Sziasztok!
A segítségeteket szeretném kérni! Adott egy SBS 2011-es Windows Server, amin ugyebár használunk Exchange-t is. Rendszeresen érkeznek rá Spam-ek, amik valamilyen ransomware-t tartalmaznak. Különös ismertetőjelük ezen e-maileknek, hogy mindegyikhez csatolva van egy 10 kb méretű fájl, valamint a nevükben is vannak azonos részek. Ez minden esetben 10 kb, a feladó pedig mindig más, így az adott e-mail címet hiába rakjuk fekete listára, előbb vagy utóbb így is úgy is érkezik ilyen levél.
Arra gondoltunk, hogy létre kéne hozni egy szabályt, hogy a 10 kb méretű, vagy mondjuk a 10 kb méretű és az alatti méretű csatolmányokkal küldött e-maileket automatikusan elutasítsa, vagy spam-ként kezelje a Server. Eddig nem találtunk erre semmilyen megoldást. Persze a klienseken is megoldható lenne a szűrés, de ott sem találtunk ilyen opciót. Az összes kliens Office 2010-es Outlook-ot használ.
Előre is köszönöm a segítséget!
Ezekben a ransomware-es csúnya időkben, mindig jól jön a segítség!
- 1246 megtekintés
Hozzászólások
100% védelem nincs. A védelem elemei lehetnek:
- ismerten problémás csatolmányok élből eldobása
- gateway-szintű SPAM és vírusszűrés kereskedelmi adatbázisokkal
- gateway-szintű SPAM és vírusszűrés ingyenes adatbázisokkal
- oktatás, körlevél a NE NYISD MEG ami nem neked szól vagy gyanús mondakörben
- egyéb általad kitalált dolgok
A lényeg, hogy a ransomware-es levelek már lehetőleg ne jussanak el a felhasználó gépére, mert ha már oda jutnak, ott az esetleges végponti AV szoftverek sok esetben semmit sem érnek. Tehát ezeket már célszerű a mail szerver előtt kiszűrni, ha egy mód van rá.
Offsite backup mindig legyen. Lehetőleg agent-en vagy más megoldáson keresztüli mentés másik gépre, amin "keresztül" a ransomware nem tudja törölni a mentést (nyilván nem helyi d: meghajtóra, másik gépről felmappelt share-re stb.)
--
trey @ gépház
- A hozzászóláshoz be kell jelentkezni
Tisztában vagyok vele, hogy 100%-os védelem nincs. Jómagam is a rendszeres mentések híve vagyok, de legjobb lenne ha nem kéne hozzájuk nyúlni. Sajnos a "NE NYISD MEG!" felszólítás pedig nem működik. Előbb vagy utóbb, de valaki mindig megteszi. Sajnos ez tapasztalat. Na meg persze az is, hogy az a valaki rendszerint letagadja. De ez már mellékes.
- A hozzászóláshoz be kell jelentkezni
"oktatás, körlevél a NE NYISD MEG ami nem neked szól vagy gyanús mondakörben "
Oktatas, peeersze... Mindenki tudja, hogy az ilyen leveleket azert kell kikuldeni, hogy ha (vagyis inkabb mikor) beut a krach, akkor tudjuk lobogtatni mint a veres zaszlot, hogy mi figyelmeztettunk mindenkit.
Sajat tapasztalatbol mondom az ilyen leveleket az a 50-60% nem olvassa el akinek eppen szolna... Ok siman megnyitjak a proformaszamla.pdf.exe nevu csatolmanyt is...
Aztan hogy ok nem is csinaltak semmit, csak megjelent ez a kep.
Ahogy trey is irta, azt kell megelozni, eljussanak az user gepere mert ha eljutott, akkor az nagyjabol egyenerteku azzal, hogy le is futott.
Spamassassin+ClamAV sokat meg tud fogni, de az eletem nem biznam ra.
Lehet meg probalkozni greylistel is, de azt altalaban (valamilyen szinten jogosan) nem kedvelik a managerek/vezetok.
--
"You can hide a semi truck in 300 lines of code"
- A hozzászóláshoz be kell jelentkezni
Oktatás
part1: Légyszi ne...
part2: nem kéne mégegyszer (a backup visszatöltése idő amit értelmesebb dolgokkal is el lehet tölteni)
part3:
1.) "Windows Script Host access is disabled on this machine" :P
2.) IE user agent on squid went to blacklist (use a browser)
- A hozzászóláshoz be kell jelentkezni
Ennyire egyszerű szabállyal nem fogod tudni megoldani ezt. Kell az exchange elé egy normális gateway szűrő. A klienseken legjobban még mindig a futtatási jogosultságok elvételével tudod megfogni a dolgot (applockerrel kitiltasz minden futtatást, ami nem az előre meghatározott telepített programok futtatása. Persze sok helyen ez nem igazán járható út).
Zavard össze a világot: mosolyogj hétfőn.
- A hozzászóláshoz be kell jelentkezni
Jelen esetben megoldaná a problémát, ugyanis napi szinten 8-10 ilyen levél is érkezik kb. minden felhasználó számára. Mindegyik 10 kb-os .zip csatolmánnyal. A .zip-et pedig nem tilthatom ki, mert használják napi szinten.
A gateway szűrő nem lenne rossz, de jelen esetben nem igazán tudunk berakni egy új szervert erre a feladatra, az SBS pedig eléggé terhelt már, hogy ezt a célt is ellássa.
- A hozzászóláshoz be kell jelentkezni
Szolgáltatásként is elérhető a saját géptermi levelezőszerverek védelme, például ilyen az Exchange Online Protection, mely listaáron 0,84€/felhasználó/hó.
Üdv,
Marci
A Microsoftnál dolgozom.
- A hozzászóláshoz be kell jelentkezni
Nálunk az lett a megoldás, h zfs+snapshot, ami a szerveren van, az fontos, ami az user gépén, az nem.
- A hozzászóláshoz be kell jelentkezni
ez mi modon ved meg a ransomware-ek ellen?
- A hozzászóláshoz be kell jelentkezni
igy ranezesre azt mondanam, jobban jarsz, ha egy spamszuro szolgaltatot valasztasz, vagy ha az egesz levelezesed tokkal-vonoval egy profi cegre bizod.
létre kéne hozni egy szabályt, hogy a 10 kb méretű, vagy mondjuk a 10 kb méretű és az alatti méretű csatolmányokkal küldött e-maileket automatikusan elutasítsa, vagy spam-ként kezelje a Server.
ezt akar meg spamassassin-nal is ossze lehet hozni egy custom rule-lal.
Eddig nem találtunk erre semmilyen megoldást.
go to 1. bekezdes...
- A hozzászóláshoz be kell jelentkezni