Добрый день. хочу поделиться новым опытом...
(буду писать так чтобы поняли все не углубляясь в спецыфичные нюансы)
Работаю системным админом в одной организации, на официальную почту, пришел файл "сцетфактура....scr" ну как вроде всё как положено.
разве что 2 нюанса было в письме:
1. "вы нам прислали, мы не смогли открыть..." мол проверь свой файл всё ли так...
2. расширение документа не стандартное scr, а картинка документа как у xlsx.
Любой бы запустил и даже задней мыслью не задумался. Файл скачали и запустили.
В итоге почти полностью закодированы данные сервера (благо каждую ночь с сервака делается полный бэкап и резерный бекап раз в 2 недели. Не зря, в своё время заставил фирму раскошелиться на пару NAS серверов).
Все доступные файлы начали переименовываться (в том числе и любых доступных сетевых адресах) в "старое название файла.@id*****crypto-ID*****.com", а если файл уже был крипто кодирован он просто менял разрешение (некоторые отделы тоже используют крипто ключи в работе при документо обороте).
По скольку это процесс крипто кодирования и он официально разрешен, никакой антивирус (касперский, eset nod32, avira) его не поймал. Да и вирус не занимается самодублированием как большинство вирусов, на экране при загрузке появляется что-то типо скринлокера(фотографию вы уже видели)
Полазил по форуму, отправил письмо касперскому мол так и так... оказывается такие случаи начались в августе этого года - шанс расшифровать данный не ~= 0.
На форуме вычитал что файл вирусного крипто кодирования может иметь абсолютно любое разширение к примеру mp3, avi, doc, jpg ...
В общем сразу вспомнил золотое правило №1 которое преподы пока учился на "восстановление и защиту данных" нам вбивали в голову:
1. Всегда делай копию важной информации в 2х и более экземплярах. - лично меня это правило уже не однократно спасало.
фоткал на телефон т.к. делать скрин шок с заражонной машины - бесполезное дело тутже всё шифруется.
(буду писать так чтобы поняли все не углубляясь в спецыфичные нюансы)
Работаю системным админом в одной организации, на официальную почту, пришел файл "сцетфактура....scr" ну как вроде всё как положено.
разве что 2 нюанса было в письме:
1. "вы нам прислали, мы не смогли открыть..." мол проверь свой файл всё ли так...
2. расширение документа не стандартное scr, а картинка документа как у xlsx.
Любой бы запустил и даже задней мыслью не задумался. Файл скачали и запустили.
В итоге почти полностью закодированы данные сервера (благо каждую ночь с сервака делается полный бэкап и резерный бекап раз в 2 недели. Не зря, в своё время заставил фирму раскошелиться на пару NAS серверов).
Все доступные файлы начали переименовываться (в том числе и любых доступных сетевых адресах) в "старое название файла.@id*****crypto-ID*****.com", а если файл уже был крипто кодирован он просто менял разрешение (некоторые отделы тоже используют крипто ключи в работе при документо обороте).
По скольку это процесс крипто кодирования и он официально разрешен, никакой антивирус (касперский, eset nod32, avira) его не поймал. Да и вирус не занимается самодублированием как большинство вирусов, на экране при загрузке появляется что-то типо скринлокера(фотографию вы уже видели)
Полазил по форуму, отправил письмо касперскому мол так и так... оказывается такие случаи начались в августе этого года - шанс расшифровать данный не ~= 0.
На форуме вычитал что файл вирусного крипто кодирования может иметь абсолютно любое разширение к примеру mp3, avi, doc, jpg ...
В общем сразу вспомнил золотое правило №1 которое преподы пока учился на "восстановление и защиту данных" нам вбивали в голову:
1. Всегда делай копию важной информации в 2х и более экземплярах. - лично меня это правило уже не однократно спасало.
фоткал на телефон т.к. делать скрин шок с заражонной машины - бесполезное дело тутже всё шифруется.
раскрыть ветку (2)
