Цитата:
А вы уверены, что в созданной вами копии файлы уже не зашифрованы?Уверены, на бэкап пароль ставится.
» Вирус(ы) в Windows XP,Vista,7,8,8.1. Проблемы. Решения.
Цитата:
Цитата:
...на бэкап пароль ставится
Цитата:
А вы уверены, что в созданной вами копии файлы уже не зашифрованы?
На колу мочало...
Последние из шифровальщиков также не шифруют сетевые ресурсы открытые на полный доступ, это также спасло кучу данных в одной фирме которая работает с сетевым хранилищем, локальные данные были зашифрованы.
Две самые работоспособные Девушки этой фирмы проверяя почту, запустили из архива вложения файл с раширением .SCR (скринсэйвер виндов, голимый EXE). Письмо было адресовано от конкретного человека и только на ихи две корпоративные почты, с названием темы содержаним слово договор и Название ихней фирмы, архив также имел название договор для фирмы. Девушки просто не посмотрели на расширение запускаемого файла и процесс шифрования скрытно пошел.
Очень интересно потом посмотреть время создания шифрованных файлов по всему диску, ох и шустро у него это получается.
PS Время компиляции вируса было 8 часов вечера предыдущего дня, разослан ночью этого дня. Антивирус Аваст на обоих машинах не сказал видимо ни слова. Хотя его проверка новых файлов по 30 секунд иногда задалбливает, чего интересно он в этот раз не обнаружил, не понятно.
Две самые работоспособные Девушки этой фирмы проверяя почту, запустили из архива вложения файл с раширением .SCR (скринсэйвер виндов, голимый EXE). Письмо было адресовано от конкретного человека и только на ихи две корпоративные почты, с названием темы содержаним слово договор и Название ихней фирмы, архив также имел название договор для фирмы. Девушки просто не посмотрели на расширение запускаемого файла и процесс шифрования скрытно пошел.
Очень интересно потом посмотреть время создания шифрованных файлов по всему диску, ох и шустро у него это получается.
PS Время компиляции вируса было 8 часов вечера предыдущего дня, разослан ночью этого дня. Антивирус Аваст на обоих машинах не сказал видимо ни слова. Хотя его проверка новых файлов по 30 секунд иногда задалбливает, чего интересно он в этот раз не обнаружил, не понятно.
Цитата:
Последние из шифровальщиков также не шифруют сетевые ресурсы открытые на полный доступ
Смотря, что реализовано в нем (шифровальщике), а последний он или первый не суть.
PS Уверенный Gomerr уже забанен, я еще пост не успел набрать. )
Добавлено:
Цитата:
чего интересно он в этот раз не обнаружил, не понятно
вы сами себе ответили
Цитата:
Время компиляции вируса было 20 часов предыдущего дня
Цитата:
PS Уверенный Gomerr уже забанен, я еще пост не успел набрать.
Примерно так же работает и шифровальщик.
Так. Подведем итог.
Есть возможность безопасно хранить нужные файлы на внешнем носителе.
Как уберечь эти файлы, если прописан путь сохранения на этот носитель?
А если его не прописать, то юзер не будет заморачиваться этим вопросом, и будет все сохранять к себе на стол. ИМХО! Его хрен заставишь. Если у шефа всегда он прав, а ты виноват, не обеспечил защиту.
Ну и что делать?
Цитата:
Ну и что делать?
Вешаться, если ЮЗЕР-шЕФ под админом...
Цитата:
то юзер не будет заморачиваться этим вопросом
Ему за это (заморачиваться) никто не платит.
Цитата:
и будет все сохранять к себе на стол
Его (юзера) дело мышкой в пасьянсе щелкать, а не думать что-то там сохранять. Читайте предыдущую страницу... пропишите правила в Applocker, да мало ли чего в голову... например, в гугле порыться.
KLASS
Цитата:
Мелочь, но в той же Win7 AppLocker есть только в редакциях Enterprise и Ultimate.
Craker
Как ещё один вариант - та же HIPS-защита.
Цитата:
пропишите правила в Applocker
Мелочь, но в той же Win7 AppLocker есть только в редакциях Enterprise и Ultimate.
Craker
Как ещё один вариант - та же HIPS-защита.
Цитата:
Applocker
Не вариант!
Цитата:
HIPS-защита.
По большей части не работает против шифровальщиков.
Как показывает практика.
Сколько уже каспер пропустил. Поведенчиский анализ, при действиях шифровальщика, не показывает не чего, так сказать, противозаконного.
А если так, то пока уповаем на сознательность моих юзеров. Тем более что мои девочки такими и являются.
Просто хотелось чуть чуть облегчить работу.
Craker
"Убегайте" от шЕФА-админа на другой комп, например
История файлов 8.1 (если 7-Bittorrent Sync)=>другой_комп, где обязательно включена Защита системы для раздела.
Добавлено:
и место под защиту на всю катушку
Добавлено:
Можно и Robocopy использовать, по расписанию, не важно, лишь бы смотаться по дальше.
Bittorrent Sync, кстати, в разы быстрее синхронит, чем по сети через Robocopy или Историю файлов. У мну домашний комп с рабочим так синхронятся, инфа всегда актуальна.
