xp Janvāris 27, 2015 Share Janvāris 27, 2015 Ja PC ir inficēts ar šo, tad zem user/Appdata/loca/temp ir jāparādās kautkādiem exe. failiem? Link to comment Share on other sites More sharing options...
MIGs Janvāris 27, 2015 Share Janvāris 27, 2015 Shadow dati nav sačakarēti? Nu tā uzreiz ir grūti pateikt, bet liekas, ka nav sačakarēti. Tobiš, ja ir tad kautkas nedaudz, bet shadow dati ir un ir diezgan daudz. Ir arī daži nenokriptēti faili - laikam nepaspēja, jo datu diezgan daudz. Link to comment Share on other sites More sharing options...
ggg97 Janvāris 27, 2015 Share Janvāris 27, 2015 (labots) bet shadow dati ir un ir diezgan daudz Un kā Tu tiec viņiem klāt, ja saki, ka neiestartējoties no tā diska windā, shadow failus neredz? piemetu noskanēties, iztīrīt no sūdiem Sorry, pieleca, Tu iztīrīji sifeli. Bet tad atkal zūdot iespēja "samaksāt". Bija jāklonē pirms tīrīt Vispār, cik atceros no šī topika sākumā rakstītā, šitie maili izsūtīti pārsvarā grāmatvežiem un lietvežiem. Kāds mēģina mūs atslēgt no SWIFT... sarkasm, protams. Labots Janvāris 27, 2015 - ggg97 Link to comment Share on other sites More sharing options...
MIGs Janvāris 27, 2015 Share Janvāris 27, 2015 Klonēt vari, ja esi gatavs kaut ko kādam maksāt. Savādāk no tā nav nekādas jēgas. Tieši tā, iztīriju drazu un iestartēju normāli. Nu šim bija atļauts izmantot līdz 50% priekš shadow copy un system restore. Laikam jau noderēja. Link to comment Share on other sites More sharing options...
versatile Janvāris 27, 2015 Share Janvāris 27, 2015 Developea ieteiktā metode ir laba, BET ar laiku zarazas sāks perināties uz desktopa. Pievienojam arī rūļus ar visādiem *.pdf.exe utml. Link to comment Share on other sites More sharing options...
xp Janvāris 27, 2015 Share Janvāris 27, 2015 Bet ja palaiž to doc.exe failu vai tad kaspersky neko nesaka? Parasti viņš ir paranoisks? Link to comment Share on other sites More sharing options...
Ronalds Janvāris 27, 2015 Share Janvāris 27, 2015 %SystemRoot%\TEMP\*.exe %SystemRoot%\TEMP\*\*.exe Jautājums kādu ruli vajag lai nobloķētu visus exe iekš temp, neatkarīgi no folderu dziļuma? Nē nu var jau rakstīt ntās rules, kamēr tiek pārsniegts max dziļums, bet tas tā - ļoti nesmuki. Link to comment Share on other sites More sharing options...
ggg97 Janvāris 27, 2015 Share Janvāris 27, 2015 A kā ir smuki? Sorry, tikai mācos, mūžīgi. Link to comment Share on other sites More sharing options...
ImissimI Janvāris 27, 2015 Share Janvāris 27, 2015 Nu pēc šitā ļembasta būs paziņojums par neapmaksātu rēķinu jāsūta ar Latvijas pastu nevis e-pastu. Link to comment Share on other sites More sharing options...
versatile Janvāris 27, 2015 Share Janvāris 27, 2015 (labots) Jautājums kādu ruli vajag lai nobloķētu visus exe iekš temp, neatkarīgi no folderu dziļuma? Man šķiet, ka pietiek vienkārši ar %systemroot%\temp\ http://serverfault.com/questions/571715/windows-software-restriction-policy-to-block-exe-files-in-all-subdirectories Labots Janvāris 27, 2015 - versatile Link to comment Share on other sites More sharing options...
