2556

Ваш компьютер атакован опаснейшим вирусом

По роду своей деятельности очень часто общаюсь с бухгалтерами различных фирм. Последний год участились такие случаи: бухгалтер получает письмо с вложением (то ли pdf, то ли doc), а там типа письмо из налоговой. Гербовая печать, бланк - все как полагается. Только лишь бухгалтер откроет это письмо, как во всей локальной сети происходит шифрование баз данных "1С". Причем шифрованию подвергаются и архивы в том числе. Единственное, что остается - это открытые в момент шифрования базы. И то есть предположение, что как только ее закроешь - она так же станет неработоспособной. На компьютере оставляется файл с указанием сколько и куда нужно заплатить. Обычно это Qiwi или биткоин.

Ваш компьютер атакован опаснейшим вирусом Не мое, Шифровальщик, Вирус, Длиннопост

Поначалу вроде бы шифровалось абсолютно все, до чего мог дотянуться вирус, но последнее время заметил, что атаке подвергаются только базы "1С". Если не делался архив в облако или на внешние накопители - дело труба. Никто из моих знакомых не спас информацию.


И вот сейчас читаю такую статистику ...

Ваш компьютер атакован опаснейшим вирусом Не мое, Шифровальщик, Вирус, Длиннопост

В 2016 году число атак с использованием вымогательского ПО в четыре раза превысило показатель за 2015 год.


Плата операторам вредоносного ПО за расшифровку файлов только поощряет киберпреступников к дальнейшему проведению подобных атак, уверены эксперты. Тем не менее, многие жертвы вымогателей предпочитают платить, благодаря чему количество атак с использованием троянов-шифровальщиков растет в геометрической прогрессии.


Согласно опубликованному в прошлом месяце отчету экспертов института Ponemon, 48% компаний, ставших жертвами вымогательского ПО, предпочитают заплатить выкуп злоумышленникам и не искать другие решения проблемы. По данным ФБР, в 2015 году общая сумма выкупа составила $24 млн, но уже в первые три месяца 2016 года она увеличилась до $209 млн (речь идет только об известных атаках и только в США). Если подобная тенденция будет продолжаться, к концу текущего года сумма выкупа достигнет $1 млрд.


В 2015 году только CryptoWall3 причинил ущерб по всему миру на $325 млн. Убытки от обнаруженной в прошлом году версии CryptoWall4 достигли $18 млн. По подсчетам страховой компании Beazley, в 2016 году число атак с использованием вымогательского ПО в четыре раза превысило показатель за 2015 год.


Как сообщили эксперты Symantec, в марте прошлого года количество заражений троянами-шифровальщиками достигло 56 тыс. – в два раза больше, чем обычно.

Ваш компьютер атакован опаснейшим вирусом Не мое, Шифровальщик, Вирус, Длиннопост

Вот так иногда запускается шифровальщик.



Вот что пишут на специализированных ресурсах:


Злоумышленники как правило покупают брученные дедики с RDP и заражают системы своей заразой. Если раньше вирусы-шифровальщики использовали простые алгоритмы расшифровки файлов, то сейчас они серьёзно эволюционировали, одним из такой заразы был GPCode против которого лаборатория Касперского даже за помощью народа обратилась, дабы расшифровать файлы. Сейчас же в сети появилась зараза покруче, называется она семейством Vandev, последняя версия шифрует файлы в расширение: *.EBF (EncryptBlowFish). Расшифровать который невозможно!


Заражение происходит следующим образом:


1) на компьютер пользователя попадает бэкдор, который открывает удаленный доступ к компьютеру.


2) злоумышленник в удобное для него время заходит на компьютер, вручную запускает шифрование с произвольным ключом.


3) злоумышленник подчищает следы и логи, оставляя на компьютере лишь зашифрованные файлы и файлы: "КАК_РАСШИФРОВАТЬ_ФАЙЛЫ.txt", "ЧТО_НУЖНО_СДЕЛАТЬ.TXT" либо HOW_TO_DECRYPT_FILES.TXT



Вот один из примеров, который произошел совсем недавно с форума nova.cc:


Цитата: nestor2007

Доброго Вам времени суток Друзья.

Вчера очень красиво хакнули наш сервак с 1С и прислали такое вот жизнеутверждающее сообщение.


Внимание!


