Внимание! Компьютерный ВИРУС!

Телеком Сочи

Опять двадцать-пять.

По городу идёт рассылка письма с вирусом-шифровальщиком, якобы от ООО «СПЕЦСЕРВИСГАЗ», якобы с адреса «SSG» <ssg-02@mail.ru>.

Письмо следующего содержания:

День добрый,
Вчера к нам явились сотрудники налоговой.
В ходе проведения внеплановой проверки была истребована документация по нашей с Вами работе.
Прошу проверить наличие у Вас первички (в соответствии со списком в аттаче).
Бухгалтера все никак не могут найти несколько актов и накладных за прошлый год((.

Благодарю.

С ув.,
Перминова Анастасия, бухгалтер ООО «СПЕЦСЕРВИСГАЗ»

К письму приложен файлик, открываете его — и файлы на Вашем компьютере шифруются, за расшифровку просят денег… Много денег…
Кто получит такое письмо — СРАЗУ же удаляйте его!

P.S.: 10 марта такое в городе уже было

Компьютерный вирус

+93
21 апреля 2015, 10:24
monkey

Бухгалтера все никак не могут найти
интригующее письмо...)) а за любопытство деньги платят...)

so3537

21 апреля 2015, 10:28
↓

А файлик в каком формате?

Prk

21 апреля 2015, 10:30
↓

Zip с паролем, а внутри .JS
Соответственно, антивирусы его не ловят (т.к. архив запароленный).
Файл называется (в нашем случае) «список документов пароль — 1.zip»

monkey

21 апреля 2015, 10:31
↑
↓

Спасибо за предупреждение!
Да, zip антивирусник пропускает!

Prk

21 апреля 2015, 10:34
↑
↓

Ещё один довод в пользу облаков.

Framer

21 апреля 2015, 11:20
↓

Ещё один довод в пользу облаков.

Большинство сервисов облако не помогут. Причина в том, что при изменении файлов, структуры файлов на компе идет автоматическая перезапись на облако. В итоге из облака получите те же самые зашифрованные данные. правда есть некоторые сервисы «облако» сохраняющие историю записанных файлов и вы можете выбрать какой бэкап скачать. А тема с этим вирусом паскуданая. Подобарть конечно пароль возможно, но стоит такой сервис столько же сколько и заплатить шантажисту. Примерно 50000 — 60000 руб.

Vlad030

21 апреля 2015, 11:40
↑
↓

Ну это в случае, если пользоваться облаком как хранилищем и синхронизировать локальный компьютер с ним.
А если в принципе всё иметь в облаке (ну то-есть эти файлы «где-то-там», локально их вообще нет), работать с документами через соответствующие сервисы типа Google Docs и т.д. — то почему бы и нет…

monkey

21 апреля 2015, 11:54
↑
↓

А как быть с 1С?

Vlad030

21 апреля 2015, 12:07
↑
↓

Всё стереть! Подчистую! Вместе с архивами сохраненных баз!

insight_adler

21 апреля 2015, 12:09
↑
↓

Документы можно и вручную пересоздать. А вот базы это большая утрата и оооочень много труда.

Vlad030

21 апреля 2015, 12:09
↑
↓

Ну ничего страшного. Бухгалтеры все восстановят. Это их работа. А то сидят без дела, туда-сюда цифры гоняют.

insight_adler

21 апреля 2015, 12:11
↑
↓

А то сидят без дела, туда-сюда цифры гоняют.

Большего бреда я не слышал…

Zimin78

21 апреля 2015, 12:30
↑
↓

;) это у меня сарказм такой. Не обращайте внимания ))) Профессиональное у меня это: главбух я, однако. )))

insight_adler

21 апреля 2015, 12:34
↑
↓

Так понятнее ))) 100%

Zimin78

21 апреля 2015, 12:39
↑
↓

Я базы жены ( тоже бух ) периодически на внешние диски копирую, не представляю даже что будет если 3-4 десятка баз полетят, вздёрнутся только останется…

Zimin78

21 апреля 2015, 12:42
↑
↓

Вы что, хотите, чтобы я щас вас наслушался и потом в холодном поту ночью от таких снов просыпался? ))))

insight_adler

21 апреля 2015, 12:47
↑
↓

А вот что-б спать спокойно, делайте копии, хотя-бы раз в неделю ))) Неделю легче восстановить чем всю базу ;)

