Обещанный пост о том как защитить ПК от вирусов шифровальщиков
Не затруднит список расширений в комментарии выложить? А то с картинки переписывать не удобно.
раскрыть ветку (1)
*.neitrino *.exe *.com *.pif *.scr *.bat *.cmd *.lnk *.cs *.css *.bas *.jar *.jav *.java *.js *.jse *.ht *.htt *.pdc *.pl *.prf *.py *.scf *.sct *.spl *.swf *.vb *.vbe *.vbs *.wcs *.wiz *.ws *.wsh *.cpl *.cab *.vault
показать ответы
Если кому интересна эта тема могу дней через несколько еще один способ защиты выложить так же длиннопостом.
показать ответы
Банковское ПО - просто пестня:
1. программы под DOS (а то и просто bat'ники с безумными скриптами);
2. админские права обязательны;
3. под Win7+ работать не умеют;
3.1. установка строго на диск С;
3.2. данные пишем только папку с exe'шником;
4. программа обрабатывает только файлы XLS, но банк шлёт XLSX;
5. документы MS Word с макросами, которые собственно и генерируют выходной файл;
6. файлы передавать только в неархивированном виде;
6.1 на дискетах 1.,44 МБ;
раскрыть ветку (1)
очень люто плюсую этому гражданину. Банковское ПО для организаций - читай "клиент-банк" редкостное г...... я никогда не понимал, неужели Банк не может нанять нормальную команду программистов или компанию разработчика, которое сможет сделать Банку нормальный софт??
Это же ад и треш аля программка Банк-клиент как девочка девственница - "я без админских прав работать не буду, и через прокси не буду - дай мне директ коннект, и порты у меня другие и не стандартные, многопользовательский режим я не поддерживаю со мной только одному человеку работать одновременно можно, ааааа срок действия ключей ЭЦП к концу подходят? я что за тебя помнить это должна? напоминать не буду" и т.д.
Говорю о таких банках как: Альфа-банк, газпром банк, Номос, Сбербанк, Банк Открытие, Банк России
раскрыть ветку (1)
да больно им похуй на клиентов. ебитесь как хотите это называется. тандер сделали деньги по пилили а вы мучайтесь.
показать ответы
Самая важная строка- первая:
"И так,что вам понадобится- Виндовс...всякие разные"
Потому что на линуксе проблемы просто не возникнет, даже на убунте, которая проще виндовса
раскрыть ветку (1)
к сожалению на Линь люди еще не скоро перейдут но думаю году эдак в 2020-25 доля будет уже куда больше чем сейчас. Если мелкософт как то по новому к себе не зацепят.
показать ответы
Было бы неплохо в конец каждого действия объяснять, что именно мы сделали и для чего, т.к. человеку далекому от IT будет сложно понять, зачем все эти манипуляции.
Да и в целом, нужно понимать, что именно ты делаешь, а не просто галочки расставлять, иначе, в случае чего, потом разбираться с этим будет довольно сложно.
раскрыть ветку (1)
раскрыть ветку (1)
Россия хуле. забугром такого дерьмища нету. Именно в IT сфере. но думаю если копнуть то можно тоже что-то эдакое найти.
Имеется в виду, например, добавляем удаляем *.lnk, этим мы добились того-то. Добавляем расширения, это нам нужно для того-то.
Я имею в виду не простой порядок действий, а понимание, для чего это делается)
раскрыть ветку (1)
а ну я то понимаю) и для тех кому нужно в коментах объясняю, а остальным как правило нужен лишь порядок действий) но я прислушаюсь в следующем посте постараюсь более емко описывать )
раскрыть ветку (1)
ага только "комп чет тупит, в интернете письки сами ко мне лезут, я ничего не нажимал, и ой у меня тут такое дело вообщем что-то винда заблокировалася..." )))
показать ответы
Автор, а что ты думаешь про антивирусники (Касперский, Аваст и тп). Есть ли в них смыл вообще?
И если да, то какой посоветуешь?
раскрыть ветку (1)
По антивирусам. Они защитят тебя от трояна и червя если опять же они не супер новые о которых никто не слышал. От шифровальщика не спасут. Все их системы с якобы защитой от них завязаны либо на белый список разрешенных приложений либо на бекап важных данных.
От обычных троянчиков и червей дома хватит любого бесплатного который ежедневно обновляется (Avast/Avira и тд). От остального они не спасут ИМХО. Я сам антивирь дома не юзаю вообще. раз в месяц сканюсь на всякий Dr Web Cureit. Последний раз нашел 1 троян подхватил когда свеженькую игру с торента качал, а там чувак из проверенной группы новенький их подложил свинью сунув туда троян и то не особо злобный.
