Жду Друзя ) Серега как, кстати?

of63
Серега как, кстати?

Не знаю. Спроси у него сам.

Ястно.

(Растут парни )
(Телефон работает )



Исправлено 2 раз(а). Последнее : of63, 28.02.17 21:52

Влад Колосов
А что за антивирус?

На зараженном компьютере стоял ESET NOD32 (старая 4 версия, т.к. как комп древний совсем, но базы обновлялись). Судя по журналу, он заблокировал и переместил в карантин пару файлов, созданных вирусом в папке temp. При этом письмо пытались открыть дважды, первый раз ничего не произошло (антивирус сработал, заблокировал файл). Второй раз, спустя некоторое время, приложение к письму снова открыли, антивирус два файла заблокировал, но что там дальше было и какие действия пользователь применил, не в курсе. На дальнейшее шифрование файлов антивирус уже никак не реагировал.

of63
А мы что? Давай у ry письмо это попросим, почитаем, проведем эксперимент? Слабо? )

Увы, письмо я уже удалил от греха подальше. Ящик почтовый общий, мало ли кто еще захочет открыть. Оставлять себе зараженный файл и ковыряться в нем тоже особого желания не было. Могу только сказать, что файл с расширением html (размер не помню, но не большой, несколько килобайт), в нем под тэгом <script> какая-то нечитаемая хрень (есть подозрение, что просто игнорируемый браузером мусор), среди которой ссылка на некий php на сайте admin.mavenit.net.
Интересно, что проверка файла на virustotal дала только одно (!) предупреждение, все прочие антивирусы не нашли в файле ничего подозрительного. На файл локально не реагировали ESET NOD32 и Comodo Internet Security. Попытка открытия файла в "песочнице" закончилась сообщением браузера об отсутствии файла для скачивания (возможно, сайт уже чинят), но антивирус Comodo тоже не ругался. Файлы вируса в карантине и сам экзешник вируса на зараженной машине по размеру чуть больше мегабайта.

Тоже было такое. Делопроизводители открыли файл с письмом, утром приходим на работу- везде все зашифровано. Благо, что сохранение данных работает как часы. Восстанавливали из копий.

У меня пришло письмо из Сбербанка. В письме была ссылка на сайт сбербанка с просьбой скачать расчет долга.
Пользователь скачал.
Я проверял - адрес и ссылка действительно Сбербанка. Сам вирус на сайте уже был стерт.
Служба поддержки ДрВеб говорила словами сисадмина из постов выше.
Помог бэкап.

Вааще это какое-то разводилово - неужели нельзя уберечься от такого шифровальщика? Так ведь и придет действительно важное письмо, а ты его не откроешь "на всякий случай". Такое впечатление, что сами антивирусные компании "в деле".

Если он экзешник - то банально не работать под виндой
Ну или настроить параноидальный уровень контроля приложений - запускать только "доверенные" с цифровой подписью exe.
А от скриптов защита одна - не позволять им запускаться

Это настраивается в политике безопасности чи где? И скрипты же бывают разные. Мало ли какие расширения файлов могут быть.

Я лично не настраивал В групповых политиках целый раздел по этим ограничениям, а в некоторых версиях винды ещё и AppLocker встроен...

сегодня прошла эпидемия по городу этого вируса - письмо было типа из ПриватБанка

Хм, нам оказывается тоже присылали, пару недель как, якобы от наших нормальных партнеров. Но вирус "не запустился" (со слов админа), может, потому что письмо получили нормальные юзеры, без админского доступа на компах. А при запуске на компе под админом - запустился.

Все производственные проблемы в своей массе имеют два решения:
1) техническое,
2) административное.

Первое - как правило достаточно сложное в осуществлении, трудоемкое, малоэффективное и требующее постоянного видоизменения.
Второе - применяется однократно, и при правильном осуществлении решает проблему с достаточно высокой эффективностью, при этом действенно очень продолжительное время, вплоть до действительно коренного изменения самой ситуации.

Так же и в данном случае.
Почему-то всегда забывают тот очевидный факт, что компьютерные "вирусы" - это не какие-то там вирусы в живой природе, и что сами собой компьютерные "вирусы" не приходят в компьютеры. По воздуху или через рукопожатие не передаются.
В каждом случае на 99% обычно бывает виноват конкретный пользователь. Ну в каких-то ситуациях (оставшийся 1%) виноват системный администратор, что обычно говорит о невысокой его квалификации, но тут уже с ним надо разбираться отдельно, соответствует ли он своей должности.
Для начала же нужно коренным образом изменить сам взгляд на ситуацию.
Вместо привычного понятия: "компьютер сам заразился" - делая более логичный и в более правильный вывод: "конкретный пользователь заразил компьютер". Иначе говоря - нанес материальный ущерб предприятию.
Соответственно должен быть издан приказ: за заражение компьютера, намеренное или случайное - штраф в размере половины оклада (ну сумму можно уточнить, но она должна быть ощутимой). Далее разумеется нужно провести обучение персонала мерам предосторожности, иначе такой приказ будет бессмысленно жестоким и глупым по сути. Т.е. после вынесения приказа читается в доступной форме лекция о возможных способах заражения и о мерах по его предотвращению. Страх наказания, как перспектива, при этом будет достаточным стимулом для внимания и стремления к пониманию предмета. Разумеется в итоге найдутся и сколько-то "ничего не понявших". Но их дальнейшее вразумление через наказание после заражения их компьютеров станет опять же наглядной демонстрацией для всех остальных.
После чего повторное нарушение они уже едва ли допустят.
Тем более, если в приказе предусмотреть например, что в случае троекратного нарушения такой работник увольняется за "многократное причинение ущерба".

