ц)IBM
Если найдёте ошибки в форуме или чего нужно добавить/исправить пишите мне в личку -добавлю/исправлю!
 

Оффлайн Master X

  • https://kkt-serv.ru/ и https://forum.kkt-serv.ru/
  • Модератор раздела
  • Эксперт
  • ****
  • Сообщений: Я форумный маньяк!!
  • Похвалили: 899 раз(а)
  • Для Спасибок:9+2!0№2;9!6%6(9)5__0
  • Откуда: г.Горький
    • АРХИВ_Профсоюза
Re: Вирусы шифровальщики
« Ответ #21 : 04/10/2019 02:09:01 »
Я по работе АТОЛ30Ф без админа не смог. Там ВСЁ заадминено кроме кассы. Шаг в лево Пароль и нихера не простой симвлов 30 или более. Смотрел за ним на клаве -абсолютный рандом!!!  А как он матерился за ВайВай на мерке, на грит. Спалю что кроме кассы... Про обслугу можешь забыть! Я естественно на мерке 22 заменил на что-то другое...
Linux is working. The future is open(Ц)IBM
Если найдёте ошибки в форуме или чего нужно добавить/исправить пишите мне в личку -добавлю/исправлю!
 

Оффлайн NewKid

  • Резидент
  • Ветеран
  • ****
  • Сообщений: 960
  • Похвалили: 427 раз(а)
  • ЦТО - Центр творчества одаренных
  • Откуда: Чебоксары
Re: Вирусы шифровальщики
« Ответ #22 : 04/10/2019 04:56:32 »
И да, эти ваши шифровальщики по расширениям работают? А если без расширения? Или rar.666 ну тема понятна...

#МОМкПЌсвязь РПссОО10*…d вот так файл обозвать -сработает шифровальщик?

Вирусня нынча хитрая, проверяет сигнатуру файла, обзови хоть как а сигнатура скажет что это архив rar или 7z.
 
Зы У Акрониса есть зона безопасности - защищенный раздел который не видит система, куда акронис ложит файлы бекапа http://www.timosh.ru/safety-zone-acronis-.html

 
 

Оффлайн mrrom

  • Активный форумчанин
  • Старожил
  • **
  • Сообщений: 395
  • Похвалили: 24 раз(а)
  • Откуда: Междуреченск
Re: Вирусы шифровальщики
« Ответ #23 : 04/10/2019 15:29:37 »
Можно облачность хотя бы гугла или подобных использовать, если объемы вменяемые. В данном случае надо брать во внимание скорострельность передачи данных при местном интернете. Понятно что на гугло или подобное облко зараза не залезет, н надо понимать, что бесплатно в таких облаках только одна копия хранится. А если уже туда залили зашифрованную копию....

Кстати очень полезная вещь это - теневые копии винды, если на любой файл ткнуть пкм/свойства то через вкладку "Предыдущие версии" можно вытянуть ранний вариант файла. Но это надо предварительно настроить.

К примеру https://xakep.ru/2016/05/09/faq-windows-shadow-copy/
сетевые хранилища я делаю + dropbox + копия системы на винт. Ловил harma договорились за 300$ востанновили зашифровал все(облочнных храненний не было)
Думаю спасет виртуализация серверов если уж и словили шифровальщика, то убьется виртуальный сервер, а его копия будет жива.
Наша работа во тьме,Мы делаем, что умеем.Мы отдаем, что имеем,Наша работа во тьме.Сомнения стали страстью, А страсть стала судьбою.
 
Telegram @mrrom39
 

Оффлайн suslayer

  • Наш человек
  • Ветеран
  • ***
  • Сообщений: 528
  • Похвалили: 162 раз(а)
  • Откуда: Калуга
Re: Вирусы шифровальщики
« Ответ #24 : 04/10/2019 16:02:44 »
Если у кого то есть информация по защите от данной заразы предлагаю делиться!

Ограниченные права, SRP(App locker), бэкапы.
Хотя.... они наконец то и навели у себя порядок в учете!!!

Именно так это и работает, до момента Х всем совершенно пофиг на Ваши рекомендации, до следующего раза, ибо настроить бэкап != проверять что он работает.
Как-то у каспера или веба(не помню) была такая бесплатная услуга. Им надо тело шифровальщика(на форуме подсказывают как его найти) и несколько зашифрованных файлов. Иногда (далеко не всегда) они могли предоставить декриптор. Естественно вся инфа об этом шифровальщике тут же попадает в их БД.