показать ответы
Тогда может .neutrino или .cerber добавлять? Да все расширения в которые шифровальщики переименовывают файлы
раскрыть ветку (1)
вполне можно. так как встречал такое что если запустить потом файл он мог запуститься и повторно шифрануть. хотя все равно обычно компы потом форматируются после заражения.
А что делать на предприятиях, где установлены версии Windows Home? Там групповых политик нет.
раскрыть ветку (1)
да у нас тоже есть несколько таких машин. постараюсь тоже как нито пост подготовить раз это тоже интересно.
ну детский сад, а монтироваться под определеным пользователем тоже нельзя?
а еще есть команда что бы отмонтировать диск :)
раскрыть ветку (1)
если ты про ту что отправляет его в офлайн в дискпарте то она не во всех версиях есть, а сравнительно недавно. например в 2003 сервере ее нету.
показать ответы
теперь понятно. а для папок программ, которые находятся не в Program Files, сделать разрешение как и для папки "Install", правильно я понимаю?
раскрыть ветку (1)
да если его там нету. Например в Windows 7 по умолчанию для папки Program Files (x86) разрешение не создается на сколько я знаю.
мне кажется или это повтор 1 в 1 http://pikabu.ru/story/kak_protivostoyat_virusamshifrovalshchikam_3377701
раскрыть ветку (1)
А если у меня на работе по неопытности и неосторожности одной женщины шифровальщик уже пробрался на сервак и все, абсолютно все файлы зашифровал. Что-то возможно сделать? Наши программеры просто развели руками. А у меня вся работа за три года потеряна, мне тяжко сейчас.
Вроде и в доктор веб отсылает файл, но т.к у нас нет лицензии, нас послали.
Вроде и в доктор веб отсылает файл, но т.к у нас нет лицензии, нас послали.
раскрыть ветку (1)
как вариант купить самую дешманскую лицуху. если шифровальщик не новый и супер крутой то они смогут сделать дешифратор и ваши затраты окупятся. Но как же сервак без бэкапов?
показать ответы
раскрыть ветку (1)
а что вы понимаете под этой папкой? Объясняю на пальцах: 1) вы создали папку напримен на диске Д и обозвали ее Install (как у меня в посте) и сделали для нее правила
2) для папки Program Files по умолчанию политика работает и программы оттуда запустятся.
3) чтобы что-то установить вам надо запустить установщик из папки Install которую вы сделали в 1 шаге. и указать папку program Files
Либо сделать еще одну папку куда вы хотите устанавливать софт и устанавливать в нее.
показать ответы
Проще это сделать политиками.
Запрет на запуск экзешников, кроме:
windows\program files (x86)\program files\allusers + какая - нибудь папка с запретом на запись юзерам. Если будут конфликты, глянуть в журнале и разрешить необходимые файлы по хешу, в тех же политиках.
Сидеть с юзера + поставить антивир.
раскрыть ветку (1)
раскрыть ветку (1)
не ярлык а exe файл исполяемый. При таком раскладе у вас все хорошо. Запускаются все ваши документы как обычно и тд. Но например загрузите троянчик с музыкой в загрузки попробуете песенку открыть и политика не даст запустить исполняемый файл.
показать ответы
Прочитал все каменты и только один человек сказал "не сидите под админом". Мда... И эти люди дают советы по безопасности и говорят, что антивирусы не нужны.
раскрыть ветку (1)
100% защиты конечно не существует.
Прошелся по своим "особо одаренным" пользователям - разослал им "предупреждение" о бдительности - ибо шифровальщики в первую очередь пользуются тупостью пользователя, привыкшего к "клик, дабл клик, принимать е-майл, отправлять е-майл... я могу продолжать долго..."© IT Crowd - Такая своего рода "социальная инженерия"
раскрыть ветку (1)
только как правило толку от них 0 от этих предупреждений. пока рублем наказывать не начинают.
показать ответы
@Lokaha, объясни в чём суть данного метода?
то что в списке есть какие то запрещённые расширения и разрешённые запускаемые из какого то каталога, не препятствует "дураку" их (файлы) запустить
раскрыть ветку (1)
Суть в том, что если файл безопасен в 90% случаев проблем не возникнет при обычном запуске, а если тебе при запуске "картинки" например вылетает ошибка то стоит насторожиться не правда ли? Ну и от дурака не защитит ничего. не один антивирус и никакая защита.
показать ответы
раскрыть ветку (1)
все расширения это то что я смог найти на форумах где люди писали что у них шифранулось и тд. по факту он там может и не нужен, но в случае если будет такой файл с вирусом он не пройдет. и получается что добавлен просто чтоб было. там таких расширений спорных несколько.