"Убегайте" от шЕФА-админа на другой комп, например
История файлов 8.1 (если 7-Bittorrent Sync)=>другой_комп, где обязательно включена Защита системы для раздела.
Добавлено:
и место под защиту на всю катушку
Добавлено:
Можно и Robocopy использовать, по расписанию, не важно, лишь бы смотаться по дальше.
Bittorrent Sync, кстати, в разы быстрее синхронит, чем по сети через Robocopy или Историю файлов. У мну домашний комп с рабочим так синхронятся, инфа всегда актуальна.
В NTFS есть возможность запретить дозапись данных, не совсем ясно что это, но если это запрет на изменение уже записанного файла - это то что вам нужно.
ред.
Да, проверил. Это можно использовать как защиту от шифровальщиков.
https://yadi.sk/d/n9nFzt0rewwx7
В такую папку можно копировать\удалять файлы. Изменить файлы в ней невозможно.
Создать папку внутри тоже невозможно, нужно добавить необходимые папки перед изменением прав доступа.
Файлы для редактирования можно открывать прямо из такой папки, а сохранять уже с новым именем.
Проверял через Hex Editor Neo и через hex R-Studio - редактированию файлы не поддаются.
Лучше чем хипсы и подобные чудеса. Я полагаю
Craker
Пропиши путь на такую папку на носителе.
ред.
Да, проверил. Это можно использовать как защиту от шифровальщиков.
https://yadi.sk/d/n9nFzt0rewwx7
В такую папку можно копировать\удалять файлы. Изменить файлы в ней невозможно.
Создать папку внутри тоже невозможно, нужно добавить необходимые папки перед изменением прав доступа.
Файлы для редактирования можно открывать прямо из такой папки, а сохранять уже с новым именем.
Проверял через Hex Editor Neo и через hex R-Studio - редактированию файлы не поддаются.
Лучше чем хипсы и подобные чудеса. Я полагаю
Craker
Пропиши путь на такую папку на носителе.
Vanfear
Спасибо!
Завтра же это сделаю!!!
Спасибо!
Завтра же это сделаю!!!
Craker
У вас шеф под админом?
У вас шеф под админом?
Цитата:
У вас шеф под админом?
То то и беда.
Цитата:
То то и беда.
Вирь, запущенный из под админа, всегда может поднять права на запись в мгновение ока и зашифровать все.
Это вы понимаете или нет?
а) вы не понимаете, тогда говорить дальше бесполезно.
б) вы понимаете, тогда что вы: "завтра же это сделаю". Смысла в этом нет никакого.
Либо вы объясняете (а лучше показать на примере, в той же виртуалке) шефу почему не надо сидеть под админом и чем это чревато, либо, копируйте данные на другой комп с защитой раздела. Вирь и туда доберется и шифронет все, но не убьет Предыдущие версии файлов, откуда в последствии вы и восстановите данные.
Цитата:
Либо вы объясняете
Именно с этого я и собираюсь начать. Шеф единственный, кто сидит под админом. И пока не давал не чего менять на своем компе. Если будет упираться, попробую наглядно показать. Вообще то он у нас адекватный.
Огромное спасибо за помощь.
Cracker
Если вы считаете что назначения прав средствами ФС будет недостаточно для защиты данных, можно взамен этому способу всё же рассмотреть вариант с использованием хипса от комодо.
Он мощный и лёгкий. А после настройки нескольких правил его присутствие в системе вообще будет незаметно. Я помогу с его настройкой если будут сложности.
Принцип там таков: выбираете какие папки с файлами защищать, создаёте группу правил и добавляете несколько приложений которым разрешено выполнять операции с данными в этой папке, это explorer.exe, word.exe и антивирус - пусть будет drweb.exe; затем хипс переводится в тихий режим и любые потуги приложений не вошедших в созданный список будут тотально блокироваться без уведомлений. Он бесплатный, и не придётся ничего объяснять упёртому босу, только поставить программу на его пк.
Если вы считаете что назначения прав средствами ФС будет недостаточно для защиты данных, можно взамен этому способу всё же рассмотреть вариант с использованием хипса от комодо.
Он мощный и лёгкий. А после настройки нескольких правил его присутствие в системе вообще будет незаметно. Я помогу с его настройкой если будут сложности.
Принцип там таков: выбираете какие папки с файлами защищать, создаёте группу правил и добавляете несколько приложений которым разрешено выполнять операции с данными в этой папке, это explorer.exe, word.exe и антивирус - пусть будет drweb.exe; затем хипс переводится в тихий режим и любые потуги приложений не вошедших в созданный список будут тотально блокироваться без уведомлений. Он бесплатный, и не придётся ничего объяснять упёртому босу, только поставить программу на его пк.
Vanfear
Если бы еще знать в какие папки Шеф запихнет свои файлы. И какие папки и где будут созданы.
Но все равно, огромное спасибо. Это очень интересно и обязательно рассмотрю этот вариант для себя.
А вообще надо мне отказаться от этого дела. Пусть берет сисадмина на работу. А то повесил все на чайника.