Zimin78

21 апреля 2015, 12:49
↑
↓

Это да. Делаю сэйвы на удаленный домашний NAS на пятом рэйде.

insight_adler

21 апреля 2015, 12:52
↑
↓

Фтопку пятый рейд, давно уже.
При емкостях современных хардов, время ребилда массива может исчисляться сутками, и на этот период весь массив остается абсолютно незащищенным (ошибки чтения/записи и другие сбои могут похерить все данные безвозвратно).
В общем, остается верить что диск не сбойнет.

reticon

21 апреля 2015, 22:54
↑
↓

Поясняю: ТОЛЬКО АРХИВ хранится на пятом рейде, а не ВСЯ информация с архивами. Какова вероятность того, что во время уничтожения бухгалтерской базы на рабочей машине, развалится рэйд 5 на удаленном NASе? Кроме того, я бы поспорил насчет «сутками». Мой Synology DS509+ восстанавливает 5,5 Тб рэйд-массив за 8 часов. А

insight_adler

22 апреля 2015, 08:56
↑
↓

Впрочем, в свете последних изменений, сейчас, наверно, самый страшный сон — это узнать, что на фирме опять НДС будет ))))

insight_adler

21 апреля 2015, 12:49
↑
↓

Ну резервное копирование базы немногие делают, в основном на крупных предприятиях, где есть штат айтишников. А малые предприятия к этому пофигистически относятся, периодически ломая голову как и где восстановить винду

ALBANDY

22 апреля 2015, 20:20
↑
↓

1cfresh.com/ — это официальный облачный сервис «1С».
А вообще их больше чем дофига…

monkey

21 апреля 2015, 12:10
↑
↓

1cfresh.com/ — это официальный облачный сервис «1С».

Та же самая ерунда. Туда отсылаются только копия базы. Если она зашифрована на компе то и облако уйдет зашифрованной.

Vlad030

21 апреля 2015, 12:16
↑
↓

База находится «где-то-там». И Вы работаете с ней через веб-браузер или через тонккий клиент. И если у Вас на компе что-то произойдёт — с данными базы 1С, которая находится на серверах дата-центра, ничего не случится

monkey

21 апреля 2015, 12:19
↑
↓

в облаке работает (как таково) только типовая бух тройка
, от сюда вопросы:
много у кого типовая?
много у кого тройка?
много кто захочет выкладывать свою базу в облако?

Tarlich

21 апреля 2015, 16:16
↑
↓

Ну если не типовая — то надо делать бэкапы.
А если типовая, то раздумывая над вопросами «двойка или тройка», «выкладывать или не выладывать» надо ответить себе «что будет, если девока-бухгалтер откроет-таки вот такое письмо, как сегодня...»

monkey

21 апреля 2015, 16:45
↑
↓

Если Бух запустил при открытой базе — ни чего не произойдет (проверено)
Если база больше 2 гигов то же ни чего не будет — вирус пропускает такие файлы

Tarlich

21 апреля 2015, 21:23
↑
↓

RDP же

Framer

21 апреля 2015, 12:54
↑
↓

А что касается подключенных сетевых дисков? Там вроде как права и все такое?

sergio-vs

21 апреля 2015, 20:09
↑
↓

Эт на везение:
индия и все по сети херачет
а ваулт только локальные

Tarlich

21 апреля 2015, 21:24
↑
↓

… ~~облаков~~ очередных проектов ФСБ и АНБ по сбору личных данных пасущегося скота…

Mitrios

21 апреля 2015, 15:30
↑
↓

Ой, кмон, нужны вы им сильно. У нас не то что ФСБ — обычный ОБЭП имеет право доступа к личным данным, абсолютно легально.

Framer

21 апреля 2015, 15:42
↑
↓

вот я о том же ) я понимаю — если мы нормальные люди, на собсно бояться нечего и париться тоже… но чисто из принципа.

