Ярпортал в Телеграм

Поиск

Правила Yarportal.Ru (включая Политику обработки персональных данных)

Здравствуйте, Гость ( Вход·Регистрация )

Сделать Yarportal.Ru стартовой страницей

Ярпортал, форум Ярославля -> Форумы для ярославцев -> Авто-Ярославль

Страницы: (17) « Первая ... 7 8 [9] 10 11 ... Последняя » ( Перейти к первому непрочитанному сообщению )

Вирус, небольшой оффтоп

Подписка на тему | Версия для печати

Черный Плащ	Дата 5.06.2014 - 09:05
Unregistered	А шэдоу копи, живые остаются?

shoosha

Дата 5.06.2014 - 10:59

Группа умных альпинистов обошла гору Эверест!

Профиль
Группа: Пользователи
Сообщений: 447
Пользователь №: 55108
Регистрация: 1.08.2010 - 18:44

Цитата (ZeroOnly @ 5.06.2014 - 00:59)

Цитата (shoosha @ 4.06.2014 - 18:53)

Самое фиговое что было очень сложно что то заподозрить обычному пользователю, письмо пришло с абсолютно реального адреса, от клиента, с которым были сделки по безналу. В письме он просил акты сверки, и прислал список необходимых ему документов. Список и был вирусом, хотя расширение у него было "список необходимых документов_имя клиента_DrWEB_Ok.doc" Вот как то так, у пользователя начал сильно тормозить комп, он мучался какое то время и перезагрузил комп, тем самым спас от зашифровывания сетевой диск - главный диск сервера. Успело зашифроваться более 1000 файлов. Шифровка файлов шла по папкам по-алфавиту...

Ответьте пожалуйста на вопросы:

В почтовых ящиках на публичных доменах типа яндекс ру, мейл ру почта проверяется антивирусом. Ваш ящик был на публичном домене?

На некоторых почтовых сервисах при заходе в почту через браузер файл с расширением doc отображается в превью. Если вы так заходили, что отображалось у вас?

Что происходило после открытия зараженного файла кроме торможения? Запускался ли Word или фактическое расширение у файла было не doc ?

Я еще раз повторюсь, для внимательных Я не админ, я сосед по офису где все произошло!!!

Почта была на яндексе, было там превью или нет - незнаю. Пытались открыть файл, он не открылся, но комп начал тормозить (не сразу) там человек не сидит на месте, он отходил, приходил и т.д. Ненадо тут всех лохами называть, я написал чтобы хоть какая то информация у вас была, поделился опытом, мог ничего не писать и насрать три кучи на все это.

Тюлень_Gin	Дата 5.06.2014 - 12:52
Unregistered	outsayder Ну. Если маленькая контора заинтересована в чем-то, то задумаются. Организовать бекапы в такой конторе будет стоить от 0 до 10 тыр. Или чисто софтово или софтово на отдельный диск. А ещё для таких контор аутсорс существует. Короче вечная тема. Это из серии - построить склад без потолка и ныть, что дождём товары портит

outsayder

Дата 5.06.2014 - 13:04

The IT Crowd

Профиль
Группа: Пользователи
Сообщений: 15874
Пользователь №: 13051
Регистрация: 14.12.2006 - 15:26

Цитата

Это из серии - построить склад без потолка и ныть, что дождём товары портит

наоброт, это построить склад и не ставить на охрану... и молится, обнесут или нет,..... но в одном складе будут телевизоры стоять, а в другом 3 коробки презервативов........

medorov	Дата 5.06.2014 - 17:33
Апчихлырмышь Профиль Группа: Пользователи Сообщений: 2042 Пользователь №: 7514 Регистрация: 13.04.2006 - 14:47	shoosha Да не переживайте и не кормите тролей. Задним умом все всегда думают о смене паролей раз в месяц, ежедневном бекапе в облако и т.д. А в реальности все правильно редко получается:-(

Тюлень_Gin	Дата 5.06.2014 - 17:35
Unregistered	medorov Это называется разгильдяйство.

