Добрый день. хочу поделиться новым опытом... (буду писать так чтобы поняли все не углубляясь в спецыфичные нюансы) Работаю системным админом в одной организации, на официальную почту, пришел файл "сцетфактура....scr" ну как вроде всё как положено. разве что 2 нюанса было в письме: 1. "вы нам прислали, мы не смогли открыть..." мол проверь свой файл всё ли так... 2. расширение документа не стандартное scr, а картинка документа как у xlsx. Любой бы запустил и даже задней мыслью не задумался. Файл скачали и запустили. В итоге почти полностью закодированы данные сервера (благо каждую ночь с сервака делается полный бэкап и резерный бекап раз в 2 недели. Не зря, в своё время заставил фирму раскошелиться на пару NAS серверов). Все доступные файлы начали переименовываться (в том числе и любых доступных сетевых адресах) в "старое название файла.@id*****crypto-ID*****.com", а если файл уже был крипто кодирован он просто менял разрешение (некоторые отделы тоже используют крипто ключи в работе при документо обороте). По скольку это процесс крипто кодирования и он официально разрешен, никакой антивирус (касперский, eset nod32, avira) его не поймал. Да и вирус не занимается самодублированием как большинство вирусов, на экране при загрузке появляется что-то типо скринлокера(фотографию вы уже видели) Полазил по форуму, отправил письмо касперскому мол так и так... оказывается такие случаи начались в августе этого года - шанс расшифровать данный не ~= 0. На форуме вычитал что файл вирусного крипто кодирования может иметь абсолютно любое разширение к примеру mp3, avi, doc, jpg ...
В общем сразу вспомнил золотое правило №1 которое преподы пока учился на "восстановление и защиту данных" нам вбивали в голову: 1. Всегда делай копию важной информации в 2х и более экземплярах. - лично меня это правило уже не однократно спасало. фоткал на телефон т.к. делать скрин шок с заражонной машины - бесполезное дело тутже всё шифруется.
Ну пздц, у меня один раз я пытался скачать какой-то файл для вк выполз банер на весь экран и его нельзя никак было убрать, и в биосе и на раб столе он был во весь экран, с надписью ВЫ СЛИШКОМ МНОГО СМОТРЕЛИ ГЕЙ ПОРНО, ОТПРАВЬТЕ СМС ПО НОМЕРУ ХХХ ХХХ ХХХХ ХХХ ЧТОБЫ ПРОДОЛЖИТЬ, я ничего не отправил. но мои родители долго ржали надо мной. Мне тогда было лет 10
(буду писать так чтобы поняли все не углубляясь в спецыфичные нюансы)
Работаю системным админом в одной организации, на официальную почту, пришел файл "сцетфактура....scr" ну как вроде всё как положено.
разве что 2 нюанса было в письме:
1. "вы нам прислали, мы не смогли открыть..." мол проверь свой файл всё ли так...
2. расширение документа не стандартное scr, а картинка документа как у xlsx.
Любой бы запустил и даже задней мыслью не задумался. Файл скачали и запустили.
В итоге почти полностью закодированы данные сервера (благо каждую ночь с сервака делается полный бэкап и резерный бекап раз в 2 недели. Не зря, в своё время заставил фирму раскошелиться на пару NAS серверов).
Все доступные файлы начали переименовываться (в том числе и любых доступных сетевых адресах) в "старое название файла.@id*****crypto-ID*****.com", а если файл уже был крипто кодирован он просто менял разрешение (некоторые отделы тоже используют крипто ключи в работе при документо обороте).
По скольку это процесс крипто кодирования и он официально разрешен, никакой антивирус (касперский, eset nod32, avira) его не поймал. Да и вирус не занимается самодублированием как большинство вирусов, на экране при загрузке появляется что-то типо скринлокера(фотографию вы уже видели)
Полазил по форуму, отправил письмо касперскому мол так и так... оказывается такие случаи начались в августе этого года - шанс расшифровать данный не ~= 0.
На форуме вычитал что файл вирусного крипто кодирования может иметь абсолютно любое разширение к примеру mp3, avi, doc, jpg ...
В общем сразу вспомнил золотое правило №1 которое преподы пока учился на "восстановление и защиту данных" нам вбивали в голову:
1. Всегда делай копию важной информации в 2х и более экземплярах. - лично меня это правило уже не однократно спасало.
фоткал на телефон т.к. делать скрин шок с заражонной машины - бесполезное дело тутже всё шифруется.
я пытался скачать какой-то файл для вк
выполз банер на весь экран и его нельзя никак было убрать, и в биосе и на раб столе
он был во весь экран, с надписью
ВЫ СЛИШКОМ МНОГО СМОТРЕЛИ ГЕЙ ПОРНО, ОТПРАВЬТЕ СМС ПО НОМЕРУ ХХХ ХХХ ХХХХ ХХХ ЧТОБЫ ПРОДОЛЖИТЬ, я ничего не отправил.
но мои родители долго ржали надо мной.
Мне тогда было лет 10