p18: (Default)
[personal profile] p18
Сто раз говорил людям: "не открывайте файлы, которые вам прислал хз кто"...
Сегодня звонок от клиента - всё пропало у нас вирус. Срываюсь к ним (ибо буквально в начале недели у ещё одних знакомых вирус зашифровал все базы).
Приезжаю. Заставка, закрывающая почти весь рабочий стол (при этом шоткат и кнопка пуск доступны) , на которой написано "ваши документы и медиафайлы заблокированы. Просьба выслать связаться с нами..."
Повезло клиенту. Вирус оказался почти "молдавским". Файлы оказались целы. Не зашифрованы.
Загрузился с liveCD вычистил временные папки и прочие места и "вирус закончился". Для очищения совести прогнал потом AVZ и CureIt.
Начинаю выяснять анамнез.
Пришло письмо. Клиент решил, что оно из РАО (у них стоит outlook express, а он мало того, что не очень любит показывать почтовый ящик с которого отправлено письмо, так и мне не удалось добиться от него показа служебной информации письма).

Ошибка №1. На самом деле письмо было с ящика на mail.ru - а по идее официальные конторы не должны посылать писем с ящиков на бесплатных почтовиках. Такие письма - сразу удалять.

В письме был прикреплен архив со сверкой платежей.
Полез я в этот архив. Там файл с названием "скан сверки данных от 15.09", а в столбце тип - js-скрипт. Показываю клиенту, со словами: "так тут же огненными буквами написано - ВИРУС".
клиент: "где?".
я: "если это скан - то тип либо jpg, либо pdf, либо tiff, ну на худой конец документ ворд.... но это же явно написано - скрипт, зачем вы его запустили?".
клиент: "то то он у нас открываться не хотел"...

Ошибка №2. Если не знаешь, что это за расширение - лучше удалить с чистой совестью и даже потом про это не вспоминать.

А вообще - пришло письмо с незнакомого адреса, которого не ждешь - лучше вложение не открывать. Контрагенту - всегда можно позвонить и спросить - вы сверку/акты/накладные - посылали? Если да - то можно, если нет - то удалять не задумываясь.

Ну и копирование баз и важных данных - на внешние независимые носители - никто не отменял, а то придёт вирус, и всё...
image046
From:
Anonymous( )Anonymous This account has disabled anonymous posting.
OpenID( )OpenID You can comment on this post while signed in with an account from many other sites, once you have confirmed your email address. Sign in using OpenID.
User
Account name:
Password:
If you don't have an account you can create one now.
Subject:
HTML doesn't work in the subject.

Message:

 
Notice: This account is set to log the IP addresses of everyone who comments.
Links will be displayed as unclickable URLs to help prevent spam.

Profile

p18: (Default)
p18

September 2016

S M T W T F S
    123
4 5678 910
1112 13 14 151617
18192021222324
25 2627282930 

Style Credit

Expand Cut Tags

No cut tags
Page generated Sep. 26th, 2017 07:20 am
Powered by Dreamwidth Studios