Наладил ему сеть. А теперь он считает что я все могу. А я обычный чайник, просто любопытный.
Ну вот поплакался и легче стало.
Извините за флуд.
Если бы еще знать в какие папки Шеф запихнет свои файлы. И какие папки и где будут созданы.
Но все равно, огромное спасибо. Это очень интересно и обязательно рассмотрю этот вариант для себя.
А вообще надо мне отказаться от этого дела. Пусть берет сисадмина на работу. А то повесил все на чайника.
Наладил ему сеть. А теперь он считает что я все могу. А я обычный чайник, просто любопытный.
Ну вот поплакался и легче стало.
Извините за флуд.
Ты же писал что какую-то папку выделил для сохранения файлов. Что девушки умные у вас.
И пишешь что бос там файлами рулит и вообще первый по тазикам.
Один комп на весь офис?)
Ты ему на пальцах так покажи: просишь помочь - делай что говорю, не хочешь - нанимай сисадмина.
Добавлено:
Кстати есть тонкость при настройке хипса.
При добавлении папки, надо указывать две ссылки: на её содержимое, и на саму папку.
Иначе её можно будет переименовать и удалить.
И пишешь что бос там файлами рулит и вообще первый по тазикам.
Один комп на весь офис?)
Ты ему на пальцах так покажи: просишь помочь - делай что говорю, не хочешь - нанимай сисадмина.
Добавлено:
Кстати есть тонкость при настройке хипса.
При добавлении папки, надо указывать две ссылки: на её содержимое, и на саму папку.
Иначе её можно будет переименовать и удалить.
Цитата:
Ты же писал что какую-то папку выделил для сохранения файлов
А шеф сам с усам! Его доки на его компе хранятся.
Добрый день! Вот и словили наши чудо специалисты vault Вирус зашифровал файлы *.docx и *.xlsx добавив в расширение .vault ... компьютер "обработан" специалистами, так что бэкапы или из теневых копий восстановить файлы не возможно ... Варианты есть или можно больше не заморачиваться ???
Вирус зашифровал файлы *.docx и *.xlsx добавив в расширение .vault ... компьютер "обработан" специалистами, так что бэкапы или из теневых копий восстановить файлы не возможно ... Варианты есть или можно больше не заморачиваться ??? Цитата:
Вот и словили наши чудо специалисты vault
Какие варианты могут быть, если кроме ваших "спецов" его никто не видел.
Пусть выложат для изучения.
Оригинал и зашифрованный.
Оригиналов у них по ходу и не осталось
Цитата:
Пусть вирь выкладывают... сами зашифруемся
Хотя... скорее всего, с перепугу, сразу придавили тело.
Цитата:
так что бэкапы или из теневых копий восстановить файлы не возможно
Пусть вирь выкладывают... сами зашифруемся
Хотя... скорее всего, с перепугу, сразу придавили тело.
Я к тому что если вирус шифрует очень быстро, то может просто правит заголовки или что-нибудь такое простое делает. Сравнить 2 файла бы, интересно. Использует он особенности NTFS или нет..
Vanfear
Там все намного хуже
Там все намного хуже
Даа, похоже правда только хипсом можно защитить данные от шифрования. Или любым другим способом, ограничивающим доступ к файлам и папкам.
DivS 16:32 04-03-2015
Цитата:
вот тут разбор этого зловреда.
Цитата:
Вирус зашифровал файлы *.docx и *.xlsx добавив в расширение .vault
вот тут разбор этого зловреда.
Цитата:
только хипсом
Чего вредного в поведении шифровальщика, например, купленного пользователем за свои кровные?
При чём поведение? я о блокировании доступа к данным с его помощью.
Если ты не понимаешь как это работает, я могу подключиться к твоей виртуалке и показать.
Ясный пример как на пред. странице - explorer.exe имеет доступ к паке и её файлам, а остальные процессы блочатся, как зашифруешь? С темы вирусов поехал на программы?
Если ты не понимаешь как это работает, я могу подключиться к твоей виртуалке и показать.
Ясный пример как на пред. странице - explorer.exe имеет доступ к паке и её файлам, а остальные процессы блочатся, как зашифруешь? С темы вирусов поехал на программы?
Vanfear
Видно я не понял, извиняюсь. В любом случае, грубить не стоило.
Добавлено:
Цитата:
Например, вредоносный код (шифровальщик) выполняется в контексте системного процесса (в нашем случае explorer), "доверенного" по умолчанию. Такое возможно?
Видно я не понял, извиняюсь. В любом случае, грубить не стоило.
Добавлено:
Цитата:
explorer.exe имеет доступ к паке и её файлам, а остальные процессы блочатся, как зашифруешь?
Например, вредоносный код (шифровальщик) выполняется в контексте системного процесса (в нашем случае explorer), "доверенного" по умолчанию. Такое возможно?
Страницы: 123456789101112131415161718192021222324252627282930313233343536373839404142434445464748495051525354555657585960616263646566676869707172737475767778798081828384858687
Предыдущая тема: Незапускаются программы
Форум Ru-Board.club — поднят 15-09-2016 числа. Цель - сохранить наследие старого Ru-Board, истории становления российского интернета. Сделано для людей.