Внимание! Вирусы-вымогатели.
В последнее время значительно возросла угроза заражения компьютеров вирусами-шифровальщиками. В ряде компаний уже возникли такие проблемы. Их суть в том, что после заражения компьютера они шифруют все документы, а это тысячи документов Word (текстовые, графические, базы данных, проектные файлы Autocad и так далее), доступные как на компьютере, так и по сети. После этого вирус требует выкуп, обещая дать ключ для расшифровки данных. Шифрование стойкое (AES-RSA) и расшифровке файлы не поддаются. И хоть впоследствии вирус уничтожается, но часть информации безвозвратно теряется.
Основной путь распространения вирусов — электронная почта. Ни одна антивирусная программа не обеспечивает 100% защиты!
Надежный способ не заразить компьютер — не открывать письма с вирусом.
Увы, несмотря на правила, многие игнорируют простейшие меры соблюдения информационной безопасности и их совершенно необдуманные действия и любопытство к таким письмам становятся причиной серьезных проблем.
Признаки вредоносных писем:
•суть письма не связана с вашей деятельностью (какие-то факсы, счета, предупреждения, кредитные карты, и т.д.);в адресе письма — не Ваш адрес; либо давно неиспользуемый Вами адресв адресатах, кроме Вас, есть другие получатели, отправитель вам неизвестен, письмо на иностранном языке вместе с остальными признаками, имитация писем от ГосОрганов (например, от Высшего Арбитражного Суда РФ — «возбуждено дело», ФССП — по взысканию, штрафам, и т.п.). Не обращайте внимания на гербы и т.п. Имеются ссылки неизвестно куда, обычно по ним самим пользователем и скачивается вирус. Имеются вложения — архивы ZIP или RAR. Внутри вложение с расширением не документа (scr, com, exe и пр.).
Их нельзя запускать! Во вложении могут быть и зараженные документы (PDF, DOC и т.п.)!
В этом случае обращайте внимание на остальные признаки! Не открывать вложения и не запускать файлы в письмах с вредоносными признаками — даже если очень хочется!
•В случае сомнений обязательно обращаться в техническую поддержку Строго запрещено отключать/удалять корпоративный антивирус на своем ПК, в том числе переносном.
•На переносных ПК следить за работой антивируса, обновлять антивирусные сигнатуры (базы) при каждом подключении к КСПД или Интернет.
•Перед подключением переносного ПК к корпоративной сети после работы в других сетях полностью проверить его на вирусы!
ПОМНИТЕ: нескольких щелчков мышки достаточно, чтобы парализовать работу части компании, потерять важную информацию нескольких подразделений, создать массе сотрудников множество лишней работы. Все это так или иначе выливается во временные и финансовые потери компаний.
Не разумнее ли перед тем, как открыть подозрительное письмо/щелкнуть ссылку/запустить файл, подумать об этом?
а теперь заходим на ithappens, читаем и понимаем, что данное предупреждение не имеет смысла. ибо понимающий и так делать не будет, а офисно-бухгалтерскому планктону пофигу на любые увещевания.
Там, где в компании админ поумней, выбивает у руководства средства на дополнительные, отвязанные от сети, ресурсы для хранения данных и регулярно их перезаписывает. Одно дело восстановить файлы за 3дня, неделю, и А там, где руководство зажимает гроши на это дело, то неприятности рано или поздно случаются.
Да хрен там чо сделаешь. Антивири это не перехватывают. Файлы doc могут выглядеть вполне пристойно. Какого только дерьма не присылают с просторов Родины всякие.. нужные люди. Иногда не знаешь — чем это вообще открыть-то.
Копии дАкументов? Ну, только так если.
Жаву отрубить еще. Открыл я как-то такой doc-файл. Почитал листинг, почесал репу, вырубил нафиг. А за соседним компом открыли с включенным JRE.. Накирнулсо тот комп и файлопомойка.
Файлопомойку надо бекапить каждый день.
Если большой объем — делить на две части, в одну скидывать документы, которые уже не подлежат изменениям, давать туда доступ только на чтение. Там, понятное дело, можно бекапить реже.
Еще более правильный подход — работа с документами только на терминальном сервере, который полностью отрезан от интернета. Сливать туда скачанные документы — только через специалиста, после проверки.
Примерно так и делал в своё время. Машина работающая в инете с почтовым сервисом отрезается от остальной сети. Работает, назначенный приказом чел по определённому безопасному алгоритму.
Это на сколько человек?
Назначенный чел проверяет документы, пришедшие по электронной почте? Как потом эти документы попадают внутрь сети?
Нет, можно делать проще. Народ получает почту на компы, нужные им в будущем в документохранилище файлы складывает в свою папочку на общей открытой файлопомойке «К переносу». Ночью все пользовательские файлы там автоматически проверяются и переносятся в специальный сегмент на изолированную машину, на которой утром сисадмин просматривает всю эту муру, и то, что безопасно, оставляет. Затем оставленное копируется в файлохранилище, к которому имеет доступ только терминальный сервер.
Идея в том, что человек, заразив свой комп, максимум может убить этот свой комп плюс одну СВОЮ папку в файлопомойке «К переносу», которая каждую ночь очищается — то есть там по-любому ничего существенного нету. Никакого доступа машин друг к другу иначе чем через терминальный сервер нет, доступа к персональным папкам «к переносу» тоже нет. Для экстренного обмена могут быть сделаны общие папки по отделам, которые тоже временные и ночью чистятся (их содержимое уносится в закрытый раздел, откуда его может достать только сисадмин, а через пару недель просто удаляется за ненадобностью).