Mitrios

21 апреля 2015, 15:43
↑
↓

Ооо, мы такой получили на работе. Коллега сразу созвонилась с этой организацией, так как мы с ними не сотрудничали ни когда. Там сказали не открывать файл. Видимо мы не первые звонили в эту организацию

svs-sochi

21 апреля 2015, 11:26
↓

Zimin78

21 апреля 2015, 11:27
↓

Менеджера смутила фраза " на предприятие ЗАЯВИЛИСЬ ", что является неуместным лексиконом для главного бухгалтера… Фоткал письмо из корзины ))

Zimin78

21 апреля 2015, 11:30
↑
↓

Да и не только это: слово «аттач» редко применяется бухгалтерами.
Да и вместо «с ув.» обычно пишут «С Уважением»

monkey

21 апреля 2015, 11:36
↑
↓

Ну да… В любом случае у девчонки чуйка сработала и письмо ушло в корзину…
Я как ваш топик прочитал, по своей рабочей сетке всем скинул информацию, долго ждать не пришлось, коммерческий отдел откликнулся о получении такого письма… ))
Спасибо, такие топы заслуживают двойных плюсов ))

Zimin78

21 апреля 2015, 11:40
↑
↓

Я как ваш топик прочитал,

тоже вспомнл, что было в начале марта подобное письмо. Ну, тут, как учили, файлы от незнакомого адресата не открываю.

Zlodei

21 апреля 2015, 19:57
↑
↓

помимо фразы смутило время))) 0:20, такую же хрень получила)

pansy

21 апреля 2015, 14:52
↑
↓

Тю-ю-ю. Давно пора усилить вам свою безопасность.
Все бумажные письма из налоговой, ПФР, ФСС, статистики надо сжигать, не открывая (вдруг там порошок ядовитый). Электронные письма из этих органов не только удалять, но еще и отправителей отправлять в раздел «Спам».
Электронные письма от поставщиков с требованиями об оплате задолженности от поставщиков — в Корзину. Бумажные — в шредер.
Обязательно поставить на входящие электронные письма о проведении налоговой проверки автоматический обратный ответ с текстом «A message that you sent could not be delivered to one or more of its recipients. This is a permanent error. The following address(es) failed:» На бумажные — штамп «Адресат выбыл из места назначения» и отнести им в почтовый ящик.

insight_adler

21 апреля 2015, 11:36
↓

не понимаю людей пользующихся клиентскими программами ,…
все в облака…

rootwing

21 апреля 2015, 11:44
↓

не понимаю людей пользующихся клиентскими программами ,…
все в облака…

Облако не выход. Ответ почему выше.

Vlad030

21 апреля 2015, 11:48
↑
↓

вы на шаг ближе к linux… там вообще нет вирусов

rootwing

21 апреля 2015, 22:37
↑
↓

Ага)) 1С там тоже нет)))

RabbitNRJ

22 апреля 2015, 01:56
↑
↓

Там в архиве документ с расширение JS. написан на ява скрипте. будьте осторожны. Документы все шифрует на ура.

AXel_23

21 апреля 2015, 13:19
↓

Открывали уже? ))

Zimin78

21 апреля 2015, 13:20
↑
↓

Нет, но друзья открывали )))

AXel_23

21 апреля 2015, 13:24
↑
↓

JS вроде как в текстовом блокноте пишется?

Zimin78

21 апреля 2015, 13:28
↑
↓

в Notepad++, а лучше всего в Dreamweaver.

AXel_23

21 апреля 2015, 14:24
↑
↓

Самый лучший редактор html, js и прочее — это notepad.exe

Mitrios

21 апреля 2015, 15:32
↑
↓

По поводу текста письма, не обязательно будет такой. вот еще текст с одно письма, там було тоже самое:
Доброе утро,
Начальство распорядился провести сверки со всеми партнерами по итогам квартала.

Отправляю Вам акт (во вложении). Большая просьба проверить и завизировать документ.

Вышлите нам скан подписанного экземпляра или ваши замечания.

С ву.,

Ирина, бухгалтер (название компании)

AXel_23

21 апреля 2015, 13:24
↓

Да, наша бухгалтерия схватывала такой, именно акты сверок!!!

Zimin78

21 апреля 2015, 13:26
↑
↓

у меня такое было в сентябре того года,
причем пришло от вполне реального адресата:

Добрый день,
Высылаю Вам акт сверки за весь период нашей совместной работы — во вложении.
За один из поставленных разборных кранов за Вами числится небольшая задолженность.
Изучите документ и сообщите о возможности оплаты долга.
Так же напоминаю, что в скором времени мы будем проводить на Ваших объектах гарантийное обслуживание.