medorov	Дата 5.06.2014 - 18:00
Апчихлырмышь Профиль Группа: Пользователи Сообщений: 2042 Пользователь №: 7514 Регистрация: 13.04.2006 - 14:47	Тюлень_Gin Это называется реальность. У нас слишком дорого стоит идеал, а остальной аутсорсинг лишь чуть менее дорогое разгильдяйство:-(

ZeroOnly

Дата 5.06.2014 - 21:44

Unregistered

Цитата (shoosha @ 5.06.2014 - 11:59)

Почта была на яндексе, было там превью или нет - незнаю. Пытались открыть файл, он не открылся, но комп начал тормозить (не сразу) там человек не сидит на месте, он отходил, приходил и т.д. Ненадо тут всех лохами называть, я написал чтобы хоть какая то информация у вас была, поделился опытом, мог ничего не писать и насрать три кучи на все это.

Спасибо за инфу.

Лохи - не лохи, но нужна какая-то простая инструкция, чтобы исключить запуск такого файла самым тупым работником (а "других писателей у нас нэт").

Пока придумал , что никакие файлы не скачивать , заходить на почту через браузер и открывать их онлайн в браузере. Если онлайн откроется, скачивать уже оттуда.

yustas99	Дата 6.06.2014 - 08:29
Unregistered	Анализ на вирустотале https://www.virustotal.com/ru/file/bd1efe40...sis/1402032411/

EWiZaRD	Дата 6.06.2014 - 11:34
Unregistered	Увы, Microsoft обновление сигнатур для этого вируса еще не выпустил Что можно сделать: 1. Заблокировать доступ на copy.com. В прокси/файрволле или в настройках IE. 2. Если файловый сервер на windows server, то через fsrm настроить file screen для расширений .gpg и .unstyx@gmail_com. Вирус тогда не может положить шифрованную копию и переименовать оригинал. Сегодня ночью попортили нам файловый сервер, откатил копию и сделал 1 и 2 Это сообщение отредактировал EWiZaRD - 6.06.2014 - 11:38

medorov	Дата 6.06.2014 - 14:27
Апчихлырмышь Профиль Группа: Пользователи Сообщений: 2042 Пользователь №: 7514 Регистрация: 13.04.2006 - 14:47	EWiZaRD А запретить загрузку архивов/exe/cmd/js плохой вариант? Я пока просто всех предупредил и сменил открытие js на блокнот:-) p.s. Мой вариант. https://www.virustotal.com/ru/file/89b3ea5a...sis/1402054183/ Dr.web KAV TrendMicro Борцы с вирусами оперативны однако:-( Это сообщение отредактировал medorov - 6.06.2014 - 14:33

EWiZaRD	Дата 6.06.2014 - 14:50
Unregistered	Почтовик не под нашим контролем, это головная контора. Ну и архивы если запрещать, зачем тогда почта?

Andfox

Дата 6.06.2014 - 22:04

Unregistered

Цитата (shoosha @ 2.06.2014 - 11:43)

файлы зашифровались почтой unstyx@gmail_com

С этой же хренью комп принесли, вот ломаю голову как расшифровать

s-maxx

Дата 6.06.2014 - 22:24

Ъ ъ ъ ъ.....

Профиль
Группа: Пользователи
Сообщений: 13279
Пользователь №: 75105
Регистрация: 24.05.2011 - 16:59

EWiZaRD

Цитата

Ну и архивы если запрещать, зачем тогда почта?

Для безопасного обмена информацией. У нас архивы отсеивает прокси, который присылает пациенту меседж, что вам пришел архив такой-то, если он вам важен обратитесь к админу.

Это сообщение отредактировал s-maxx - 6.06.2014 - 22:25

Элин	Дата 6.06.2014 - 23:36
Unregistered	А у вас ни у кого нет компа-доходяги, зипы подозрительные вскрывать? ......... Например, как вариант.

« | Авто-Ярославль | »

Страницы: (17) « Первая ... 7 8 [9] 10 11 ... Последняя »

[ Время генерации скрипта: 0.0125 ] [ Использовано запросов: 15 ] [ GZIP включён ]

Правила Ярпортала (включая политику обработки персональных данных)
Используя Yarportal.Ru, вы соглашаетесь с правилами (включая политику обработки персональных данных)

Все вопросы: yaroslavl@bk.ru