Если Вы читаете это сообщение, значит Ваш компьютер был атакован опаснейшим вирусом.

Вся ваша информация (документы, базы данных, бэкапы и другие файлы) на этом компьютере была зашифрована с помощью самых криптостойких алгоритмов.

Все зашифрованые файлы имеют формат .EBF

Восстановить файлы можно только зная уникальный для вашего пк пароль.

Подобрать его невозможно. Смена ОС ничего не изменит. Ни один системный администратор в мире не решит эту проблему не зная кода.

Ни в коем случае не изменяйте файлы! А если решились, то сделайте резервные копии.

Напишите нам письмо на адрес beryukov.mikuil@gmail.com (если в течение суток вам не ответят то на decrypting@tormail.org) чтобы узнать как получить дешифратор и пароль.

Папка C:\Program Files\Internet Explorer не зашифрована, там вы сможете запустить браузер.

Среднее время ответа специалиста 1-12 часов.

К письму прикрепите файл "ЧТО_НУЖНО_СДЕЛАТЬ.TXT".

Письма с угрозами будут угрожать только Вам и Вашим файлам!

НЕ ЗАБУДЬТЕ: только МЫ можем расшифровать Ваши файлы!



Вот такой ответ приходит с почтового ящика beryukov.mikuil@gmail.com:


Здравствуйте! Чтобы получить дешифратор с уникальным для Вашего пк паролем, необходимо пополнить наш счет QIWI на сумму 10 000 рублей. После поступления средств мы вышлем вам инструкцию для дешифровки ваших файлов вместе с расшифровщиком и паролем.


Скидок нет. Рассрочек тоже. Мы готовы расшифровать любой небольшой текстовый документ или фотографию для подтверждения своих намерений. Вместе с ним прикрепите КАК_РАСШИФРОВАТЬ_ФАЙЛЫ.TXT либо HOW_TO_DECRYPT_FILES.TXT либо ЧТО_НУЖНО_СДЕЛАТЬ.txt.


Базы данных прикреплять не нужно, бесплатно их вам никто не расшифрует. Реквизиты вышлем за несколько часов до оплаты, потому как они постоянно меняются. Кошелек действует в течение 36 часов после отправки его вам. Пожалуйста, не изменяйте тему сообщения.


Вам необходимо пополнить наш кошелек Visa QIWI Wallet (это не баланс мобильного) +79299023543.


Выберите наиболее удобный для вас способ пополнения: https://w.qiwi.ru/fill.action

Видео как пополнить киви через терминал: http://www.youtube.com/watch?v=wCVpbw0wxW8

!!!В КОММЕНТАРИЯХ: ЧАСТНОЕ ПОПОЛНЕНИЕ!!! (если есть возможность написания коментариев)

Кошелек действует в течение 36 часов с момента отправки этого сообщения.

Как оплатите, пишите нам, и прикрепите КАК_РАСШИФРОВАТЬ_ФАЙЛЫ.TXT либо HOW_TO_DECRYPT_FILES.TXT либо ЧТО_НУЖНО_СДЕЛАТЬ.TXT

Сохраните квитанцию об оплате.


Все форумы вирусных компаний пестрят сообщениями "Файлы зашифрованы (расширение .EBF)"


Будьте осторожны! Не забывайте делать бэкапы в облако или на съемные носители.

Найдены дубликаты

+181

assoc .js=txtfile

assoc .CMD=txtfile

assoc .vbs=txtfile

assoc .com=txtfile

assoc .hta=txtfile

assoc .bas=txtfile

assoc .pif=txtfile

assoc .GADGET=txtfile

assoc .VBE=txtfile

assoc .VB=txtfile

assoc .jse=txtfile

assoc .SCR=txtfile

assoc .wsf=txtfile

assoc .wsc=txtfile

assoc .wsh=txtfile


Копируем в блокнот, сохраняем как .bat(ну или переименовываем готовый txt), ставим любой бесплатный антивирус, авиру например- 99% шифровальщиков не пройдут.


Для тех, кто пишет, мол смотрите что открываете- мошенники зачастую отправляют посьма от реальных контор, с которыми фирма-жертва работала, да и файлы не выглядят подозрительно для тех же бухов.


Ну и конечно бэкапы очень желательны.