показать ответы
http://www.it-lines.ru/blogs/security/srp-luchshaya-besplatnaya-zashhita-ot-virusov
https://habrahabr.ru/post/101971/
раскрыть ветку (1)
А если зайти с правами обычного пользователя и в свойствах ярлыка нужной программы выставить "запуск от им. администратора"? Чисто теоретически, проканает?
раскрыть ветку (1)
можно только через командную строку через runas запустить из под юзера что-то с админскими правами, но опять же надо знать данные учетки админа и фактически это пудет запуск приложение от другого пользователя.
раскрыть ветку (1)
кто-то пишет однозначно. Я когда недавно чистил от нового шифровальщика комп от него небыло следов. ни с качанных файлов ничего подозрительного как обычно остается.
если вы сами их не запуститеДа в большинстве случаев таким образом и попадает вирусня.
Фуфло, а не защита. Проще пользователя без прав сделать (запуск от имени администратора еще никто не отменял)
раскрыть ветку (1)
ха ха а ваш пользователь значит не запустит да с правами админа? он наверное глянет на эту надпись напугается и не будет жать?! )
показать ответы
раскрыть ветку (1)
По идее никак, но в вредоносных расширениях она была когда я искал в инете. Если узнаете как она могла тут оказаться был бы рад по читать)
показать ответы
Уважаемый! Позвольте у Вас спросить. Лично столкнулся со следующим: есть организация, там в файлопомойке все файлы зашифрованы. С этой машины никто в интернет не выходит т. к. юзеры не имеют доступа сидеть под админом. Стоит winserver 2003, но это виртуальная машина на debian. Ни один антивирус не нашел тела вируса. Как это могло произойти? P. S. : предыдущий сисадмин не ставил туда антивируса.
раскрыть ветку (1)
А при том, что слетела вся и моя в т.ч. работа. А я сейчас офигею все макеты за три года заново делать. :(
раскрыть ветку (1)
ну однозначно трясите с руководства денежку на лицензии все 3 вам уложатся тысячи в 3 я думаю а то и меньше. и вперед к тех поддержку)
показать ответы
Ааа!!! Помогите девушке-дизайнеру которая офигеет почти все макеты за три года делать заново на работе в "илитном" фитнес-клубе, которые зажмотились на нормальный антивирь, хороших сисадминов и тупо забили йух :((( а мне сейчас страдаааать.
раскрыть ветку (1)
а вы тут простите при чем? ) пускай покупают лицензии нода, веба, каспера и рассылают им образцы. зашифрованный файл + файл которым шифранули и где то с вероятностью процентов в 20-30 вам помогут.
показать ответы
раскрыть ветку (1)
чтобы он туда поселился его нужно либо туда поселить либо запустить что-то эдакое. а раз все режется политикой в большинстве то это практически не реально. но если вы ему поможете то да тут уже не спастись.
показать ответы
раскрыть ветку (1)
писать никто не запрещает туда. просто у вас все ограничивается вашими папками. Тобишь запускаете установщики вы всегда из созданной вами папки а устанавливаете всегда в Program Files (ну или другую папку, но для нее нужно будет прописать разрешение пути как вы уже делали со своей папкой)
показать ответы
Это попытка воссоздать линуксовую модель безопасности: откуда, куда можно писать, нельзя запускать, а туда, откуда можно запускать, нельзя писать.
Только у автора это решение реализовано половинчато: нет запрета на запись.
По факту - велосипед с кучей костылей. Намного эффективнее настроить UAC на параноидальный уровень безопасности и заставлять его спрашивать админский пароль вместо дефолтного "да/нет".
Ну, и естественно, простой юзер этот пароль знать не должен...
раскрыть ветку (1)
эти костыли расчитаны на пользователя дома. который не шибко силен. Так как люди просили именно этого. Защиту на 1 машину без доменов и тд. В корпоративной сети ситуация несколько иная я согласен.
показать ответы
А вы можете пояснить, в чём смысл добавления расширений?
Второй вопрос. Приходит письмо, в нём вложение "срочная платёжка.js". Бухгалтер сохраняет себе на рабочий стол и щёлкает по файлу два раза, либо запускает прямо из почты. Что произойдёт?
раскрыть ветку (1)
смысл добавления расширений в том чтобы заблокировать большинство используемых вредоносами расширений как правило исполняемых.
я бы тупо слепок файла сделал и запритил на запуск и все.
при таком варианте как минимум большая часть ПО от всяких налоговы и тд работать не будет.
раскрыть ветку (1)
ну я об этом предупредил. Вы можете сделать правило пути для вашего персонального ПО и работать будет как положено. Делов на еще 1 минуту. Так что тут проблемы не вижу.