Весь внутриконторский документооборот идет на терминальном сервере в сегменте, полностью отрезанном от интернета. Пользователь сам туда ничего внести не может — только через описанную процедуру, ну и руками, набивая тексты и работая с корпоративными базами. При необходимости оперативных рассылок (скажем, надо утром рассылать конрагентам прайсы через сеть) — это решается через почтовый гейт, который может отправлять почту из изолированного сегмента, но не может принимать.
В общем, такого рода параноические системы почти невскрываемы, особенно если не знать их структуры и не готовить атаку конкретно на них.
Именно так. Разработка процедуры «защита от дурака» с учётом имеющихся технических ресурсов, плюс администратор толковый.
Да, закрыто основательно.
Остается вопрос о количестве документов. Если под сотню, то минус два часа из жизни админа и возможные ошибки при переутомлении. Скорее всего это время после окончания работы. Смущает наличие ручного труда.
В наркоконтроле у меня было порядка 130 писем спама в день. До того, а автосалоне, парень который сидел на связях с поставщиками, тратил в день 1.5-2 часа в день на просмотр почты. И среди всякого спама, хлама были нужные ему письма. Жаловался каждый день. Не всегда компьютеризация означает быстрое решение вопросов. В ЦБ до введения ежедневных (через спутник) отчётов, «дверь на клюшку» закрывалась в 17.30 минут. Теперь сидит куча спецов по многим направлениям до 22.00-23.00 каждый день.
Прогресс однако.
Им необязательно попадать в сеть в некоторых организациях. Распечатываются и регистрируются. И никаких вирусов при ознакомлении..)))
Однажды я почти пронёс дискетки куда не следует их проносить. Поймали на втором периметре безопасности. Шуму было мало, но первый периметр при выходе выглядел обиженным и попросил больше так не делать. Да, информацию между отделами там таскают на бумажках.
3 года назад уволили (не помню из какого) управления нарконтроля подполковника, за использование флешки без спецпроверок за год до пенсии. Подполковник, как правило начальник одного из отделов.
Придурков надо наказывать, но и надо соответствующим командирам и спецам создавать условия для нормальной и безопасной работы. Насколько я знаю, ситуация в МВД и др. структурах в не том состоянии, когда можно пожинать лавры. Деньги! Огромные деньги стоит защита информации, спецпроверки, аттестация по требованиям безопасности рабочих мест и помещений, и.т.д..
Давненько было, более 10 лет назад. Кто-то из моих милицейских притащил вирус на дискетке и он сожрал файлы DOC. Пятилетняя моя работа, весь документооборот, всё коту под хвост. Повезло, что мой зам еженедельно копировал всё на две коробки дискет.
Самолучший способ борьбы—использовать системы где вирусы вообще не живут. И оно таки есть, это… да-да это LINUX. Недаром все наши силовые структуры используют astralinux c простым названием «Орел» , им никакой буржуйский шпиен не страшен.
Имхо, лучше бороться с вирусами, чем линуксом.
Это некоторая иллюзия, причем опасная. Опасная недооценкой угрозы.
Вирусы и спамботы под Линукс есть. Их меньше — но только потому, что их пока еще куда менее интересно (в денежном смысле) писать из-за меньшей распространенности Линукса. Но они есть и благополучно живут.
Надежно защитить комп, ходящий в Интернет, НЕВОЗМОЖНО. Можно лишь несколько повысить его стойкость — но рано или поздно его грохнут. Причем слабое звено сейчас — это не железо и не софт, слабое звено — это человек. Человек глуп, жаден, ленив — поэтому социальная инженерия будет работать всегда.
Правильная стратегия заключается в локализации ущерба. Не в вообще предотвращении ущерба — это невозможно, как невозможно воевать без потерь, но в сокращении масштаба потерь.
Вот вы будете смеяться — но у нас паранойя дошла до того, что реестры паролей не хранятся даже на изолированной машине, а перенесены на бумагу. Чего нет в электронном виде — то очень сложно дистанционно украсть.
отсутствие вирусов под линухами не отменяет бэкдоров в софте линукосвом. поэтому безопасность под линухами несколько преувеличена.
по поводу вирусов в письмах — получаю их по нескольку штук в неделю несмотря на все фильтры и антиспам. один раз чёрт дёрнул — почти открыл неправильную ссылку из письма. А так да, предупреждён — вооружён. только письма обычно маскируются под счета буржуйские с доменов *.co.uk
Может, я немного опоздал и статья уже в прошлом и не все ее почитают, но я все таки выложу свой небольшой опыт. Несколько месяцев, я подхватил такую же заразу-шифровальщик, зашифровал все, что можно с расширением АES256. Вы не представляете каково было мое отчаяние — «все пропало!!!», и документы и чертежи и домашние фото — все! Я даже с горя купил новый ноут. Я и по знакомым — никто ничего не знает, говорят новая хрень, как лечить не знают, никакая антивирусная прога ее не берет. Короче, начал рыть в интернете, и таких как я страдальцев много и процедура лечения, как оказалась долгой и практически безрезультатной. Но все таки нашел, видимо лаб. Касперску надоело водить людей за нос и они выложили прогу: http://support.kaspersky.ru/viruses/disinfection/10556. И — «свершилось чудо! друг спас жизнь друга!». Слава Касперскому!