Словили шифровальщик Trojan-Ransom.Win32.Purgen.fw #801187

Расширение au1crypt. Пришло письмо с вложением gz. ГБ открыла. Слава Богу зашифровало только локальные данные, общие сетевые ресурсы в норме. Подал заявку в клубе Касперского, жду. Ну и собсно вопрос - Никто не сталкивался?

Поздравляю

Спасиб.

Так понимаю резка всех сообщений с непонятными вложениями не настроена?

Правильно.

У нас нет ни АД, ни прокси...

Посмотри свойства почтового сообщения. Там может быть мас-адрес откуда пришло.

Я письмо уже удалил, зачем мне мак-адрес?

Какой MAC адрес, лол. IP IP адрес, ты хотел сказать. Ну и зря, Касперскому нужен семпл.

Нашел в корзине, как посмотреть айпи?

нашел 185.39.170.74

Французишки, похоже.

Буквально в пятницу у одного клиента всё зашифровалось. Повезло, что у них распределёнка. Сейчас навели порядок в безопасности. Как говорится: "пока жареный петух не клюнет..."

это второй айпи, первый

А тут говорят иное:

и кому верить?

Никому не верь и ГБ тоже. Надо быть совсем тупым(ой) чтобы письмо не вызвало сразу подозрения.

Она хорошая)) Дело в том, что она как раз ждала письмо из 1с, загруженность сильная у нее, вот впопыхах и недоглядела.

ВВП сказал, что IP подменить - нефиг делать.

Зачем подменять? Арендуешь ботнет на сутки, выбираешь страну и рассылаешь письма счастья.

что конкретно предприняли для наведения порядка в безопасности?

бекап подняли :)

Purgen интересное название )

Мне касперский 1CD расшифровал - ждали месяц...

По поводу ПО для создания белых списков ПО, каким вариантом пользуетесь? Пока только зарубежное и платное с абоненткой попадается или пользуетесь штатными возможностями gpedit ОС версий Проф? "Данный метод работает в Windows XP, Vista, 7, 8, но только в максимальных версиях . Версии к сожалению Home, Starter данной утилиты не имеют." хотя и на Хоум можно штатно через правку реестра настроить

У ГБ на компьютере посмотри там скорее всего защита системы включена, данные вполне вероятно остались в теневых копиях. Если шифровальщик их не стер.

че за лабуда? Какое письмо из 1с она ждала? Че она лапшу вам вешает? А вы тауиеже катайцолапшежратели...

Да все нормально. Это для тебя может быть очевидно, а для бухгалтера такие тонкости как адрес отправителя мало о чем говорят. Бухгалтеру нередко приходит несколько десятков писем от контрагентов и если каждое письмо внимательно проверять на шифровальщиков она уже ничем другим заниматься не сможет. Да и зачем ей это. Словила и ладно, это проблема админов восстановить систему в приемлемое время, и обеспечить защиту на будущее.

я вот думаю, может отдельный сервак под чтение почтовых сообщений поставить? чтобы письма и их вложения открывали на этом серваке по рдп? только ведь пользователи могут сразу и не понять, что шифровальщик активировался. Откроют на "серваке чтения почтовых сообщений", активируют шифровальщик, ничего не заметят, скопируют себе и у себя откроют.

У многих почтовых служб есть просмотр вложений - открывают офисные документы, архивы на своих серверах и показывают содержимое. Можно научить сотрудников пользоваться этим. А в остальном - запретить пользователю запуск программ из папки  в которую вложения скачиваются, и отключить макросы в ms office. gpedit.msc -> Конфигурация компьютера -> Конфигурация Windows -> Параметры безопасности -> Политики ограниченного использования программ

Ловили такое неделю назад. Благо у клиентов админ нормальный и резервные копии как часики. За 20 минут жизнеспособность полностью восстановили.

По твоим ссылкам не "белый список", а смех один. Настоящий белый список это Политики ограниченного использования программ. Из стороннего бесплатного ПО например Comodo умеет. Но надежность его — хз.