показать ответы
Смысл в них, безусловно, есть. Только у каждой программы несколько видов (простая, полная, расширенная), различаются функционалом. Кроме того, надо уметь настраивать, вот настройка касперского для защиты от шифровальщиков. http://support.kaspersky.ru/10953 ИМХО, сложновато и долго всё это делать.
раскрыть ветку (1)
А вы можете пояснить, в чём смысл добавления расширений?
Второй вопрос. Приходит письмо, в нём вложение "срочная платёжка.js". Бухгалтер сохраняет себе на рабочий стол и щёлкает по файлу два раза, либо запускает прямо из почты. Что произойдёт?
раскрыть ветку (1)
с рабочего стола не запустится 100% из почты никогда не пробовал открывать напрямую на сколько я знаю чтобы файл открыть - его надо скачать.
раскрыть ветку (1)
что кстати говоря тоже накладывает свои неудобства. например гугл хром по умолчанию ставится не в program Files и он перестает запускаться после такого правила.
показать ответы
раскрыть ветку (1)
Объясняя на пальцах. Все расширения что вы добавили в список фильтруются по правилу пути. Соответственно если вы запускаете файл который в этом списке из любой папки кроме той что создали Windows это заблокирует.
показать ответы
Согласен, но как он туда вообще мог залезть, если никто через файлопомойку никуда не выходил?
раскрыть ветку (1)
Еще пара вопросов: как решается проблема с софтом, который ставится в appdata (viber?), или инсталяшки, которые распаковывают или скачивают исполняемые в TEMP. Открыть доступ к этим папкам = свести всю защиту к нулю.
Еще читал, но не проверял, что если убрать .lnk из списка расширений, то можно запускать исполняемые через ярлыки и это брешь в защите. А если вместо этого прописать дополнительное правило на путь *.lnk, то все будет работать как надо.
раскрыть ветку (1)
запускается, если есть правило пути, но думаю и вредонос запустится точно так же как и все остальное.
Еще пара вопросов: как решается проблема с софтом, который ставится в appdata (viber?), или инсталяшки, которые распаковывают или скачивают исполняемые в TEMP. Открыть доступ к этим папкам = свести всю защиту к нулю.
Еще читал, но не проверял, что если убрать .lnk из списка расширений, то можно запускать исполняемые через ярлыки и это брешь в защите. А если вместо этого прописать дополнительное правило на путь *.lnk, то все будет работать как надо.
раскрыть ветку (1)
софту как правило можно указать куда ты хочешь его установить. А инсталяшки норм работают так как папку темп мы не блочим ибо она блочит практически все. про ярлыки интересно попробую проверить.
показать ответы
Прежде чем запуститься, к твоему сведению файл и все содержимое архива копируется в TEMP, откуда уже запускается. Просто ты не видишь, как это происходит.
По поводу поста - а из папки Windows игнорируются эти правила автоматически или при пепезапуске система упадёт?
По поводу поста - а из папки Windows игнорируются эти правила автоматически или при пепезапуске система упадёт?
раскрыть ветку (1)
Прежде чем запуститься, к твоему сведению файл и все содержимое архива копируется в TEMP, откуда уже запускается. Просто ты не видишь, как это происходит.
По поводу поста - а из папки Windows игнорируются эти правила автоматически или при пепезапуске система упадёт?
По поводу поста - а из папки Windows игнорируются эти правила автоматически или при пепезапуске система упадёт?
раскрыть ветку (1)
про Temp спасибо. что-то я про него и подзабыл попробую проверить как скажется на работе блокировка этого каталога через ГП. Из Архиватора теперь блокирует открытие - и это отлично )
Прежде чем запуститься, к твоему сведению файл и все содержимое архива копируется в TEMP, откуда уже запускается. Просто ты не видишь, как это происходит.
По поводу поста - а из папки Windows игнорируются эти правила автоматически или при пепезапуске система упадёт?
По поводу поста - а из папки Windows игнорируются эти правила автоматически или при пепезапуске система упадёт?
раскрыть ветку (1)
по умолчанию созданы 2 правила в политике которые идут для папки Program Files и так как сначала грузится Windows а потом начинает работать ГП то винда не упадет. Проверено на себе и моих клиентах.
показать ответы
раскрыть ветку (1)
Если архив с ПО то так как вы знаете свою защиту вы ее можете отключить. Если не вин рар то никак файлы в архивах не фильтрануть. Ну либо я пока не нашел способ. В других архиваторах этой функции нету. В том числе и в его клоне HaoZip
показать ответы
раскрыть ветку (1)
извлеченные попадут, но архиваторы уже 100 лет как умеют открываться прям из архива. в этом случае политика не спасает к сожалению.
показать ответы