При наличии лицензии действующей на момент заражения, больно много умных бежало сразу покупать самую бесплатную версию...
З.Ы. Тут вспомнилась клиентша. 1С Розница. Зарядил через батник архивацию БД на соседний веник и последующую отправку в облако. Сказал что бы раз в неделю перед уходом домой запускали этот батник. Они всё аккуратно записали в тетрадочку. И что? прихожу полгода спустя - последняя копия только моя, когда показывал/рассказывал. Ну ладно, оживил БД, данные не потерялись, сделал бэкап (проверить, вдруг в батнике "что-то пошло не так") - всё работает...

Это так не работает, если есть возможность нажать в кнопку "не нажимать", её нажмут. Все должно быть без участия пользователя.
Всё это лажа. Не использовать виндовс!

Что нужно использовать? Линупс? Что там у нас из торгового софта работает, и цену бы не мешало вспомнить...
А в целом. Защитник Шиндовс не помог, вроде по дефолту стоит.?

99% был выключен. К слову в windows 10, начиная с 1803 есть "контролируемый доступ к папкам", что и является один из ступеней защиты от подобного.
Не поможет от новых версий заразы, увы, там тоже не д..., более складывается впечатление, что это новый вид заработка производителя антивирусного ПО. Обратное не доказано!

Складывается впечатление что Вы пытаетесь переложить проблемы с больной головы на здоровую, не имея представление о том с чем столкнулись(читать ниже).
через суппорт лицензионного др.веба отправлял им пару мелких файлов с каждого компа, они через некоторое время присылали утилиту для восстановления по каждому случаю. все сработало нормально.

Отправляли касперычу, ответ - вылечить поможем, расшифровать - НЕТ! При купленной лицензии. Опять делаем вывод - умеем лечить, что знаем!

Расшифровывать поXORенные словом "ухо" файлы одно, расшифровывать RSA 4096 бит - совсем другое. Это к тому что первые шифровальщики криптографию с открытым ключом не использовали в принципе, оно и понятно, выполнится куда быстрее, современные же мощности позволяют делать это быстро даже на самых бюджетных машинах.
#МОМкПЌсвязь РПссОО10*…d вот так файл обозвать -сработает шифровальщик?

Это к вопросу о шиндовс, часто там наблюдаются такие user friendly имена? А вот в нешиндовс...
Зы У Акрониса есть зона безопасности - защищенный раздел который не видит система, куда акронис ложит файлы бекапа http://www.timosh.ru/safety-zone-acronis-.html

Штатные бэкапер от windows server делает тоже самое, история файлов в win8 и выше, умеет ходить в отдельный сетевой ресурс, не нужно даже ничего изобретать.
 

Оффлайн NewKid

  • Резидент
  • Ветеран
  • ****
  • Сообщений: 960
  • Похвалили: 427 раз(а)
  • ЦТО - Центр творчества одаренных
  • Откуда: Чебоксары
Re: Вирусы шифровальщики
« Ответ #25 : 04/10/2019 16:49:32 »
Штатные бэкапер от windows server делает тоже самое, история файлов в win8 и выше, умеет ходить в отдельный сетевой ресурс, не нужно даже ничего изобретать.
Витя, захотел Виндовз Сервер, они тут хрен ложат на лицензию обычного Виндовз и 1Цэ. Покупают лицуху на вынь10про на ибай за 5$ или ваще ставят дигитал лиценз. Ты думаешь у нас в стране кто-то покупает лицензионный софт? Особенно виндовз и 1ЦЭ ? Это ускользающее меньшинство, хотя своим клиентам если делаю под ключ то ставлю все лицензионное, если комп сами берут то в 99% там пиратка.
 

Оффлайн PuRGen

  • Наш человек
  • Эксперт
  • ***
  • Сообщений: 3468
  • Похвалили: 807 раз(а)
  • Роман
  • Откуда: Камышлов Свердловская обл.
Re: Вирусы шифровальщики
« Ответ #26 : 04/10/2019 17:11:44 »
Покупают лицуху на вынь10про на ибай за 5$
Чё так дорого? Там сервер 2016 дешевле стоит :D
 

Оффлайн teh-as

  • Активный форумчанин
  • Свой в доску
  • **
  • Сообщений: 93
  • Похвалили: 11 раз(а)
  • Откуда: Свердловская оласть
Re: Вирусы шифровальщики
« Ответ #27 : 04/10/2019 18:14:14 »
Пихаем 1С на postgre куда-нить на бсд, одномоментно решаем проблему "шифровальщиков" и создания бэкапов. Терминал, к сожалению, нифига не спасает, недавно прибежали к нам с квадратными глазами "што-та 1с не запускается", оказалось умный обновляльщик 1С затащил вирус прям на сервак, в трубу улетели и все шары на этом сервере )) Шары пихаем на ту же бсд, в бсд монтируем NAS`ы. Если религия позволяет, строим инкрементные архивы самого нужного (а не фоток из турции). У себя в офисе такую систему состроил, живет 6 лет, шифровальщиков не боимся ))
 