раскрыть ветку 159
+78
Иллюстрация к комментарию
раскрыть ветку 1
+10
Нет, Михаил Сергеевич! Надо было админу при увольнении всю зарплату выплачивать.
+31

радикальненько

+24
До ноги....
Хакеры брутят РДП сервак. Заходят на него и руками запускают шифровальщик.
раскрыть ветку 65
+76

А почему рдп порты голой жопой в интернет смотрят? Почему нет элементарной задержки между попытками подключения? как говорится сами себе злые буратины.

раскрыть ветку 45
+1

Ну РДП сервак не должен быть доступен из веб - это уже косяк админа. Что же касается внутрелокального брута - всегда есть Account Lockout Policy...

раскрыть ветку 15
0

Ну на порт другой посади. А лучше - сделай cygwin ssh и в настройках ssh-сервера добавь строчку "AllowTcpForwarding yes". После можно прокидывать порты через ssh на эту машину, а если еще донастроить (man sshd_config -> GatewayPorts) - на любой адрес, доступный той машине.

Вот ссылки для реализации (в закладках было):

https://docs.oracle.com/cd/E24628_01/install.121/e22624/prei...

https://xakep.ru/2016/12/16/ssh-tips-n-tricks/ или https://habrahabr.ru/post/81607/

И поищи про аутентификацию по ключу

0
Сталкивался с таким. Тут только сложные пароли, периодическая их смена, смена RDP пора, VPN можно поднять и т.п. могут осложнить жизнь хацкерам. Кстати, в том случае шифровщика было аж два. Один tenderscript какой-то, а другой @india.com. просили гораздо больше, чем 10 000. Просили 1 биткоин, а это почти 60 тысяч.
раскрыть ветку 1
+5

Групповыми политиками запрещать лучше. Хотя сложнее и дольше, но решения есть, а настроить один раз. Вплоть до разрешения запуска только известного ПО по хэшу.

Сервер почтовый - только свой. Запрещать на нём пересылать все запускаемые файлы и скрипты. Плюс запрет на USB Mass Storage, PTP и MTP устройства - т.е. все сменные носители.

раскрыть ветку 4
0

+на почтовом серваке надо чекать архивы на вложения, но это не спасёт от двойного вложения (архив->архив->акт_сверки.js)

раскрыть ветку 3
+5

а если в имени файла вставка юникода?

раскрыть ветку 34
+11

Максимум на что это повлияет- на отображение в проводнике, один фиг откроется как текстовый.

ещё комментарии
+6

Тоже вариант, но про автоматизацию придется забыть.
Точнее станет немножко сложнее скрипты запускать.

раскрыть ветку 1
+12

Ну можно ассоциировать для скрипта другое расширение. Например .js2; .cmd2 :)

+3
Извините, что под топовым, но могли бы прояснить некоторые моменты?
Вы пишете, что "бухгалтер получает письмо с вложением (то ли pdf, то ли doc)" - это на самом деле pdf и doc или всё же исполнительные типа ".doc .exe" / ".pdf .js"?
Бытует мнение, что в .docx можно запихнуть зловредный макрос.
раскрыть ветку 29
+4

Я так книжку скачл в .pdf . Весила 300 мб. Рансом вирус. С тех пор пользуюсь бубунтой.

раскрыть ветку 11
0

В посте про двойное расширение всё-таки речь (на скрине видно). Но в PDF тоже как-то эксплоиты были. Поэтому надо обновлять софт регулярно. Макросы в документах MS Office могут нести угрозу, поэтому их надо отключать.

0

Из тех что видел я - был например обычный архив с .doc.exe не запароленный, который докачивал из интернета сам криптор.

А в docx конечно может быть зловред, написанный на том же vb.

раскрыть ветку 15
+1

Вот вы говорите, для бухов это не выглядит подозрительно. Это да.

А у меня на работе (приборостроительная контора) парень шифровальщика словил. Парень с кучей патентов и в принципе довольно грамотный. На секунду ослабишь бдительность - и всё.

раскрыть ветку 4
+1
Парень с кучей патентов

до этого все было на эльфийском - не мог прочесть

"куча патентов" это больше 49,5 см?

У меня встал вопрос. я не спец и путаюсь в вашем жаргоне - "бэкап" это резервное копирование? если да, то при сохранении копии на сервере он (комп) обменивается с сервером информацией, что мешает шифровальщику встроиться в этот обмен и не заразить сервер?