Подобное административное решение способно заменить любые самые навороченные антивирусные программы. А в ряде случаев даже оказаться эффективнее всех их! Т.к. ряд вирусов, в том числе например описанный в данной теме, как выясняется, ими не определяется. А значит антивирусы попросту беспомощны и являются лишь бессмысленной тратой денег и/или ресурсов компьютера.

В подтверждение можно привести элементарный пример. Как известно, можно, не имея никакого антивируса, тем не менее не заражать компьютер. Всего лишь отключив обе возможности заражения - автозапуск флеш-накопителей и ява-скрипты в браузере. Ну и разумеется взяв за правило - никогда не кликать по непонятно чему, как на флешке, так и в интернете. И то и другое в случае угрозы наказания думаю вполне способен усвоить практически любой пользователь. А настройку компьютеров и браузеров (с запретом редактировать эти настройки) разумеется должен провести системный администратор.

В завершение остается лишь добавить - что любое руководство по стандартной своей тупизне обычно не способно осознать саму возможность применения административных решений также и для компьютерной техники. В результате программисты, занимающиеся обслуживанием, постоянно бесполезно тратят человеко-часы и нервы на исправление последствий заражений. Виновники же его всегда остаются безнаказанны и продолжают свои действия, нанося постоянный вред без каких-либо последствий.
Поэтому все вышеописанное к сожалению не более, чем прожект. Который скорее всего никогда и нигде не будет применен. Поскольку в реальности никого из руководителей никогда не интересует эффективность работы его предприятия. Но это уже проблемы всей нынешней структуры, бездарной и бессмысленной в своей сути.





Исправлено 1 раз(а). Последнее : Crispy, 03.03.17 09:20

Всех юзеров научить пользоваться компом и почтой - нереально, (например, попробуй научи папу и маму ). Мб, создать "отдел писем", и через него почту получать, вот его можно как-то научить/стимулировать.

Ну дык ты не понял главный момент. Первое: преступление. И второе: наказание.
И все.

Т.е. ситуация сейчас перевернута с ног на голову. Надо всего лишь вернуть ее на место.
Скажем представь, что ты начальник.
И твой подчиненный каждый день ломает стулья. Нужно вызывать столяров для ремонта.
Один раз - ну кинул стул об стенку, с кем не бывает? Другой раз, так вообще не нарочно, стул упал, а он упал на ножки - они и сломались. Потом опять нечаянно уронил стул и опять упал на него. В другой раз забылся и пинул его, а он как-то неудачно упал и сломался.
Что бы ты делал?

Просто надо начать воспринимать ПО как обычный материальный объект, раз уж он имеет материальную стоимость. И соответственно за порчу, намеренную или нечаянную, наказывать. И ты сам удивишься, как сразу неожиданно "поумнеют" самые глупые пользователи. ;)

> за заражение компьютера, намеренное или случайное - штраф в размере половины оклада (ну сумму можно уточнить, но она должна быть ощутимой).
> И соответственно за порчу, намеренную или нечаянную, наказывать

Ну да, это стимульнет, конечно, кнут всегда стимулирует. Но жалко юзеров, у них оклад, у них возраст, они физически не способны почуствовать/понять какое письмо нехорошее, юзера заменить? на то же самое с переучиванием техпроцессу... Формально - правильно, а по сути...
Проги-антивиры надо писать поумнее, комп настроить юзера чтобы не, этого достаточно, зачем юзера превращать в касперского.

Ну, не знаю.

В современной практике пользовательские профили для удобства бэкапирования документов
предпочтительно хранить удаленно.
Общие ресурсы с документами бэкапируются.
А выявить активность к какому-то важному ресурсу может не только антивирус,
даже простой админ.

Дома после освоения своего файрвола,
удалил антивирус. Жрет он ресурсы и все.
Если будет вирус он в 90% случаев поломится в сеть
файр мне сообщит. Тогда скачаю пробный каспер и просканирую.
И как бы тут моя политика,
ограничение сетевого распространения вирусов.
А еще файр запрашивает разрешение при подозрительной активности приложений,
типа изменения памяти другого приложения, запуска сетевых приложений,
доступа к системным ресурсам.
Поэтому пока не будет под винду аналога Outpost,
не буду его сносить.

На новой работе установил себе ограниченные права,
начали падать разработанные приложения.))

Удивляются а чо ты под админом не работаешь.
Лохи.

У меня личной инфы как бы и нет на компе.
Все что накапливается после работы или фристайла по инету бэкапирую.

У меня в сборщике почты на яндексе около сорока папок.
Туда я скидываю, то к чему мне может понадобиться доступ не из дома.

Вот если вирус туда полезет будет обидно, но не критично.

alex;
На новой работе установил себе ограниченные права,
начали падать разработанные приложения.))

Так есть же возможность обхода этого.
Была статья Крейга Бойда. Я ее как-то переводил, размещал на основном форуме: forum.foxclub.ru

of63
А интересно, че там за скрипт, в чем идея, что даже "антивирус" (например, в лице всемирно известного, Касперского) не может такое простое ловить? Почему ОС разрешает делать такое? Кому предьявлять претензии в таких случаях, что "документ заразил", или "ОС не смогла" ?

Тоже нифига не понятно, почему бы антивирусу не проконтролировать деятельность по массовой перезаписи файлов в каталоге, просто через предупреждение.
Хотя тут может вся и фишка - что exe не трогаются, а трогают выборочно.
Ну можно сделать какой-нибудь усиленный уровень безопасности, чтобы проверялись массовые обработки каталогов?

[attachment 27155 ]