Оффлайн IT26

  • Новичок
  • Сообщений: 15
  • Похвалили: 1 раз(а)
  • Откуда: Красноярск
Re: Вирусы шифровальщики
« Ответ #28 : 04/10/2019 20:02:35 »
suslayer, при встрече пожму руку, но проблем не перекладываю, решение ПРОЧИТАННОЕ НИЖЕ не помогло. Я не спорю, к первому посту можно приладить сообщение - сам дурак не предугадал. Люблю поговорку - знал бы прикуп........
 

Оффлайн Slava

  • Резидент
  • Эксперт
  • ****
  • Сообщений: 1880
  • Похвалили: 416 раз(а)
Re: Вирусы шифровальщики
« Ответ #29 : 05/10/2019 01:35:24 »
/// Расшифровывать поXORенные словом "ухо" файлы одно, расшифровывать RSA 4096 бит - совсем другое. Это к тому что первые шифровальщики криптографию с открытым ключом не использовали в принципе, оно и понятно, выполнится куда быстрее, современные же мощности позволяют делать это быстро даже на самых бюджетных машинах.

 Позволяют делать что ? Шифровать или расшифровывать?
Как то круто 4096 .
Хотя краем уха слышал , что RSA уже не в тренде , и все перешли на эллиптические кривые .
Вроде там ключ короче , а выхлоп больше .
Вот номер стандарта не помню , если честно .
 

Оффлайн drfaust

  • Резидент
  • Эксперт
  • ****
  • Сообщений: 5237
  • Похвалили: 575 раз(а)
  • Я не Шариков, просто судьба располосовала мой лоб.
  • Откуда: РФ, Лангепас, MSK+2 (UTC+5)
    • faust.dlinkddns.com
Re: Вирусы шифровальщики
« Ответ #30 : 05/10/2019 03:01:47 »
Это так не работает, если есть возможность нажать в кнопку "не нажимать", её нажмут. Все должно быть без участия пользователя.
Да тоже хотел запихнуть в автомат. Штатное 1Сочное - тормозит, архиватор шустрее. Сначала зарядил при первом запуске 1Ски - ноют долго. Комп на ночь вырубается (вырубает его кассирка, закрывая магаз в офисе), причём кассирки постоянно "кочуют" с точки на точку, когда бэкапить (расписание) - х.з. 1Ску почему-то держат постоянно включенной (а значит и файлы бд залочены)... Ну они не на ТО - ССЗБ...
Всё делалось с минимальным бюджетом.

Пихаем 1С на postgre куда-нить на бсд, одномоментно решаем проблему "шифровальщиков" и создания бэкапов.
Это отдельный комп и его настройка - жаба мелко-средних клиентов душит подобное сооружать.
Крупные своих ITшников имеют.

З.Ы. А так, стоило тут про шифровальщики пописать как полезла гуглореклама "https://deshifro.wixsite.com/site?yclid=5839903716913481734" всего-то за 15 килорублей, что сопоставимо со стоимостью шантажа. Может они их и распихивают?
Не кассами одними жив ЦТО ;-)
 

Оффлайн Slava

  • Резидент
  • Эксперт
  • ****
  • Сообщений: 1880
  • Похвалили: 416 раз(а)
Re: Вирусы шифровальщики
« Ответ #31 : 05/10/2019 05:16:31 »
Не херня это всё никто не расшифрует  .
Пример выше про ксор с" ухо" .
Есть такое понятие " критерий завершенности " .
Допустим мы тупо заксорили строку и объявили - "Каждый  " элемент в строке тупо ксорится
с некоторым  однобайтным числом .Всего имеем 255 вариантов .
Первый случай, объявляем , что зашифрована фраза на русском языке ( английском , французском .. и т.д)
Заиписьки , после перебора 255 вариантов мы выбрали тот , который выдал осмысленную фразу .
Теперь задача усложнется . Человек говорит , я загадал 64 цифры , поксорил каждую с неизвестным числом.
Результат на табло . Какое число я загадал ?

Да хз какое ты число загадал и никому нах не надо его угадывать .
То есть Касперски утверждает , что не зная ни алгоритма злодея , ни содержимое файла он размотает
обратно ?