раскрыть ветку 3
+1
JS и VBS можно отключить штатными средствами

https://technet.microsoft.com/en-us/library/ee198684.aspx
+1

после создания запускать батник или нет?

раскрыть ветку 1
+1

Да, запускать.

0

а как же аваст? или malware?

раскрыть ветку 1
0

Мне аваст не нравится. malwarebytes неплох.

0

Лень на technet лезть - assoc для конкретного пользователя или HKLM ?

раскрыть ветку 1
0

Вроде как в current user прописывается -software/microsoft/windows/currentversion/explorer/fileexts


Нет, не там.

Вот тут прописываются

Using the ASSOC command will edit values stored in the registry at HKey_Classes_Root\.<file extension> 

0

есть такая замечательная штука, как политика "ограниченного использования программ", здесь http://pikabu.ru/story/kak_protivostoyat_virusamshifrovalshc... даже пост про это был, и это более эффективно и гибко + отсутствие прав администратора. ну бэкапы никто не отменял, конечно.

здесь http://www.mechbgon.com/srp/ более подробно на инглише

ещё будет такая полезная штука, как предыдущие версии файлов, но это скорее от юзеров сохранивших что-то не то и "ВСЁ ПРОПАЛО"

а вообще мой друган победил шифровальщика unerase-ом, хотя почистили всё основательно, вместе с бэкапами.

раскрыть ветку 3
0

Там практически тоже самое, только через оснастку, а не через батник. Что же до unerase - если криптор добрался до бэкапов, значит бэкапы были хреново настроены. Инициировать бэкап и иметь права на запись в эту директорию может только сам бэкап сервер, ну а что восстановил- просто повезло с шифровальщиками, видимо старый попался.

раскрыть ветку 2
0
А настроить раз Software Restriction Policies ? Поддерживается начиная с Windows XP. Попробуйте, поможет....
0

Авиру очень нехерово проходят:( И под руткиты она ложится весьма неслабо. Тот же кидо проходил её на раз. Уж лучше Каспер. А еще лучше, на линуху.

+24

Было такое однажды на работе, нужен был рабочий комп, инфу почитать, говорят мол не получится, сервак не работает. Спросил че случилось, сказали словили вирус, он все зашифровал. Шифровальщик поменял расширение всех файлов на "da_vinci_code". Спросил, делали бэкапы, сказали нет, мол дорого....

раскрыть ветку 24
+5
Бэкап дорог до первого попадоса.
*пойду ка внеочередной инкремент накачу
раскрыть ветку 23
+3

Объясните пожалуйста, что такое бэкап? Это точка восстановления?
Все комментарии в этом, а я может и не понимаю.

раскрыть ветку 22
+127

Потому что дебилы, не делают бэкапы, платят и собственно подогревают этот рынок.
А надо пиздовать в полицию и садить этих мамкиных хакеров, только наша доблестная власть к сожалению скорее всего окажется бессильна.

И собственно вот причина почему компаниям нужен хотя бы квалифицированный сисадмин. А у нас им платят меньше, чем уборщицам. И не только из-за бэкапов, а чтобы нельзя было тот же js из word запустить, проводить инструктаж пользователей, чтобы не открывали подозрительные письма.

У самого за последние 5 лет было 2 случая заражения. В обоих просто восстановили базы из бэкапа, простой составил меньше часа, а в последнем бухгалтер получила выговор.

Уфф, как припекло.

раскрыть ветку 78
+47
Бро, российский бизнес уникален тем, что по мимо официальной бухалтерии и белой и пушистой компани "Автовеломотофотогребляебляиохота", платящей все налоги, работающей по безналу, и жертвующей в ближайший детский дом, у этой же компании есть с десяток ООО "Ромашка", которые живут и банкротятся менее чем через полтора два года, до первых, серьезных налоговых проверок, и через которые проходят лвиная доля неучтенных в деклорациях наличных. И идти в полицию, и заявлять.о том.что хакнули твою.черную бухгалтерию, равносильно походу в органы с заявой, что плохие дяди украли у тебя пять кило отборного, колумбийского кокса.
По этому и платят, так как помимо финансовых издержек от остановки работы бухгалтерии, можно получить.штоаф от налоговой больший, нежели злосчастные 10к.
раскрыть ветку 3
-1

это делается для отмывания денег?