Firza Janvāris 27, 2015 Share Janvāris 27, 2015 (labots) tur jau nebūs līdzēts tikai ar docx.exe un pdf.exe, jāliek bloks uz visiem zināmajiem failu paplašinājumiem. Uz Windows failu paplašinājums ir pēdējās trīs (četras) rakstu zīmēs + punkts. Doc.exe, pdf.exe u.t.t tas viss ir EXE izpildāmais fails, bet viss kas ir pirms .EXE ir faila nosaukums. Ar pdf.exe, doc.exe var apmanīt cilvēku, bet nevar apmānīt „dumjo” datoru un SRP, kuru interesē tikai faila nosaukuma pēdējie 3 burti nevis kaut kādi viltīgi EXE failu maskēšanas paņēmieni kā pdf.exe, vai jpg[200_tukšumi].exe. Tā, ka nav nekādas vajadzība veidot speciālas politikas failiem, kuri tikai maskējas par citiem failiem, bet patiesībā ir EXE faili. Pilnīgi pietiek ar vienu aizliegumu darbināt EXE failu no attiecīgās mapes un tas attieksies uz arī uz zip.exe, jpg.exe, mp3.exe, txt.exe u.c Labots Janvāris 27, 2015 - Firza Link to comment Share on other sites More sharing options...
x_rays Janvāris 28, 2015 Share Janvāris 28, 2015 Tas viss ok, bet klejo valodas, ka šo te varot iegūt arī netaisot vaļā visādus dīvainos epastus. Vot tas jau tad sāk satraukt un gribētos drusku vairāk zināt par iespējamiem caumuriem, ko tad lāpīt. Link to comment Share on other sites More sharing options...
Guncha Janvāris 28, 2015 Share Janvāris 28, 2015 (labots) -> x-rays Jā, šo var noraut arī neattaisot pielikumus, bet tā epidēmija vairāk vai mazāk ir garām. Galvenais ir nelietot IE. Palasi topiku no sākuma. Labots Janvāris 28, 2015 - Guncha Link to comment Share on other sites More sharing options...
Firza Janvāris 28, 2015 Share Janvāris 28, 2015 tā epidēmija vairāk vai mazāk ir garām. Galvenais ir nelietot IE.Man gan liekas, ka tas ir tikai sākums šādām epidēmijām. No vīrusu rakstītāja viedokļa tas ir izdevīgs un drošs pasākums, galvenais ir nepielaist kādu kļūdu ar šifrēšanu (kas ļauj atšifrēt failus nesamaksājot) un regulāri atjaunināt savu izstrādājumu, lai aktuālā vīrusa versiju, vismaz dažas dienas (pietiks ar arī ar dažām stundām) neatpazītu neviens antivīruss.Uz Windows XP tiešām labāk ir neizmantot IE, bet uz jaunākām Windows versijām var lietot ko grib. Ne jau visi tie kuri dabūju to vīrusus no parastas web lapas apskatīšanas, izmantoja IE. Mūsdienās jau visi gudri, un arī mājsaimnieces zina, ka FireFox, Chrome rullē, bet IE ir sūds, tā ka ne jau IE lietošana ir galvenais vīrusu perēklis. Lielākais vīrusu perēklis ir JAVA, Flash, PDF un tas, ka EXE failus uz Windows var palaist no jebkuras mapes bez instalēšanas. Ja vienīgā manipulācija ko vajag izdarīt lai palaistu vīrusa failu ir 2x uz tā uzklikšķināt (autorun.inf laikos pat klikšķināt nevajadzēja), tad visa pārējā datordrošība ir pie pakaļas. Un nav jēgas no moralizēšanas (kā var būt tik stulbs lai "atvērtu" rekins.pdf.exe) jo tik pat labi to vīrusu var palaist mazs bērns vai kaķis - palēkājot pa klaviatūru.Savā ziņā šis ir labs vīrusus, jo tas varbūt piespiedīs lietotājus taisīt backup un iespējams, ka reiz pienāks laiks, kad Microsoft sapratīs, ka iespēja palaist vīrusu tikai 2x uzklikšķinot ir nevajadzīga funkcionalitāte. Link to comment Share on other sites More sharing options...
Guncha Janvāris 28, 2015 Share Janvāris 28, 2015 Es domāju, ka samazinājusies ir tā epidēmija, ka browsējot webu ir iespēja noķert, tagad aktuālāki ir e-pasti. Manā pieredzē visi CTB Locker upuri ir bijuši IE lietotāji, pietam arī ar Win7 un IE11, tāpēc nevajag stāstīt, ka IE ne pie kā nav vainīgs. Domāju, ka arī ne pa velti IE ir vēsturē visienīstākais pārlūks. Patiesībā sen tam bija laiks ierauties stūrītī un nomirt. Link to comment Share on other sites More sharing options...