 

Оффлайн suslayer

  • Наш человек
  • Ветеран
  • ***
  • Сообщений: 528
  • Похвалили: 162 раз(а)
  • Откуда: Калуга
Re: Вирусы шифровальщики
« Ответ #32 : 06/10/2019 17:29:56 »
Витя, захотел Виндовз Сервер, они тут хрен ложат на лицензию обычного Виндовз и 1Цэ.
Как это влияет на работу озвученных механизмов?
Ты думаешь у нас в стране кто-то покупает лицензионный софт? Особенно виндовз и 1ЦЭ ?
Это не относится к теме топика, но отвечу. Думаю да, а лицензии не покупают ровно до того момента пока существует возможность пользоваться софтом не покупая его. При этом ключевым фактором для покупки может быть не какая нибудь проверка или отсутствие кряка, а страшное неудобство. Тоже однострадание с каждым релизом гайки закручивает все сильнее, и уже сейчас не купив итс в той же говнорознице ты будешь каждые 10 минут в РМК наблюдать "введите регистрационную информацию", с кнопочками "ввести" и "закрыть". Казалось бы можно пользоваться, только жми каждые 10 минут в кнопарь, но на второй день ты понимаешь что пользоваться этим невозможно и покупаешь итс.
решение ПРОЧИТАННОЕ НИЖЕ не помогло
Вы видимо не поняли смысл, я пытался Вам объяснить разницу почему некоторые виды шифровальщиков расшифровывают вирусные лаборатории, а некоторые нет, дабы не возникало глупых на мой взгляд домыслов о том что разработкой этого занимаются сами антивирусные лаборатории.
Позволяют делать что ? Шифровать или расшифровывать?
Как то круто 4096 .
Хотя краем уха слышал , что RSA уже не в тренде , и все перешли на эллиптические кривые .
Вроде там ключ короче , а выхлоп больше .
Вот номер стандарта не помню , если честно .
А всё, я в частности aes-ni имел ввиду. Насчет ECC все именно так, стандартов там великое множество и например secp521r1 ~ в 10-15 раз быстрее RSA 4096, следовательно возникает вопрос, почему не используют их? Ответ прост до безобразия, очень большое количество шифровальщиков покупается "конструктором" на нужных форумах, остается только вписать свой email/сервера, и в большинстве случаев это старые версии которые написаны еще с RSA.
То есть Касперски утверждает , что не зная ни алгоритма злодея , ни содержимое файла он размотает
обратно ?
Никто такого не утверждает, это домыслы автора поста которому я пытался разъяснить разницу.
« Последнее редактирование: 06/10/2019 18:16:59 от suslayer »
 
Это сообщение считают полезным: Slava

Оффлайн promah

  • Шил, шью, буду шить.
  • Наш человек
  • Эксперт
  • ***
  • Сообщений: 3275
  • Похвалили: 516 раз(а)
  • Снимаю, порчу, лечу по фотографии
Re: Вирусы шифровальщики
« Ответ #33 : 06/10/2019 20:52:39 »
Лучший антивирус - прямые руки пользователя !



Все , CRASHеные базы умерли благодаря наивности самих юзеров  , либо их доверенных лиц - ибо нехрен всякое гавно на почте открывать , бизнесмены , прайсы зырели ... дозырелись .Упали базы безвозвратно все , кроме тех , что упали благодаря умершим винтам  и "SHUTDOWN NOW сцукоибыстрее ",потому как продавцам домой пора  , бывает, что системникам и с ноги прилетает ( вмятины на корпусе ....) , но такие тож как то удаётся поднять , восстановить ,а те ,первые , самонадеяные  -  вот у них вечно откатываем ,если есть на что .
 

Оффлайн Chel

  • Наш человек
  • Постоялец
  • ***
  • Сообщений: 112
  • Похвалили: 21 раз(а)
  • Откуда: Челябинск
Re: Вирусы шифровальщики
« Ответ #34 : 11/10/2019 19:12:29 »
вот еще один шаг к защите - заклей дыру в винде. https://habr.com/ru/company/solarsecurity/blog/451864/
опять обнаружена уязвимость RDP
словил намедни harma, посекло конечно, но не критично, быстро рубанул зараженный сервак. просто ПОВЕЗЛО
такое ощущение, что эта зараза в первую очередь пытается жрать 1С-ные базы и каталоги с названием 1С, что в общем-то логично, больше вероятности того, что денег заплатят.
изменение расширения файлов и имен не спасает! у меня зашифровал, видимо читает дескриптор. гаг-архивы тож пожрал. 1С-ные базы на скуле выжили просто потому что на отдельном серваке и без шар
удивило что ярлыки (xxx.lnk) зашифровал и файлы настроек сеанса пользователей NTUSER.dat 
 

Оффлайн tridentxp

  • Резидент
  • Эксперт
  • ****
  • Сообщений: 6815
  • Похвалили: 873 раз(а)
  • Откуда: ARMвиль
Re: Вирусы шифровальщики
« Ответ #35 : 11/10/2019 19:50:37 »
гаг-архивы тож пожрал.
в винхексе файло проинвертируй. хрен какая малварь поймёт что там.
то, что дарвин и вы называете эволюцией, является лишь умыслом Отца.
 