В этой связи было бы неплохо подписать или дополнение к уже существующим контрактам.

— С уважением,
…

)))

zhdann

21 апреля 2015, 13:46
↓

у антивирусов тоже кризис...?)
платные патчи уже продают?..

Nitro

21 апреля 2015, 14:24
↓

А если работать в Линуксе? Вроде бы на него вирусы не действуют? А вот файлы с расширением .JS — то есть, скрипты — там вроде бы вообще не предусмотрены? Кто бы грамотный просветил, а?

USER

21 апреля 2015, 14:50
↑
↓

Не должна, так как она написана для винды.

AXel_23

21 апреля 2015, 15:34
↑
↓

Там своих вирусов хватает.
Хоть бинарниками, хоть скриптами на шелле.

reticon

21 апреля 2015, 22:41
↑
↓

Только-что звонили с соц опросом от лаборатории Касперского, и пользуясь случаем я задал им вопрос касаемо шифровальшика. Так вот оператор меня уверил что активно ведутся работы в этом направлении, и да, сам zip не сканируется, но при открытии антивирус хавает его… Единственное что нужно обновить саму программу, ну и базы естественно… Щас они мне на почту предложение должны сбросить и отписку по данному вопросу… )))

Zimin78

21 апреля 2015, 14:55
↓

Они у себя писали уже что расшифровать данные не получится. Эта хрень написана на открытом кляче. Для того что бы создать расшифровщик, нужно знать ключ. как то так.

AXel_23

21 апреля 2015, 15:34
↑
↓

Ну вот что они мне прислали в почте:
Ссылка на описание защиты от программ-шифровальщиков
support.kaspersky.ru/11151#block5
Готов ответить на возникшие вопросы.

Zimin78

21 апреля 2015, 16:01
↑
↓

Если вы НЕ хотите потерять ценную информацию, то возьмите за правило в конце рабочего дня сбрасывать всё на внешний жесткий диск. Самое плохое что может случится вы потеряете дневную информацию и всё. Правда потом переустановите винду и больше не ни когда не будете открывать неизвестные письма.

hitech

21 апреля 2015, 15:41
↓

Надо работать в ЛИНУКСЕ. Ну почему всем так лень? Уже и версии ЛИНУКС есть по виду как WINDOWS, и программы перевода виндовских программ для работы в ЛИНУКС, бесплатной же операционной системе! Нет вот, продолжпем платить Майкрософту и иметь от него сюрприз за сюрпризом!

USER

21 апреля 2015, 15:55
↑
↓

К сожалению нормального аналога Microsoft Office так и нет. Различные OpenOffice и LibreOffice есть, но если со сторонней организации вам пришлют в формате docx, высока вероятность открыть не документ, который выглядит совсем не так как ожидалось.

vvk2001

21 апреля 2015, 16:16
↑
↓

если со сторонней организации вам пришлют в формате docx

ворд еще можно пережить, а вот что с экселями творит этот опенофис и прочее, это жесть

Nitro

21 апреля 2015, 18:07
↑
↓

Я бы сказал что это не проблема этих программ, а фичи продуктов MS возможно даже специально внедренные корпорацией для того чтобы не потерять бабло.

6SIN6

22 апреля 2015, 14:03
↑
↓

Думаешь проблем создать такой же скрип но для Люнекса? я не думаю. Его не создали только потому что пользователей мало в отличии от винды.

AXel_23

21 апреля 2015, 18:47
↑
↓

ну и назовите нормальный аналог Офиса на Люникс.

AXel_23

21 апреля 2015, 18:48
↑
↓

ну и назовите нормальный аналог Офиса на Люникс.

100% сейчас назовет он же не дилетант…

Nitro

21 апреля 2015, 19:09
↑
↓

Kingston

USER

22 апреля 2015, 05:57
↑
↓

Kingston

и как работают сводные таблицы, автофильтр, VPR\GPR, ссылки на листы? Откроет MS excel книгу с формулами сложнее арифметических?..
:)

нет…
еще идеи есть?

Nitro

22 апреля 2015, 08:24
↑
↓

помоему проще персонал обучить с почтой работать чем обучить линуксам и старофисам…
а самое главное 1C обе части клиента есть 8рка под линукс?)