Ronalds Janvāris 28, 2015 Share Janvāris 28, 2015 Jautājums - vai var uzrakstīt ruli kura bloķē jebkura faila izpildi kura nosaukumā ir divi vai vairāk punkti? No jebkuras vietas. Tad vīrusu izplatībai šādā veidā (rēķins.pdf.exe) pienāktu gals! Link to comment Share on other sites More sharing options...
jema Janvāris 28, 2015 Share Janvāris 28, 2015 Principā mailserveriem vajadzētu dzēst ārā tādus pielikumus kam ir dubultais paplašinājums. Piemēram Kerio mailserveris met nost tādus pielikumus, man liekas ka arī Exchange 2003, arī meta nost, bet tas bija sen varu arī kļūdīties! Link to comment Share on other sites More sharing options...
Rubenis Janvāris 28, 2015 Share Janvāris 28, 2015 Man arī ir jautājums par šo - šis vīruss/izspiedējs ķer arī OS X vai tomēr tikai Windows??? Link to comment Share on other sites More sharing options...
Firza Janvāris 28, 2015 Share Janvāris 28, 2015 Principā mailserveriem vajadzētu dzēst ārā tādus pielikumus kam ir dubultais paplašinājums.Liekas, ka jau kādus gadus 10 neviens e-pasta serveri vairs nelaiž cauri pielikumus EXE formātā (vismaz es neatminos, kad kāds būtu saņēmis EXE failu ap tiešo). E-pasta serverim jau ir vienalga, kas bez EXE tur vēl ir pierakstīts klāt (pdf.exe, zip.exe vai jpg.exe), ja faila nosaukums beidzas ar EXE, tad tas izpildāmais fails ko normāli e-pasta serveri tālāk nepārsūta. Bet vīrusu rakstītāju jau arī to zina, un EXE faili tiek sūtīti arhīvos (pat arhīvos ar paroli), vai kā linku uz EXE failu kaut kur internetā. Ja arhīvus, e-pasta serverim pieliktais antivīruss vēl var pārbaudīt uz nevēlamo failu klātbūtni tajos (ja arhīvs bez paroles) , tad linku gadījumā antivīruss var apmaldīties divās priedēs, ja tas links neved pilnīgi pa tiešo uz EXE failu. Link to comment Share on other sites More sharing options...
versatile Janvāris 28, 2015 Share Janvāris 28, 2015 Jautājums - vai var uzrakstīt ruli kura bloķē jebkura faila izpildi kura nosaukumā ir divi vai vairāk punkti? No jebkuras vietas. Tad vīrusu izplatībai šādā veidā (rēķins.pdf.exe) pienāktu gals! *.*.exe neder? Link to comment Share on other sites More sharing options...
Rubenis Janvāris 28, 2015 Share Janvāris 28, 2015 .exe izpildās uz OS X? exe nē, bet vai nav vīrusa variants uz OS X. Link to comment Share on other sites More sharing options...
versatile Janvāris 28, 2015 Share Janvāris 28, 2015 (labots) Pilnīgi pietiek ar vienu aizliegumu darbināt EXE failu no attiecīgās mapes un tas attieksies uz arī uz zip.exe, jpg.exe, mp3.exe, txt.exe u.c Pareizi, bet ir mapes no kurām labus un aprastus exe failus vajag varēt izpildīt. Tie paši downloads, desktops citreiz. Var jau visu mest iekš program files, bet nu ne vienmēr tas tā strādā. Tāpēc no tempa un appdatas aizliedzam laist jebkuru exe, bet pdf.exe - no jebkuras vietas. Turklāt, kā jau iepriekš teicu, daudzām programmām installeris ir sfx extracters, kas atarhivē pilno installeri uz Appdata vai temp un tad laiž īsto exe - labi, ja tas ir zip sfx, ko ar 7-zip var atarhivēt, bet ir gadījumi, kad tas ir kāds cits formāts - tad neko... Labots Janvāris 28, 2015 - versatile 1 Link to comment Share on other sites More sharing options...