Оффлайн promah

  • Шил, шью, буду шить.
  • Наш человек
  • Эксперт
  • ***
  • Сообщений: 3275
  • Похвалили: 516 раз(а)
  • Снимаю, порчу, лечу по фотографии
Re: Вирусы шифровальщики
« Ответ #36 : 11/10/2019 21:46:45 »
вот еще один шаг к защите - заклей дыру в винде.
Нам за это не платят
 

Оффлайн Master X

  • https://kkt-serv.ru/ и https://forum.kkt-serv.ru/
  • Модератор раздела
  • Эксперт
  • ****
  • Сообщений: Я форумный маньяк!!
  • Похвалили: 899 раз(а)
  • Для Спасибок:9+2!0№2;9!6%6(9)5__0
  • Откуда: г.Горький
    • АРХИВ_Профсоюза
Re: Вирусы шифровальщики
« Ответ #37 : 11/10/2019 23:56:25 »
Страдайте!
Linux is working. The future is open(Ц)IBM
Если найдёте ошибки в форуме или чего нужно добавить/исправить пишите мне в личку -добавлю/исправлю!
 

Оффлайн drfaust

  • Резидент
  • Эксперт
  • ****
  • Сообщений: 5237
  • Похвалили: 575 раз(а)
  • Я не Шариков, просто судьба располосовала мой лоб.
  • Откуда: РФ, Лангепас, MSK+2 (UTC+5)
    • faust.dlinkddns.com
Re: Вирусы шифровальщики
« Ответ #38 : 13/10/2019 18:50:58 »
Есть схема
БД под SQL держится на линуксе - ещё пока не знаю как раздаётся, надеюсь не через щару, потом стоит 1С-сервак на винде - клиенты терминалы...
Знаюшие люди - каковы шансы проебать БД в случае "прошаренного" шифровальщика?
Как рзадётся БД я не знаю, если обычная безпарольная самба - то от линух-сервера уже ничего не зависит...
Не кассами одними жив ЦТО ;-)
 

Оффлайн PuRGen

  • Наш человек
  • Эксперт
  • ***
  • Сообщений: 3468
  • Похвалили: 807 раз(а)
  • Роман
  • Откуда: Камышлов Свердловская обл.
Re: Вирусы шифровальщики
« Ответ #39 : 13/10/2019 23:42:31 »
Есть схема
БД под SQL держится на линуксе - ещё пока не знаю как раздаётся, надеюсь не через щару, потом стоит 1С-сервак на винде - клиенты терминалы...
Знаюшие люди - каковы шансы проебать БД в случае "прошаренного" шифровальщика?
Как рзадётся БД я не знаю, если обычная безпарольная самба - то от линух-сервера уже ничего не зависит...
Если база под SQL, то шара не нужна. Сервер баз 1с цепляется на порт SQL. Если сами на этом серваке шар не раздавали, то и шифровальщику там ничего не светит. Ну и SQL сервак на другой машине (физической либо виртуальной) должен быть.
У меня сейчас вообще по трем виртуалкам под vmware esxi разнесено. sql, сервер баз 1с и терминальный. сервак резервного копирования физически другой, он бакапит целиком виртуалки.
 

Оффлайн NewKid

  • Резидент
  • Ветеран
  • ****
  • Сообщений: 960
  • Похвалили: 427 раз(а)
  • ЦТО - Центр творчества одаренных
  • Откуда: Чебоксары
Re: Вирусы шифровальщики
« Ответ #40 : 14/10/2019 03:49:13 »
Есть схема
БД под SQL держится на линуксе - ещё пока не знаю как раздаётся, надеюсь не через щару, потом стоит 1С-сервак на винде - клиенты терминалы...
Знаюшие люди - каковы шансы проебать БД в случае "прошаренного" шифровальщика?
Как рзадётся БД я не знаю, если обычная безпарольная самба - то от линух-сервера уже ничего не зависит...
1C Сервер можно подключить по tcp, mssql и postgres тоже работает по tcp.
 

 

Sitemap 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15