Добрый день. хочу поделиться новым опытом...
(буду писать так чтобы поняли все не углубляясь в спецыфичные нюансы)
Работаю системным админом в одной организации, на официальную почту, пришел файл "сцетфактура....scr" ну как вроде всё как положено.
разве что 2 нюанса было в письме:
1. "вы нам прислали, мы не смогли открыть..." мол проверь свой файл всё ли так...
2. расширение документа не стандартное scr, а картинка документа как у xlsx.
Любой бы запустил и даже задней мыслью не задумался. Файл скачали и запустили.
В итоге почти полностью закодированы данные сервера (благо каждую ночь с сервака делается полный бэкап и резерный бекап раз в 2 недели. Не зря, в своё время заставил фирму раскошелиться на пару NAS серверов).
Все доступные файлы начали переименовываться (в том числе и любых доступных сетевых адресах) в "старое название файла.@id*****crypto-ID*****.com", а если файл уже был крипто кодирован он просто менял разрешение (некоторые отделы тоже используют крипто ключи в работе при документо обороте).
По скольку это процесс крипто кодирования и он официально разрешен, никакой антивирус (касперский, eset nod32, avira) его не поймал. Да и вирус не занимается самодублированием как большинство вирусов, на экране при загрузке появляется что-то типо скринлокера(фотографию вы уже видели)
Полазил по форуму, отправил письмо касперскому мол так и так... оказывается такие случаи начались в августе этого года - шанс расшифровать данный не ~= 0.
На форуме вычитал что файл вирусного крипто кодирования может иметь абсолютно любое разширение к примеру mp3, avi, doc, jpg ...
В общем сразу вспомнил золотое правило №1 которое преподы пока учился на "восстановление и защиту данных" нам вбивали в голову:
1. Всегда делай копию важной информации в 2х и более экземплярах. - лично меня это правило уже не однократно спасало.
фоткал на телефон т.к. делать скрин шок с заражонной машины - бесполезное дело тутже всё шифруется.
(буду писать так чтобы поняли все не углубляясь в спецыфичные нюансы)
Работаю системным админом в одной организации, на официальную почту, пришел файл "сцетфактура....scr" ну как вроде всё как положено.
разве что 2 нюанса было в письме:
1. "вы нам прислали, мы не смогли открыть..." мол проверь свой файл всё ли так...
2. расширение документа не стандартное scr, а картинка документа как у xlsx.
Любой бы запустил и даже задней мыслью не задумался. Файл скачали и запустили.
В итоге почти полностью закодированы данные сервера (благо каждую ночь с сервака делается полный бэкап и резерный бекап раз в 2 недели. Не зря, в своё время заставил фирму раскошелиться на пару NAS серверов).
Все доступные файлы начали переименовываться (в том числе и любых доступных сетевых адресах) в "старое название файла.@id*****crypto-ID*****.com", а если файл уже был крипто кодирован он просто менял разрешение (некоторые отделы тоже используют крипто ключи в работе при документо обороте).
По скольку это процесс крипто кодирования и он официально разрешен, никакой антивирус (касперский, eset nod32, avira) его не поймал. Да и вирус не занимается самодублированием как большинство вирусов, на экране при загрузке появляется что-то типо скринлокера(фотографию вы уже видели)
Полазил по форуму, отправил письмо касперскому мол так и так... оказывается такие случаи начались в августе этого года - шанс расшифровать данный не ~= 0.
На форуме вычитал что файл вирусного крипто кодирования может иметь абсолютно любое разширение к примеру mp3, avi, doc, jpg ...
В общем сразу вспомнил золотое правило №1 которое преподы пока учился на "восстановление и защиту данных" нам вбивали в голову:
1. Всегда делай копию важной информации в 2х и более экземплярах. - лично меня это правило уже не однократно спасало.
фоткал на телефон т.к. делать скрин шок с заражонной машины - бесполезное дело тутже всё шифруется.
показать ответы
раскрыть ветку (1)
у каждого свой методы, у вас руки, а у нас девушки и очень много и большинство очень красивых и достаточно молобых ))).
показать ответы
раскрыть ветку (1)
Парагон, акронис, хост от семантека (лично я предпочитаю парагон у него совместимость между старыми и новыми версиями на образах лучше чем у акрониса)
показать ответы
Если вы говорите так же как пишите, то разве что вы сами крайне молоды, посему ваши девушки это правая и левая.
раскрыть ветку (1)
Ок спасибо, я то думал что достаточно бекапить в сетевое где архивы под паролем, и все, ок озадачусь проблемой (изначально бекап был задуман от физической гибели сервера с файлами и базой 1с, уже выручало кстати), а то в женском коллективе единственный мужчина уже сисадмин (и деваться некуда, приходится осваивать науку сию), хотя сам экономист-бухгалтер. В моем случае проще в облако бекапить. Спасибо за науку дружище.
раскрыть ветку (1)
кстати у моего подопытного есть 2 огромных минуса
1. Не работает без сети т.к. для кодирования данных нужна серверная составляющая
2. если найти инфицированную машину дальнейшее заражение останавливается. т.е. вирус себя не риплицирует.
все фиаско (наткнулся на то что для расшифровки данных нужна серверная составляющая, а там динамический ключ кодирования)... ну лан пофиг, с бумажек перебьют - наш отдел сделал что мог.
а по поводу баз 1с - на сьёмник сливайте базу и имейте 2-3 копии этой базы желательно на разных носителях.
1. Не работает без сети т.к. для кодирования данных нужна серверная составляющая
2. если найти инфицированную машину дальнейшее заражение останавливается. т.е. вирус себя не риплицирует.
все фиаско (наткнулся на то что для расшифровки данных нужна серверная составляющая, а там динамический ключ кодирования)... ну лан пофиг, с бумажек перебьют - наш отдел сделал что мог.
а по поводу баз 1с - на сьёмник сливайте базу и имейте 2-3 копии этой базы желательно на разных носителях.
Если допустим эта фигня проникла в локальную сеть, и начинает бахать все что видит, то с таким же успехом она бахнет бекапы? хотя они делаются под админом с паролем, и сами файлы запаролены. То есть немного не ясно где хранить бэкапы, получается сетевое хранилище от таких вещей не может защитить?
раскрыть ветку (1)
1. Nas сервер который соединяется по расписанию на Cisco с серверами для снятия дубликата данных.
2. Односторонняя связь со стороны Nas сервака.
3. Физически отключаемый NAS сервер или файловая помойка.
для домашних целей достаточно иметь съемник на 1-2 ТБ или привод с блюрей балкванками 25-100гб.
2. Односторонняя связь со стороны Nas сервака.
3. Физически отключаемый NAS сервер или файловая помойка.
для домашних целей достаточно иметь съемник на 1-2 ТБ или привод с блюрей балкванками 25-100гб.
показать ответы
А файлы бекапа он не кодирует? Архивы под паролем. Cobian backup файлопомойка, но все таки жаль будет ее. А чего у вас пользователь под админом? или этой вирусне разрешения не нужны?
раскрыть ветку (1)
сам винлокер снять это вопрос пары минут если даже пользователь админ, то что все данные теперь зашифрованы это печаль. На серваке все документы восстановлены, а вот на ПК похоже основная часть документов будет потеряна. (У нас ток наш отдел сидит под админами, а рядовые все под гостями или пользователями). Пробуем дешифровать, но похоже эта хрень работает только при наличие инета на машине.
показать ответы