Привлекли сисадмина, форматнули всё, т.к. там был зоопарк, переустановили систему, настроили безопасность, из периферийного узла сделали центральный.

Они туда же ушли - в шифрование.

"У многих почтовых служб есть просмотр вложений - открывают офисные документы, архивы на своих серверах и показывают содержимое. Можно научить сотрудников пользоваться этим. " то есть если открыть вложение с шифровальщиком на том-же майл.ру, то шифровальщик не активируется на ПК? спасибо за вариант, никогда не рассматривал в данном ключе. в момем случае почта на Рамблер.ру, посмотрю - есть ли у него такая функциональность.

Есть ли ПО подготовки к созданию "белого списка"? Чтобы перед тем как заняться его заданием поставить данное ПО и чтобы пользователь поработал на ПК энное кол-во дней, а ПО себе в лог записало все ПО, которое за эти дни использовалось и сгруппировало по процессам, например notepad.exe запускался 5 раз и т.д, ну или без кол-ва запусков - просто перечень запускавшегося ПО за период, свернутый по наименованию процессов.

>Есть ли ПО подготовки к созданию "белого списка"? оно уже в виндоуз есть, политика Выполнять только указанные приложения Windows только одна эта политика бесполезна, в случае простого переименование файла

я немного о другом спрашиваю, как задавать "белый список" - знаю. меня интересует перечень ПО, которым чаще всего пользуются на ПК, чтобы не мучить этим процессом пользователей и себя. то есть интересует ПО, которое сможет собрать такие данные за период работы пользователей ПК. то есть ставлю ПО, не задавая пока-что "белого списка". пользователи работают, например неделю, а ПО собирает информацию о том, какое ПО использовалось эту неделю, и затем по завершении недели я открываю лог данного ПО и вижу - какое-же ПО использовалось пользователями за эту неделю и ручками вношу его в "белый список". может это и не ПО, а штатная возможность ОС?

запрети все, потом разрешай которые понадобчтся

вот как раз не хочется такой "шоковый" для пользователей и себя вариант использовать ))) наоборот - подсобрать-бы статистику за период, и сразу внести основной список, а затем уже изредка добавлять новые и редко используемые.

пользователям нужно все

А по факту когда мы так запилили для работы хватало одноцэ офис и браузер

архиваторы еще наверное, pdf-ридеры, налогоплательщики и прочие ПУ-6 ))) как пример аналогии - программа для учета и контроля трафика BitTally, ставишь ее и через некоторое время использования ПК получаешь статистику - на какие сайты пользователи ходили. возможно есть что-то по аналогии, только не с сайтами, а с программами - открываешь и видишь список программ, которые пользователи использовали за период времени.

Ответ с сайта Касперского - "Вымогатель GlobeImposter 2.0, расшифровки пока нет."

поскань удаленные файлы по секторам, вирус вначале шифрует потом удаляет, фотки так  восстанавливал процентов 90 восстановилось

Это как?

Вместо запрета включи аудит. Потом долго и нудно анализируй журнал на предмет отделения козлищ от агнцев.

спасибо от души!

Мне казалось что .gz это архив и само оно не запустится?

нет, запустили вручную.

хотелось бы не отчетность, а управление ресурсами, кому что и куда можно...

Прочитай еще разок: "Инструмент Администрирование пользователей предназначен для создания определённой реакции программы на осуществление пользователем компьютера определённых действий. Таким образом поддерживается информационная безопасность (предоставлением различных прав разным пользователям)."

она платная, ее если как дополнение к антивирусу, буду о ней знать теперь. а в моменте у меня задача более локальная - лог запускаемых за период приложений. может есть какая для этих целей бесплатная программулина?

у AnVir Task Manager есть лог, но без группировки по приложениям, можно его попытаться полистать, чтобы те приложения, которые удастся высмотреть, добавить в Белый список.