С поправкой на то, что письмо должно в таком случае не доставляться пользователю, а задерживаться до проверки (иначе пользователь раньше откроет, чем админ/безопасник).
Ну и все должны согласиться, что их почту может просматривать сотрудник СБ.
В таком виде — да, более-менее работоспособно.
С архивами разобрались.
Остались, правда, документы MS Office с макросами и эксплоитами.
А Netflow с какого устройства снимался? Судя по скриншоту, у вас все IP-адреса внешние, нет ни 10.х.х.х, ни 192.168.х.х. Нехарактерно для локальной сети.)
Интересно, как вы закроете, скажем, возможность пересылки RAR-архивов с паролями.
Если только метод Гугла использовать (никаких архивов с паролями вообще) — но к такому мало кто готов.
Да, вот это уже интереснее.
Но 7 дней — непростительно много. Скорее всего, за это время уже выйдут сигнатуры, и антивирусы всё почистят.
Можно максимум 48 часов, не больше. А ради такого, видимо, решили не заморачиваться.
Тогда ему пришлось бы периодически отстукиваться на командный сервер и спрашивать эту команду. Что нерационально, так как: (а) не все ПК имеют выход в Инернет; (б) периодическая сетевая активность довольно легко отслеживается.
1, 2 — а вы не рассматриваете вариант, что вредонос мог просто по почте прийти в виде «приказ.doc.exe»?
Достаточно, чтобы вложение запустил один пользователь из десяти тысяч находящихся во внутренней сети предприятия.
Тут я с вами не соглашусь: на мой взгляд, это происходит не часто, а редко; в основной же массе криптовымогатели используют собственный исполняемый файл, уникальный для каждой атаки. Соответственно и запретить его нереально.
Запрет легитимных программ для осуществления шифрования может слегка улучшить ситуацию, но к тотальному решению проблемы, ИМХО, и близко не подведёт.
Остановили распространение этой модификации.
В понедельник выйдет новая версия, с другим доменом. Или вообще без стоп-домена — зачем он?
Так что только патчиться.
Я не голосовал, но полагаю, что у вас как-то слишком непонятно идея изложена.
Что такое "криптор"? По-вашему, все модификации шифровальщиков используют одну и ту же утилиту для шифрования?
Практика показывает, что нет: для зашифровывания файлов использовались и функции WinAPI (ну или что-то подобное), и свободно распространяемая утилита GPG, и самописные алгоритмы.
Что из перечисленного вы предлагаете "запретить запускать" и — самое интересное — как вы планируете определять в случае самописной реализации алгоритма, что она производит шифрование, а не какую-то другую легитимную операцию?
Ну и все должны согласиться, что их почту может просматривать сотрудник СБ.
В таком виде — да, более-менее работоспособно.
С архивами разобрались.
Остались, правда, документы MS Office с макросами и эксплоитами.
Как быть?
Если только метод Гугла использовать (никаких архивов с паролями вообще) — но к такому мало кто готов.
Но 7 дней — непростительно много. Скорее всего, за это время уже выйдут сигнатуры, и антивирусы всё почистят.
Можно максимум 48 часов, не больше. А ради такого, видимо, решили не заморачиваться.
Достаточно, чтобы вложение запустил один пользователь из десяти тысяч находящихся во внутренней сети предприятия.
Тут я с вами не соглашусь: на мой взгляд, это происходит не часто, а редко; в основной же массе криптовымогатели используют собственный исполняемый файл, уникальный для каждой атаки. Соответственно и запретить его нереально.
Запрет легитимных программ для осуществления шифрования может слегка улучшить ситуацию, но к тотальному решению проблемы, ИМХО, и близко не подведёт.
Остановили распространение этой модификации.
В понедельник выйдет новая версия, с другим доменом. Или вообще без стоп-домена — зачем он?
Так что только патчиться.
Думаю, нет — если пользователь сам запустит полученный по почте или скачанный из Сети файл.
Я не голосовал, но полагаю, что у вас как-то слишком непонятно идея изложена.
Что такое "криптор"? По-вашему, все модификации шифровальщиков используют одну и ту же утилиту для шифрования?
Практика показывает, что нет: для зашифровывания файлов использовались и функции WinAPI (ну или что-то подобное), и свободно распространяемая утилита GPG, и самописные алгоритмы.
Что из перечисленного вы предлагаете "запретить запускать" и — самое интересное — как вы планируете определять в случае самописной реализации алгоритма, что она производит шифрование, а не какую-то другую легитимную операцию?
Если это правда — очень круто!