Ознакомьтесь с нашей политикой обработки персональных данных
15:41 

Abigail
All of the love we left behind watching the flashbacks intertwine. I think our lives have just begun.
Короче, случился у нас тут на работе форс-мажор: эпидемия вируса на компах. Вирус новый, в базах Касперского его пока нет (но мы уже отправили на анализ, так что ждем свежие базы). Как всегда сработал человеческий фактор: девочке-делопроизводителю пришло письмо на почту, она открыла прикрепление, а там .exe-файл, запустила — и пожалуйста. Не понимаю, почему почтовый сервер не забанил его, ведь бан письма с .exe-файлами в прикреплении — довольно популярная мера безопасности. Письмо вот такое:


Выглядит довольно официальным, и если не обращать внимания на расширение — безобидным. После распаковки и запуска вирус находит все изображения на компе и сетевых дисках (кроме формата .tiff — видать, он не так популярен, поэтому его проигнорили), шифрует в неизвестный формат и переименовывает — с указанием электронного ящика, на который нужно написать, чтобы файл расшифровать. Ясен фиг, за бабло. Сам вирус хранится в директории С:\Program Files\1C\накладная.ехе и делает вид, что он хороший.

К счастью, мы вовремя заметили косяк и успели более-менее спасти файлы на сетевых дисках, девочку от сети отключили, комп почистили, файлы восстановили благодаря теневому копированию (просто чудо, что копирование было произведено в 10 утра, а вирус запустили в 10:30, так что мы практически ничего не потеряли). Щас пишем инструкцию, чтоб больше такой фигни не было. Бедная девочка в слезах — видать влетело уже от начальства, повезло еще, что все ее рабочие файлы на всякий случай хранились на флешке, а то файлы накомпах юзеров мы не бэкапим (хотя щас думаем, может, у некоторых юзеров не помешало бы).

Защита от вируса простая: уберите галку в свойствах папки (в панели управления), которая позволяет скрывать расширения всех файлов, кроме неизвестных:



Если видите письмо, которое не ждете, с прикреплениями файлов с расширениями .exe, .cmd, .js — письмо удаляем и ни в коем случае ничего не запускаем. И да, копии важных файлов храним где-нибудь еще: в облаке, на флешке, на двд-дисках. Дешифратора файлов для этого вируса пока нет (и неизвестно, будет ли вообще), так что будьте внимательны!

@темы: Админское, Познавательное, Работа, Техника и софт

URL
Комментарии
2015-09-03 в 16:15 

Reflendey
Не понимаю, почему почтовый сервер не забанил его, ведь бан письма с .exe-файлами в прикреплении — довольно популярная мера безопасности

Наверное потому что был в архиве.

копии важных файлов храним где-нибудь еще: в облаке, на флешке, на двд-дисках
А это не является нарушением политики безопасности? Или речь о корпоративном облаке/рабочей флешке?

2015-09-03 в 16:23 

Abigail
All of the love we left behind watching the flashbacks intertwine. I think our lives have just begun.
Puteror,
Наверное потому что был в архиве.
Неа. Есть специальные коды, которые позволяют выловить информацию о файлах в архиве. Считывается в конце заголовка обычно. А вот в запароленных архивах уже никак.

А это не является нарушением политики безопасности? Или речь о корпоративном облаке/рабочей флешке?
Вообще-то это были советы для моих ПЧ, которые могут столкнуться с такой же проблемой у себя дома. За безопасность важных файлов на предприятии должны отвечать системные администраторы.

URL
2015-09-03 в 16:26 

Abigail
All of the love we left behind watching the flashbacks intertwine. I think our lives have just begun.
Во, нашла про заголовки: ru.wikipedia.org/wiki/%D0%A1%D0%BF%D0%B8%D1%81%...

URL
2015-09-03 в 18:36 

Reflendey
Есть специальные коды, которые позволяют выловить информацию о файлах в архиве. Считывается в конце заголовка обычно. А вот в запароленных архивах уже никак.

Mime type у rar application/x-rar-compressed, а послать его можно и как просто как octet-stream, иначе говоря "сферический бинарный файл в вакууме", т.е. клиент явно никак не сообщает содержимое архива. Но, cудя по всему, список файлов из самого rar действительно легко выуживается, мне стоило понять это хотя бы даже из того факта, как быстро архиватор отображает содержимое архива...

2015-09-03 в 19:06 

Abigail
All of the love we left behind watching the flashbacks intertwine. I think our lives have just begun.
Puteror,
послать его можно и как просто как octet-stream, иначе говоря "сферический бинарный файл в вакууме", т.е. клиент явно никак не сообщает содержимое архива
В таком случае банить сразу. С какой стати клиент стал бы скрывать содержимое архива?

Но, cудя по всему, список файлов из самого rar действительно легко выуживается, мне стоило понять это хотя бы даже из того факта, как быстро архиватор отображает содержимое архива...
Тут проблема в том, что это должен делать сам почтовый сервер, а я не в курсе, можно ли как-то еще отловить информацию об архиве, кроме как по заголовкам. Знаю, что гуглопочта запрещает к перессылке (по крайней мере раньше так было) архивы с экзешниками внутри, видать, у них какой-то проверяющий механизм был. Но против запароленных архивов это бесполезно.

URL
Комментирование для вас недоступно.
Для того, чтобы получить возможность комментировать, авторизуйтесь:
 
РегистрацияЗабыли пароль?

Show me mercy

главная