Nitro

22 апреля 2015, 08:26
↑
↓

В данном случае виндк переустанавливать не надо. так как это тупо скрипт а не вирусня которая потом лезет куда попало. Это тупо скрипт шифровальщик который Юзверь сам по свое наивности и глупости запускает.

AXel_23

21 апреля 2015, 18:46
↑
↓

Если вы НЕ хотите потерять ценную информацию, то возьмите за правило в конце рабочего дня сбрасывать всё на внешний жесткий диск.

есть простой софт который сам будет бекапить нужные папки например на NAS если облако боязно…

Nitro

21 апреля 2015, 19:10
↑
↓

Главное чтобы на NAS не было системных линков т.е. только софт бекапера знал где живет NAS ;)

6SIN6

22 апреля 2015, 14:06
↑
↓

Хотя конечно от трояна шифровальщика сканирующего расшаренные ресурсы спасет мало, разве что пароль на NAS.

6SIN6

22 апреля 2015, 14:07
↑
↓

А вот интересно, кто нарисовал эти корявки-шифровальщики, наши отеЧЧественные умы или пиндосия и прочие провокаторы из НЕдружественных категорий ))) ???

Zimin78

21 апреля 2015, 16:03
↓

А вот интересно, кто нарисовал эти корявки-шифровальщики, наши отеЧЧественные умы или пиндосия и прочие провокаторы из НЕдружественных категорий ))) ???

Думаю, что импортозамещение вовсю работает.

Zlodei

21 апреля 2015, 20:08
↑
↓

за последние 2 месяца из 11 обращений смог помочь только 2 — платили вымогателям.

Tarlich

21 апреля 2015, 16:29
↓

Странно, что KIS не детектирует выкачивающий шифровальщик скрипт.

Tarlich

21 апреля 2015, 16:32
↑
↓

потому что это не вирус. не один вирус до сегодняшнего дня не ругался на него.

AXel_23

21 апреля 2015, 18:49
↑
↓

В файле полюбому должны быть следы как связаться с тем, кому деньги платить. + по служебным заголовкам письма можно кое-какую инфу выцепить. У меня как-то друг нашел гада с точностью до улицы\дома. Отправил эти данные ему на почту — через час пришли бесплатно инструкции по восстановлению данных, которые помогли. Но там лопух-студент был, решивший денег по-легкому срубить.

Там тупой алгоритм на JS, код не прячется никак. М.б. используется какая уязвимость ОС. + большинство компов используются под админом с отключенным UAC. Вот тебе и раз.

key484

21 апреля 2015, 20:55
↑
↓

ага! еще и домашний адрес с именем любимой кошки -))

Tarlich

21 апреля 2015, 21:33
↑
↓

А если взять за правило подход ГК «Росатом» — ни один компьютер включённый в сеть и имеющий серьёзные информативные базы и файлы на прямую в интернет не выходит и не соединён по сети с другими?

witalys

21 апреля 2015, 17:10
↓

почти 90% моих клиентов не готовы платить за настройку тех же бекапов и т.д — «да мы сами все будем делать»
и 100% платят когда такие попадосы -))

Tarlich

21 апреля 2015, 21:31
↑
↓

Я не понимаю… как можно юзать винду а не линукс.????? Там можно читать любые письма… к чему такие проблемы?

yasamtut

21 апреля 2015, 23:42
↓

а можно мне этот файлик? хотяб взглянуть а него…

RabbitNRJ

22 апреля 2015, 02:07
↓

Тебе отправить на почту, указанную в профиле?

monkey

22 апреля 2015, 08:50
↑
↓

С автозапуском при получении )))

Zimin78

22 апреля 2015, 09:14
↑
↓

С автозапуском при получении )))

На VM попробовать можно… чО)

Nitro

22 апреля 2015, 12:05
↑
↓

ага

RabbitNRJ

22 апреля 2015, 13:32
↑
↓

В принципе, подобные писульки сразу вызовет подозрение, т.к. мы например, в подобных случаях звоним контрагенту по «встречке», и общаемся непосредственно. Это и быстрее, и надежнее.

ALBANDY

22 апреля 2015, 20:23
↓

Только зарегистрированные и авторизованные пользователи могут оставлять комментарии.

ПриветСочи

Внимание! Компьютерный ВИРУС!

Комментарии (93)

Информация

Новое в других клубах

Прямой эфир