Firza Janvāris 28, 2015 Share Janvāris 28, 2015 Turklāt, kā jau iepriekš teicu, daudzām programmām installeris ir sfx extracters, kas atarhivē pilno installeri uz Appdata vai temp Normālos apstākļos programmas tiek instalētās ar Administratora tiesībām (ja vien tā nav kāda jaunmodīgā programma, kura jāinstalē no lietotāja konta un visus savus failus glabā %userprofile% mapē ), un tādā gadījumā neredzu iemeslu kāpēc Administratoram vispār vajag likt kādus ierobežojumus. Tāpēc, jau viņš ir Administrators, ka zina ko var darīt, bet ko nevar.Uz Windows XP iekš SRP varēja ielikt ķeksi, lai drošības politiku iestatījumi attiektos uz visiem izņemot Administratora kontus. Link to comment Share on other sites More sharing options...
versatile Janvāris 28, 2015 Share Janvāris 28, 2015 Firza, perversijas ir visādas. Man šīs politikas izplata domēna kontra, tur jāpieķeras un jāsataisa sakarīgi - tb lai attiecas arī uz adminiem, bet ir iespēja arī kaut ko uzinstalēt "pa jaunai modei". Visstulbāk ir ar visādiem uninstalleriem, kas laižas ar admina tiesībām no %program files%, bet kopē exes iekš appdata - tur nu gribas ar sūdainu mietu... XP vairs nav aktuāls. Link to comment Share on other sites More sharing options...
Ronalds Janvāris 28, 2015 Share Janvāris 28, 2015 *.*.exe neder? Šāds 100% neder jo vīruss var sēdēt arī izpildāmajā failā ar savādāku paplašinājumu, piem scr varbūt vienīgi *.*.* derētu, būs jāizmēģina kad būs brīvāks moments.... Link to comment Share on other sites More sharing options...
Aphopis Janvāris 28, 2015 Share Janvāris 28, 2015 (labots) Var caur scriptu pievienot vajadzigos aizliegumus?? Labots Janvāris 28, 2015 - Aphopis Link to comment Share on other sites More sharing options...
versatile Janvāris 28, 2015 Share Janvāris 28, 2015 varbūt vienīgi *.*.* derētu Tādu nevajag. Tam var pamainīt SRP darbību - no atļauts viss, kas nav aizliegts, uz aizliegts viss, kas nav atļauts. scr man ir atsevišķi bloķēti. Arī pdf.com, pašlaik skatos, cik sāpīgi būtu arī *.bat aizliegšana parastajiem jžueriem - diemžēl ir visādas līki rakstītas industriālās progas... Tai skaitā - aizvēsturiskas. Link to comment Share on other sites More sharing options...
romajo Janvāris 29, 2015 Author Share Janvāris 29, 2015 Čota tas CryptoPrevent bloķē manus nedaudzos sidebar gadžetus. Šis ir labojams advanced opšenos, jāizņem ķeksis pie DISABLE WINDOWS SIDEBAR & GADGETS> Apply protection un reboot. Link to comment Share on other sites More sharing options...
mandersons Janvāris 29, 2015 Share Janvāris 29, 2015 (labots) iesaku labu resursu par Software Restriction Policies - http://www.sysadmins.lv/CategoryView,category,SecuritySRP.aspx Apskatītas gan standarta konfigurācijas, gan arī zemūdens akmeņi un problēmas. Mazliet ir informācija arī par Applocker. Labots Janvāris 29, 2015 - mandersons 1 Link to comment Share on other sites More sharing options...
marizo Janvāris 29, 2015 Share Janvāris 29, 2015 Software Restriction Policies neitralizē šitādu vīrusu ieperināšanos ātri un uz visiem laikiem.Izveidojam jaunas Path rūles: blakusparādība - neitralizē arī Adobe Flash Player update. Link to comment Share on other sites More sharing options...
DeEK Janvāris 29, 2015 Share Janvāris 29, 2015 Nu ir atnācis šāds te pacients. Lietotājs protams grāmatvede. Grāmatvedības dati 7 firmām.... Mēģināju ar shadow eksploreri - nav nekas saglabāts, šobrīd skenējas ar EasyUs RAW. Ir kaudze ar veciem vai izdzēstiem hvz failiem. Tā holēra spējīga sistēmas restori norubīt, un arī UAC novāc nost??? Vai tā uzņēmuma admini ir kukū... Nu variants sapiķot tos 2BTC=430EUR... BET KAS PĒC tam??? Piedāvās lejupielādēt kādu softu, kur to atslēgu ierakstīt? Ir kāds tik tālu novests??? Link to comment Share on other sites More sharing options...
ggg97 Janvāris 29, 2015 Share Janvāris 29, 2015 (labots) Šajā, vai blakus topikā par šo tēmu viens vecbiedrs brīdināja, lai netīrot to trfu no tā diska laukā, savādāk pat samaksājot nebūs kur to, es nezinu, laikam kodu, ievadīt. Labots Janvāris 29, 2015 - ggg97 1 Link to comment Share on other sites More sharing options...