раскрыть ветку 2
+8

Ну хакеры хакерами, но сейчас главное отлавливать в интернете террористов оскорбляющих веру и хранящих порнушку в сохраненных картинках вк

+11
чтобы нельзя было тот же js из word запустить

Извините, не просветите незнающего, как это сделать?

раскрыть ветку 39
+23

Через GPO и выключить в ворде запуск макросов, хотя особо хитрожопые встраивают скрипты в OLE объекты, вот там уже всё не так просто.

раскрыть ветку 38
+12

Как Ваш коллега (я надеюсь) ответственно заявляю:
1) Бухгалтерия БУДЕТ открывать документы на фирме где я работаю и дальше, вся надежда ТОЛЬКО на их осторожность и опыт: правило "Не лезу там, где ничего не знаю!" или "Не нажимаю там где ничего не знаю". Отдельные личности сидят в сети с помощью стареньких мозил, опер или даже ослика. Они это делали до меня и справлялись с "проблемами открытых документов из неизвестного источника" еще до того как я пришел на фирму, а до меня там такой должности вообще не существовало.
2) Платят приблизительно так же. Тут с Вами, в принципе, согласен.
3) Бэкап спасает только в тех случаях когда:
а) не шифруются все типы файлов, иначе бэкап тоже будет зашифрован (разве что секюрзона от акрониса спасет).

б) правило 3-х бэкапов -- поищите в сети, когда пункт 2 и 3 обычно не выполняется. Скажу честно, у меня вот 3-й пункт "Бэкап должен хранится в облаке", поскольку облако на полтерабайта чето не дешево стоит ;)
в) у вас на предприятии/фирме поднят АD и сервак рулит груповыми политиками по сети (у меня, в целом как и большинства, это слабо реализуемо из-за того, что есть подсети и пришёл ты обычно на уже готовую сеть, а не разворачивал ее на фирме сам)
4) Бухгалтерия у меня прикручена к серваку (2012 R2) через RDP и юзеры сидят под ограничеными учётками на сервере(да, да, да я в курсе что умелые руки обойдут UAC, который сечас на максимуме, в два счёта, но это при условии "прямого доступа" когда ты уже прошел авторизацию на сервак, а для этого знать пароль/брутить надо...), я предлагал им сделать бэкап рабочих станций как только пришёл, но получил отказ -- поэтому на их машины как-то плевать =)
5) Шар на серваке для 1С конечно нет (доступа по сети к папкам 1С), есть только общие папки для обмена файлами.
6) Бэкап делается двумя прогами (не системной) каждый день ночью, а потом еженедельный сброс на внешний винт. + конечно теневое копирование включено с огромным запасом в 50 Гб ;)
7) Интеренет на сервере обрубан для всех, кроме меня и другого админа.
8) Соцсети (все соцсети, Карл) обрезаны на микротике. Самые популярные онлайн кинотеатры тоже! =) VPN и другие анонимайзеры в большинстве своем пофиксены (потел долго, около 2-х месяцев, но успешно).
9) Служба поддержки 1С делает свой бекап и выгружает его к себе на сервак.
10)Антивирус от одной известной фирмы лицензионный (да,да тот что обычно идет с TNOD User Password Finder ^-^ ) и брендмауэр от Майкрософта включен и настроен.

... наконец, с улыбкой прочитав пост, а потом с недопониманием Ваш коммент
хочу спросить Вас:
ОТЧЕГО Ж У ВАС ТАК ПРИГОРЕЛО?

раскрыть ветку 19
+7
облако на полтерабайта чето не дешево стоит

У дропбокса же террабайт за 100$ в год. Для фирмы это критично?

