Внимание! Вирусы атакуют.

[СЭР ЮРИЙ]

В последнее время много пользователей столкнулись с вирусами распространяемыми по электронной почте.
Выкладываю Памятку нашей службы безопасности по данной проблеме.
Если кому поможет буду рад.

Памятка пользователю по определению наличия вируса
в сообщениях, поступивших из внешних источников

1. Обратить внимание на адрес отправителя и его подпись – вирус может поступить от известного контрагента, если его ПК был заражен, но подпись в тексте сообщения может быть необычной для данного контрагента или вообще отсутствовать.
2. «Устрашающие сообщения» с требованием немедленно рассмотреть письмо, дать ответ, оплатить и т.п. должны вызвать настороженность.
3. Не обращать внимание на информацию как в теле письма, так и во вложенных файлах, что они проверены какими-либо антивирусами. Проверка антивирусами, даже если она действительно выполнялась, не означает, что вложение в письме не содержит вирус.
4. Особое внимание обращать на письма с вложенными архивами: .zip, .rar, .7z, .arc, .tar, .gz и т.п.), в т.ч. с паролями к архиву в тексте письма и со ссылками на скачивание каких-либо файлов – ОЧЕНЬ ВЫСОКАЯ ВЕРОЯТНОСТЬ ВИРУСА.
5. Перед открытием каждого файла из вложения или по ссылке, особенно в архиве, прокрутить название файла до его окончания – расширения файла и убедиться, что это файл документа, а не исполняемый файл. Вирусы во вложениях, как правило, являются исполняемыми и заканчиваются на exe, .js, .jse, .vb, .vbs, .vbe, .pif, .wsh, .dll, .bat, .com, .cmd, .scr., inf, .lnk.
6. Вирусы могут содержаться и в файлах документов в виде макросов – не включать и не разрешать выполнение макросов в документах, полученных из внешних источников.
7. Основные названия файлов документов заканчиваются расширениями: .doc, .docx, .xls, .xlsx, .ppt, .pptx, .rtf, .txt, а сканов документов – .pdf, .tif, .tiff, .txt, .jpg, .bmp, .png. Если название документа заканчивается на «двойное расширение», например, «Скан счета-фактуры № 12345 от 01.12.2015. pdf .js» - ЭТО ОДНОЗНАЧНО ВИРУС (файл фактически заканчивается на .js).
8. Не запускать исполняемые файлы на внешних носителях с расширениями, перечисленными в п.5, если нет уверенности в полученных файлах.
9. Если в сообщении содержится ссылка, по которой предлагается перейти или скачать какой-либо файл, следует иметь в виду, что реальный адрес может отличаться от видимого на экране и на самом деле может привести на любой другой адрес, включая зараженные сайты или сайты злоумышленников. Дополнительно убедиться в соответствии видимого в ссылке адреса фактическому можно, подведя на него курсор мыши и посмотрев в статус-строке окна (в правом нижнем углу) адрес, на который эта ссылка приведет. В случае, если адрес не совпадает, по такой ссылке переходить не следует – ВЫСОКАЯ ВЕРОЯТНОСТЬ ВИРУСА.
10. Сообщения о необходимости скачать какую-либо документацию, выложенную «из-за большого объема» на «облачные» файловые ресурсы типа Яндекс.Диск, Облако@mail.ru, Dropbox.com и т.п., также могут привести к скачиванию вредоносных файлов.
11. Если почтовая программа сообщает о блокировке опасного содержимого в письме, следует незамедлительно прекратить дальнейшую работу с письмом.


Примеры сообщений вирусоотправителей:

Коллеги, мы не надуваем щеки, однако без малого месяц Вы не можете до конца расчитаться. Наверное, можно было бы подождать еще немного, но сейчас каждая копейка на счету. Копии документов ниже.

Наверное, можно было бы подождать еще немного, но из-за кризиса вынуждены считать каждый рубль. Сканы счетов прилагаются - см. ниже.

Доброго времени суток. Нужно проверить корректность указанных в документе данных. В отношении продажи от 7-го октября по нашим данным за Вами висит отрицательное сальдо

Нaпoминaeм, чтo сoглaснo нaшим дoгoвoрeннoстям Вaм нeoбхoдимo oплaтить дo пятницы. Детали прилагаются к письму

Необходимо пeрeчислить срeдствa дo кoнцa нeдeли. Детали ниже

Главный бухгалтер дал указание инициировать сверки со всеми актуальными контрагентами (проект акта сверки приложен ниже). По прошлому месяцу за вашей фирмой не сходится кредит и дебет.

Мое руководство дало указание инициировать сверки со всеми контрагентами (проект акта приложен ниже). За октябрь по вашей фирме не сходится кредит и дебет.

Господа, мы не накаляем обстановку, но уже почти месяц вы не можете произвести оплату в полном размере. Мы бы рады еще подождать, но из-за тяжелой финансовой ситуации вынуждены считать каждый рубль. Копии счетов в архиве.

И т.п.

[Clim]

Букав много, но о чем ясно с одной строки. Этой теме, которая шифрует все доковские и экселевские файлы уже как не первый год. Завтра напишу, ща очень не удобно лежа грызуном по коленке в виртуальную клаву тыкать.

[СЭР ЮРИЙ]

Clim, пошарил по сети, что то не нашел сообщений о том что

Цитата:

Сообщение от Clim

Этой теме, которая шифрует все доковские и экселевские файлы уже как не первый год.

Дай ссылку на темы по этому вопросу, буду благодарен.