versatile Janvāris 29, 2015 Share Janvāris 29, 2015 Es laikam maksātu, ja tā ir bezbackupu grāmatvede. Pie viena uzliec tāmi normālam backup risinājumam - kaut kādam NASam, kā minimums... Link to comment Share on other sites More sharing options...
rubb Janvāris 29, 2015 Share Janvāris 29, 2015 (labots) Ja kantorim nav datu kopijas - lai maksā. Par stulbumu ir jāmaksā... Ja sāksi urbināties/tīrīt to zarazu - arī samaksājot "zarazas" autoriem nav vairs garantija, ka ko izdosies atgūt. P.S. NAS neko nerisinās - "zaraza" apstrādā arī šāres. VIenīgais profilaktieskais risinājums - piesaistīt normālu IT cilvēku, kurš izveido normālu off site/off line backupu plānu. Labots Janvāris 29, 2015 - rubb Link to comment Share on other sites More sharing options...
ggg97 Janvāris 29, 2015 Share Janvāris 29, 2015 kaut kādam NASam, kā minimums Ar tiem nasiem arī tagad ir visādi. Vajadzēs atbilstošu konfigu, kur tripers netiek klāt. Vislētāk laikam sanāktu katras dienas vakarā piespraust flešku un/vai ārējo HDD un dokus no atbilstošās direktorijas nobekapot. Pēcāk to disku vai flešku noglabājot atvilktnē. Uz fleškas un/vai ārējā diska var arī turēt atbilstoši nokonfigurētu portable bekup softu. Link to comment Share on other sites More sharing options...
DeEK Janvāris 29, 2015 Share Janvāris 29, 2015 Šajā, vai blakus topikā par šo tēmu viens vecbiedrs brīdināja, lai netīrot to trfu no tā diska laukā, savādāk pat samaksājot nebūs Šī jaunā versija par to nepārdzīvo, ka to nodzēš, patiesībā antiviruss to noķēra tad, kad jau ziepes bija savārītas...tākā draza nu sēž iesprostota karantīnā. Interesanti, kas uzņēmuma serverī notiekas, jo uz datora bija salikti/mapoti tīkla diski. Bet no adminu puses klusums- laikam faili dzīvi Pamēģināju caur to TOR brouzeri pieslēgties tam linkam, tur tā iespēja uploudot 1 failu atšifrēšanai - sanāca, vienīgi par cik faila nosaukumā bija garumzīmes, tad garumzīmju vietā bija simboli. Link to comment Share on other sites More sharing options...
maize Janvāris 29, 2015 Share Janvāris 29, 2015 brīdināja, lai netīrot to trfu no tā diska laukā, savādāk pat samaksājot nebū Atrodam failu DecryptAllFiles*.txt tur būs norādes, ja tas ar izdzēst meklējam rokā ļaundarus, viņi palīdzēs ... Iepriekšējās versijas radītājus sašņorēja, privātās atslēgas izņēma un varēja tikt pie failiem, bet vai šoreiz būs tāpat laiks rādīs. 2 Link to comment Share on other sites More sharing options...
Kaasis Janvāris 29, 2015 Share Janvāris 29, 2015 Nu un piemērams bat fails pirms backupa kurš nomapo draivu, tad backup, tad atkal bat kurš noņem mapojumu? Link to comment Share on other sites More sharing options...
jema Janvāris 29, 2015 Share Janvāris 29, 2015 NAS neko nerisinās - "zaraza" apstrādā arī šāres. Pa shārēm viņš skraidīt nemāk, viņš bizo pa mapotiem draiviem, secinājums nevag mapot, bet norādīt tīkla ceļus un tas arī ir viss. JA jau galīga paranoja tad var bakupot uz NAS pa ftp ar parolēm. Nu un piemērams bat fails pirms backupa kurš nomapo draivu, tad backup, tad atkal bat kurš noņem mapojumu? Grūti ir norādīt, tīkla ceļu \\NAS\disks\backup ? 1 Link to comment Share on other sites More sharing options...
jema Janvāris 29, 2015 Share Janvāris 29, 2015 (labots) Kaasis - atbilde uz tavu jautājumu: http://www.onlinetoolworks.com/help/sb32admnnetwork_drive_mappings_and_net_u.htm Labots Janvāris 29, 2015 - jema Link to comment Share on other sites More sharing options...
Recommended Posts