Information

Founded
Location
Словакия
Website
www.esetnod32.ru
Employees
1,001–5,000 employees
Registered
Pull to refresh
Comments 17
> Следует использовать хороший антивирусный продукт с функцией проактивной защиты HIPS и защитой от фишинга.
Использую ESET Smart Security, дважды на почту приходило что-то типа «Важный документ.doc.js» в архиве, и оба раза антивирус ничего не видел. Справедливости ради надо сказать, что на VirusTotal в обоих случаях детектили только 2-3 продукта, не являющиеся широко известными.

> Обращайте внимание на скрытые расширения файлов и не переходите по ссылкам в сообщениях, полученных из неизвестных источников.
Стоит вообще отключить исполнение скриптов типа js через политики. А exe через почту в любом случае не пройдёт.

> Используйте резервное копирование файлов и выполняйте его как можно чаще.
Параноики советуют использовать оффлайн хранилище, иначе вымогатель имеет шанс зашифровать и бекапы тоже.
Как вариант, сервер может снаружи внутрь лезть на клиент (с клиента писать нельзя). Потом делает копию с версионированием. Беда только, если глубина бэкапа будет недостаточная для обнаружения повреждения. В итоге рабочей копии не будет. Но обычно с этим нет проблем. Убитые файлы на рабочей станции чаще всего сразу видно.
Как еще вариант, сервер для бэкапов живет в сети, каталог для новых копий расшарен с правами create-only. То есть создать новую резервную копию в сетевом хранилище любая рабочая станция может, а изменить или удалить старые — уже нет. Проблема глубины решается дифференциальными копиями.
Это сводит вопрос к тому, будут ли в вирус-шифровальщик встраивать отдельный код для поиска и эксплуатации уязвимостей сервера бэкапов в локальной сети. Как показывает практика, с этим никто из вирусописателей не заморачивается.
Я не знаю, как у ESET, а Kaspersky Endpoint Security, если гадость ещё не попала к нему в базы, ловит её на этапе шифрования. Я недавно на стенде запустил шифровальщик — KES на него посмотрел пару секунд, грохнул процесс и откатил все изменения. Данные не пострадали.
Возможно, у ESET тоже есть какие-нибудь именно поведенческие сигнатуры.
Остаётся непонятным, почему Роснадзор блокирует доступ к вполне легальным сайтам и не блокирует доступ к серверам, которые используются злоумышленниками. Если выяснить, с каким сервером общается криптолокер — то можно помешать злоумышленнику получить деньги; а это поможет отвратить злоумышленников от такого способа ограбления честных людей.
Ну так РКН создавался не для пользы граждан, а для пользы тех, кто у власти. Что им с этих криптолокеров?
Остается непонятным почему Роснадзор не блокирует доступ к рекламным площадкам, ведь я ненавижу эту чертову рекламу.
Кстати, а позволяет ли Windows каким-то образом изменить привилегии сервиса File History? Таким образом можно было бы сильно ограничить доступ на запись к разделу/диску с бекапами. Понятно, что шифровальщик может и поднять свои привилегии через некую уязвимость, но всё равно хоть какая-то защита.

Можно попробовать дать права группе NT SERVICE\fhsvc.
А у старого доброго Backup and Restore изначально права на бэкапы только у SYSTEM и администраторов.

Увы, но, похоже, это не помогает. Сам бекап как будто всё равно выполняется от текущего пользователя (судя по логу с ошибками).
Прочел. Судя по всему, не так уж и страшно. По крайней мере, несложно и собственноручно расшифровать.
Стало интересно, где его можно «поймать» :)
Мне до сих пор интересно, где ЭТО под Windows найти можно. =)) Судя по отчётам, исключительно со спамом прилетает, то есть, находит вас само.
У меня на всех ящиках очень жесткая фильтрация! :)
Видимо надо отключить…
У меня обычный яндекс-ящик — и тоже как-то не ахти. Видимо, что-то мы таки делаем не так.
Only those users with full accounts are able to leave comments. Log in, please.