раскрыть ветку 1
+3
В 00 я работал в it отделе одного крупного холдинга. Бэкапы тогда записывались три раза в день, с 13 1с баз (3 официальные фирмы и 10 "однодневок" для обхода налогов и вывода налика). Бекап шифровался PGP ключем трех сотрудников (моим, гендира и начальника it) записывался на банальную болванку или съемный жесткий, и хранился у меня на съемной квартире.
+2
Все очень круто!) А можете поделиться секретами - как вы осуществили некоторые пункты?)
раскрыть ветку 4
+1

1) Поэтому должно быть запрещено все, что не разрешено.
3)
а) Безопасность бэкапов это все, доступа на бэкап сервер не должно быть ни у кого. В нормальных конторах даже удаленный доступ на бэкап сервер осуществляется через журнал под роспись. Ты всегда можешь сделать бэкап на сервер, но никогда не сможешь прочитать, перезаписать или изменить уже имеющийся, не имея на то особых полномочий.
б) В идеале - да. Правило хорошее. Вместо облака подойдет удаленный сервер(например в другом филиале), или постоянное хранилище(например ленточная или blueray библиотека)
в) Что не дает изменить настройки в угоду безопасности?
6) Внешний винт, рано или поздно обожжетесь. У обычных винтов не такая уж и замечательная надежность. Но дешево и сердито.

Пригорело, да потому что, как платить за свой косяк деньги у директора всегда найдутся, а заплатить специалисту, чтобы такого не повторилось, жаба задавит.
Не умеют в этой стране в управление рисками, русское: "на авось" и пока жареный петух не клюнет.

раскрыть ветку 2
0

3б - Яндекс.Диск 2к в год за 1 Тб. По моему более чем отличная цена.

0

8) Соцсети (все соцсети, Карл) обрезаны на микротике. Самые популярные онлайн кинотеатры тоже! =) VPN и другие анонимайзеры в большинстве своем пофиксены (потел долго, около 2-х месяцев, но успешно).



А вот это уже в зависимости от требований начальства.

0

По хорошему бекапиться нужно снапшотами через гипервизор(xenserver) с выключением, чтобы получить максимально консистентный бекап. Так же работает разделение ролей, это когда rdp выполняет только роль rdp, базы данных на отдельной виртуалке на том же mssql ( или centos\suse и postgre), и так далее, клиенты программ к примеру подключены в RO через самбу, которая вертится опять же на отдельной машине. Получается, что ежедневный бекап снапшотами + инкрементный бекап( или временными снапшотами без выгрузки на винт, просто ротируя по 3 снапа ежедневно, благо xen пол капотом имеет centos7 и bash дает безграничные возможности, если винты быстрые особенно, проблем не вызовет) чем нибудь другим( тот же mssql дает возможность делать снапшоты на лету) дает максимум потери данных до полуночи( или когда сами время для бекапа выберете) при непоправимом повреждении данных шифровальщиком. Хотя что он может в такой схеме повредить - тоже вопрос, так как на самом rdp( на котором простому пользователю нужно мягко говоря очень захотеть запустить что-то, ну а если 1Сники-нехорошие ребята из за рукожопости не могут реализовать некоторые плюшки на простой учетке - то под правами админа) файлов нету по сути повреждаемых - его можно смело откатывать снапшотом( пол часа от силы времени) .

За микротик плюсую, хотя можно запотеть и ограничиться отдельной тачкой на suse той же с imq(шейпинг),ndpi(маркировка\дроп пакетов по типу пакетов) и squid( тут и так понятно).

И да, естественно, ни при каких обстоятельствах не вывешивать сервисы типо rdp или баз данных жопой к миру, только за VPN.

раскрыть ветку 3
0

>3) Бэкап спасает только в тех случаях когда:

а) не шифруются все типы файлов, иначе бэкап тоже будет зашифрован (разве что секюрзона от акрониса спасет).


Что за бред? Если бэкап сделан с правами другого пользователя — хоть обшифруйся, без повышения прав выйдет облом. А шифровальщики со встроенными эксплоитами для этого — пока не слышал, но даже если есть, то большая редкость. Ну и ес-но бэкап делается не в пользовательский раздел и не на тот же винт (а лучше и не на ту же машину), т.к. данные теряются не тоько из-за шифровальщиков, а и из-за сдохших от износа/скачка_напряжения/потопа/удара по системнику винтов.

0

Можно обойтись без облака. Берется любой списанный комп, в него запихивается пара терабайтных хардов, ставится линух)). Ночью он цепляется к шаре, где лежат важные данные, рсинком их синхронизирует, потом отключается.  Дальше опционально можно сделать откат архива на нужную глубину. У меня стоит 30 дней.

0

Их реально найти? Вот вижу они используют GMAIL - не знаю выдают ли они данные свои пользователей, tormail наверное нет

0
Некоторые компании бояться потерять репутацию, в случае если кто -либо вне фирмы узнает о взломе