<p dir="ltr">We had 2 clients get it. Managed to segregate one from the network after we picked up alot of disk I/0. Damn thing navigates network drives. Interestingly enough once you kill the exes you can use previous versions to recover everything. Appears to be multiple varients of crypto locker now though. Still a pain to deal with. My 2c</p>

<div class="gmail_quote">On 24/10/2013 11:28 AM, "Pinkerton, Eric (AU Sydney)" <<a href="mailto:Eric.Pinkerton@baesystemsdetica.com">Eric.Pinkerton@baesystemsdetica.com</a>> wrote:<br type="attribution"><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">
I can't believe anyone is still sending/or allowing for that matter, exe's in email in 2013! - That's like sooo 1998.<br>
<br>
I would have said malware is more likely to arrive by PDF these days for exactly that reason, but more to the point, clicking on a link is all it really takes to compromise a machine.<br>
<br>
If I want to infect you with an exe, and you block it, Then I will just put the file in a drop box(or whatever), and send you an invite - your users are well attuned to clicking on such links.<br>
<br>
IMHO, The 'best' policy is a combination of many things starting with training your end users to spot dodgy looking links, filtering egress traffic, patching patching and more patching, not using XP with IE6, monitoring your logs, changing your default password from 'password' and giving people permissions in line with their requirements (ie not making everyone a domain admin) etc etc.<br>

<br>
My 2c<br>
<br>
-----Original Message-----<br>
From: AusNOG [mailto:<a href="mailto:ausnog-bounces@lists.ausnog.net">ausnog-bounces@lists.ausnog.net</a>] On Behalf Of Thomas Jackson<br>
Sent: Thursday, 24 October 2013 10:29 AM<br>
To: '<a href="mailto:AusNOG@lists.ausnog.net">AusNOG@lists.ausnog.net</a>'<br>
Subject: Re: [AusNOG] CryptoLocker Virus<br>
<br>
The best policy is to just block all executables coming via email - we have all of ours go into a quarantine so someone from IT can get at them if needed (like updates to our payroll system that only are distributed via email for reasons that remain unclear to me). That stops the average user from randomly clicking on attachments and I often see viruses sitting in there that have managed to get through all of the other filters.<br>

<br>
From: AusNOG [mailto:<a href="mailto:ausnog-bounces@lists.ausnog.net">ausnog-bounces@lists.ausnog.net</a>] On Behalf Of Damian Guppy<br>
Sent: Thursday, 24 October 2013 12:00 AM<br>
To: Sean Slater<br>
Cc: <a href="mailto:AusNOG@lists.ausnog.net">AusNOG@lists.ausnog.net</a><br>
Subject: Re: [AusNOG] CryptoLocker Virus<br>
<br>
Very annoying, and from what I have seen around on forums, it has picked up a lot more this week. We decided to move ahead with blocking all executables in emails on the clients that didn't already have the policy.<br>

<br>
<br>
_______________________________________________<br>
AusNOG mailing list<br>
<a href="mailto:AusNOG@lists.ausnog.net">AusNOG@lists.ausnog.net</a><br>
<a href="http://lists.ausnog.net/mailman/listinfo/ausnog" target="_blank">http://lists.ausnog.net/mailman/listinfo/ausnog</a><br>
_______________________________________________<br>
AusNOG mailing list<br>
<a href="mailto:AusNOG@lists.ausnog.net">AusNOG@lists.ausnog.net</a><br>
<a href="http://lists.ausnog.net/mailman/listinfo/ausnog" target="_blank">http://lists.ausnog.net/mailman/listinfo/ausnog</a><br>
</blockquote></div>