Сказки Ransomwhere

[cb_ein]

> лаборатория PandaLabs получила вопрос про семейство шифровальщиков
Какой вопрос?

[Barafu]

Вопрос для чайника: что настроить в офисе, чтобы хоть через него вирусы не лезли? И безопасно ли открывать PDF в Хроме? Работа такая, много файла шлют.

[ydaf]

Обучить юзеров не нажимать кнопку «Запустить возможно опасные макросы» — они не запускаются по дефолту, но никто же не читает предупреждений (особенно когда в самом вордовском файле написано бальшими крааасными буквами, что «У вас старый ворд, вам надо включить макросы, чтобы файл отображался).
Ну или выключить возможность запуска макросов совсем и разбираться с теми кому они действительно нужны поголовно. Поищите GPO — где-то там — (User configuration > Administrative templates > Microsoft Word XXXX> Word options > Security > Trust Center.). Аналогично для экселя.

Про PDF — относительно, зараза лезет через уязвимости просмотрщика и в целом, подозреваю, шанс нарваться на уязвимость у Adobe, Chrome и остальных просмотрщиков одинакова. В плюсе у хрома — проще апдейты — не нужно возиться по отдельности с программами.

[teecat]

шифровальщик поступает в фишинговом письме, в которое вложен документ Word. При его открытии специальный макрос в документе запускает cmd.exe, чтобы запустить PowerShell, скачать скрипт из Интернета, а затем снова запустить PowerShell, используя скаченный скрипт в качестве «входных данных» для выполнения задач шифровальщика.
— не запрещено исполнение макросов в файлах MS Word
— не запрещен запуск cmd.exe
— не запрещен доступ на недоверенные источники
— не запрещен запуск исполняемых программ/скриптов от имени пользователя