Собственно есть категория пользователей наиболее точно описываемая картинкой:
Там все инструкции мимо, к тому же всякое бывает и письмо от доверенного адресата и тд и тп.
Примем меры, ибо вирусяка злая достаточно, не создает новое, а ломает то, что есть, потом еще и все сетевые шары поражает.
Дак вот ударим в то, с чего начинается заражение, а оно начинается с zip архива в нем:
СРОЧНА_ПРЕСРОЧНА_ОПЛАТИТЬ_ДО_2501_Документ_doc.hta, но hta мало кто вообще видит, предупреждения системы безопасности мы тоже не читаем, поэтому жмем вперде.
На этом и построим защиту, в групповых политиках создаем новую и прописываем то, что на картинке:
Теперь все попытки открыть hta будут в блокноте, а там глядишь и присмотрятся или позвонят, в общем самое главное гадость не запустят.
Вариант без групповых политик для обычных пользователей открываем cmd с правами администратора и вставляем
ftype htafile=%SystemRoot%\system32\NOTEPAD.EXE %1 ftype JSFile=%SystemRoot%\system32\NOTEPAD.EXE %1 ftype VBSFile=%SystemRoot%\system32\NOTEPAD.EXE %1 ftype scrfile=%SystemRoot%\system32\NOTEPAD.EXE %1
жмем enter, все теперь все файлы пользователю пришедшие с популярных крипт разрешений будут открываться блокнотом.
