Классика жанра, бухгалтер запустил файл с налоговой задолженностью

Stolyar · 28.04.2022, 19:56

Добрый день. Ну когда же уже бухгалтера начнут вначале думать головой, а потом что-то делать. Всё по классике, бухгалтеру пришло письмо с типа "Налоговой задолженностью" и естественно она скачивает файл из него и пытается открыть. Распаковывает содержимое и запускает из него файл скрипта виндового. И только когда ничего не получается она звонит с вопросом как открыть это файл. Причём она уже умудрилась не просто скачать, но и распаковать содержимое. Правда сказала что когда запустила какая-то ошибка появилась, какая она естественно не помнит. Я проверил, пока зашифрованных файлов нет на компе, но как-то хочется быть уверенным что он таки не успел сработать. Посмотрите пожалуйста образ автозапуска этой системы. Спасибо.

Vvvyg · 29.04.2022, 08:19

Скопируйте скрипт ниже в буфер обмена (выделить и нажать Ctrl-C):

Код:

;uVS v4.12 [http://dsrt.dyndns.org:8888]
;Target OS: NTv10.0
v400c
delall %SystemDrive%\PROGRAMDATA\DRIVE.WSF
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.33.5\GOOGLEUPDATEBROKER.EXE
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.33.5\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGEUPDATE\1.3.133.5\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGEUPDATE\1.3.155.85\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.36.122\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.33.5\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGEUPDATE\1.3.133.5\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGEUPDATE\1.3.155.85\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.36.122\PSMACHINE_64.DLL
apply
deltmp
restart

Запустите файл start.exe из папки с uVS, выберите "Запустить под текущим пользователем", в главном меню программы - Скрипты -> выполнить скрипт из буфера обмена.
Компьютер перезагрузится.

Скачайте Farbar Recovery Scan Tool или с зеркала и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
Запустите программу. Когда программа запустится, нажмите Да для соглашения с предупреждением.

Нажмите кнопку Сканировать.

После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt в той же папке, откуда была запущена программа.
Прикрепите эти файлы к своему следующему сообщению (лучше оба в одном архиве).

Николай_С · 29.04.2022, 10:19

Цитата:

Сообщение от Stolyar

Ну когда же уже бухгалтера начнут вначале думать головой, а потом что-то делать.

Полагаю тогда, когда будут сами оплачивать восстановление зашифрованных файлов 1С. А это весьма недешевое удовольствие. По-другому никак!

WHS · 11.05.2022, 11:35

Цитата:

Сообщение от Николай_С

Полагаю тогда, когда будут сами оплачивать восстановление зашифрованных файлов 1С. А это весьма недешевое удовольствие. По-другому никак!

Всё зависит от сисадмина, я когда работал админом, у меня тоже главбух была "классика жанра" но после пары случаев когда она подцепляла на свою машину вирусню, был у нас с ней разговор, во время которого я ей популярно объяснил чем грозит ей такие необдуманные поступки, после чего она стала либо проверять скачанный файл антивирусом перед запуском, либо вызывала меня прежде чем что-то скачать/открыть по ссылке.

Николай_С · 11.05.2022, 12:24

Вменяемая барышня попалась. В моей практике такое случалось не часто. Чаще всего приносили зашифрованную БД и прочили быстренько расшифровать, т.к. уже надо с ней работать.

Max · 25.05.2022, 10:31

Цитата:

Сообщение от Stolyar

Ну когда же уже бухгалтера начнут вначале думать головой, а потом что-то делать. Всё по классике, бухгалтеру пришло письмо с типа "Налоговой задолженностью" и естественно она скачивает файл из него и пытается открыть.

Никогда они не начнут думать, иначе админы и эникеи станут менее востребованы.
В качестве профилактических мер рекомендую сделать следующее:
1. Исключить учетную запись пользователя из группы администраторов;
2. Реализовать политику ограничения использования программ SRP, на локальном уровне (если сетка не доменная), делается через secpol.msc;
3. Установите антивирус и запарольте его, чтобы пользователь не мог его самостоятельно отключить;
4. Позаботьтесь о бэкапах, хотя бы папки профиля пользователя.

29.04.2022, 08:19	#2 (permalink)
Vvvyg Member Регистрация: 17.05.2011 Адрес: Тула Сообщений: 9,825 Сказал(а) спасибо: 0 Поблагодарили 0 раз(а) в 0 сообщениях Репутация: 9863	Скопируйте скрипт ниже в буфер обмена (выделить и нажать Ctrl-C): Код: ;uVS v4.12 [http://dsrt.dyndns.org:8888] ;Target OS: NTv10.0 v400c delall %SystemDrive%\PROGRAMDATA\DRIVE.WSF delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.33.5\GOOGLEUPDATEBROKER.EXE delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.33.5\PSMACHINE.DLL delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGEUPDATE\1.3.133.5\PSMACHINE.DLL delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGEUPDATE\1.3.155.85\PSMACHINE.DLL delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.36.122\PSMACHINE.DLL delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.33.5\PSMACHINE_64.DLL delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGEUPDATE\1.3.133.5\PSMACHINE_64.DLL delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGEUPDATE\1.3.155.85\PSMACHINE_64.DLL delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.36.122\PSMACHINE_64.DLL apply deltmp restart Запустите файл start.exe из папки с uVS, выберите "Запустить под текущим пользователем", в главном меню программы - Скрипты -> выполнить скрипт из буфера обмена. Компьютер перезагрузится. Скачайте Farbar Recovery Scan Tool или с зеркала и сохраните на Рабочем столе. Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе. Запустите программу. Когда программа запустится, нажмите Да для соглашения с предупреждением. Нажмите кнопку Сканировать. После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt в той же папке, откуда была запущена программа. Прикрепите эти файлы к своему следующему сообщению (лучше оба в одном архиве).

11.05.2022, 12:24	#5 (permalink)
Николай_С Радиоинженер Регистрация: 25.09.2012 Адрес: г.Дзержинск Нижегородской обл. Сообщений: 25,308 Записей в дневнике: 7 Сказал(а) спасибо: 292 Поблагодарили 219 раз(а) в 70 сообщениях Репутация: 110185	Вменяемая барышня попалась. В моей практике такое случалось не часто. Чаще всего приносили зашифрованную БД и прочили быстренько расшифровать, т.к. уже надо с ней работать.

Ads
Яндекс Member Регистрация: 31.10.2006 Сообщений: 40200 Записей в дневнике: 0 Сказал(а) спасибо: 0 Поблагодарили 0 раз(а) в 0 сообщениях Репутация: 55070