[Petrovich47]

Цитата:

Сообщение от СЭР ЮРИЙ

пошарил по сети, что то не нашел сообщений

Хоть просьба не ко мне, но лично знаю две конторы, которые пострадали.
Ссылка на страничку DR WEB: http://antifraud.drweb.ru/encryption_trojs/

[СЭР ЮРИЙ]

Юрий Петрович, это известные вирусы, которые успешно ловят все антивирусные программы. Когда размещал материал хотел сказать о том, что сейчас вирусные атаки резко активировались. И маскируются под хозяйственные операции.
Это не более чем информация и каждый волен воспринимать ее или нет.

[Clim]

Цитата:

Сообщение от СЭР ЮРИЙ

которые успешно ловят все антивирусные программы

Там ребята тоже думают, последнее время стали приходить просто ссылки, а название типа акт сверки или договор какой. Ссылка не вирус для антивиря не вирус. А вот по ссылке уже скрипт запускается. Шифрование - тоже не вирус, но нужно знать ключик, а за него очень много денежек хотят ребята. Шифруются все *.doc и *.xls на всех дисках ящика, в том числе и расшареные сетевые, открытые для данного компа.
Если бы не еженочные бэкапы, то уже раз пять попали бы, а так только максимум потеря один рабочий день и то не для всей конторы, потому как у каждого отдела свой сетевой диск, а общий для всей конторы лишь для обмена информацией между отделами, там дубли файлов. Ну вылетит какой отдел, так посидят полчасика пока из ночной копии не восстановим. А то, что на юзерском ящике пропадет, так все знают, что отдел автоматизации за инфу на юзерских ящиках ответственности не несет.
И еще момент - держите инфу в формате *.odt, его еще не шифруют. 99% юзеров офис от мелкомягких не нужен, а нужна только печатная машинка, с чем очень хорошо справляется open или libre office. Из 150 ящиков в конторе только на 4 установлен microsoft office.
Учитесь сначала читать, прежде чем кнопки тыкать и удачи в борьбе с вирусами и шарлатанами.

[СЭР ЮРИЙ]

Clim, Сергей, я работаю начальником управления реализации и это реалити шоу мне предотвращает наша служба безопасности.
Какие они там, как работают и тд и тп разбирается моя невестка работающая в McAfee и сын они оба бывшие работники лаборатории Касперского. Приедут поспрашиваю как у специалистов че это за зараза. А в целом Вы правы насколько я понимаю ситуацию.

[Clim]

Цитата:

Сообщение от СЭР ЮРИЙ

они оба бывшие работники лаборатории Касперского

По идейным соображениям? Я тоже не жалую каспера еще с первых версий. Так, для общего развития, слежу, но ни себе, ни людям не ставлю и не рекомендую, а уж контору тем более не на каспере держу.

[Modigar]

Даже под линукс шифровальщик сделали. Правда его ещё надо умудриться под рутом запустить, предварительно собрав под свою систему )))
Надо как нидь качнуть попробовать, хоть посмотреть, что за зверь.

[Clim]

жопА начнется, когда они шифровать архивы и мультимедиа научатся. Вот где за домашние архивы народ отслюнивать станет. Вычислить и по заднице настучать проше пареной репы, только кому это нужно.

[Modigar]

Цитата:

Сообщение от Clim

жопА начнется, когда они шифровать архивы и мультимедиа научатся.

Не вижу препятствий уже щас шифровать подобные файлы. В конце концов, какая разница какой файл бинарно считать и зашифровать.

[Clim]

Но ведь только доки портят пока. В чем маркетинг?

[Modigar]

Цитата:

Сообщение от Clim

Но ведь только доки портят пока. В чем маркетинг?

В том, что доки имеют бОльшую ценность для организаций, чем медиа-контент, который к слову, можно с инета накачать заново. Плюс к этому организации, более сговорчивы в плане оплаты за восстановление, чем частное лицо.
PS: у самого на компе нет ничего, что будет жалко потерять, все восстанавливаемо со свободных источников.

[Clim]

Цитата:

Сообщение от Modigar

Плюс к этому организации, более сговорчивы в плане оплаты за восстановление, чем частное лицо.

Зашифруй все фотки, сделай ценник гуманным и плюй в потолок. Юзеров гораздо больше, чем контор, которые на админах экономят

[MAMOHT]

Цитата:

Сообщение от Clim

Но ведь только доки портят пока. В чем маркетинг?

Поверьте, не только. Столкнулся года три назад, кроме доков зашифрованными оказались и медиа-данные.

[Бурый медведь (Bear)]

Ну вот и у меня на работе начальник словил шифровку. Сохранил из письма на флешку, запустил и пошла чехорда в сети.
Сетевую паку смогли восстановить относительно просто. Эта зараза папки сделала скрытыми, а наплодила ярлыков для заражения дальше. Ярлыки удалили, с папками пошаманили, ничего в сети не пропало.
А вот флешка начальника полностью зашифрована. На ней были не только вордовские и эксельные файлы, но и фото.
Соответственно предлагается зарегистрироваться, что бы получить код для раскодирования или обратиться в отдел К.

[Modigar]

Цитата:

Сообщение от Clim

Зашифруй все фотки, сделай ценник гуманным и плюй в потолок. Юзеров гораздо больше, чем контор, которые на админах экономят

Не, он хорош, пока новый и не распространенный, следовательно "надо бить наверняка", в жирную цель.
Если разойдется по юзерам с просьбами по 100-500р то его быстро вычислят и прикроют.