Пару недель назад моему женатому другу позвонил бывший Шеф, в смысле, бывший исполнительный директор компании, в которой мы работали до покупки нас Синим провайдером, и попросил помочь его другу, у которого возникли проблемы на производстве в соседнем городе-сателлите. Я в этот момент вовсю готовился к отпуску, в который должен был уйти через пару дней, и вообще «разделяй, властвуй, делегируй» и прочие эпитеты, так что сказал ему «давай езжай, посмотри, насколько все серьезно – а там подумаем».
Оказалось, что все очень серьезно: есть производство, 30+ компов, два сервера: файловая помойка и 1с. На серваках поймали шифровальщика. Win32/Filecoder.FV, он же Alkohol. Вымогатели просят по 2 BTC за каждый из серверов. Работа встала.
Есть только один правильный ответ на вопрос «А когда вы делали бэкап?»
Spoiler: (Сегодня в полночь)
Бэкапы 1с делались силами SQL, но хранились на том же диске, на котором хранилась и сама база. Предыдущий глобальный бэкап был сделан в момент перехода с файловой БД на SQL. Более 6 месяцев назад.
С системного администратора спросить оказалось нечего: он устроился к ним на работу в пятницу, а заражение произошло в воскресенье. А предыдущий весь срок своей работы ездил директору по ушам, что у них все хорошо и «с нами такого никогда не случится». Все это было бы смешно, если бы из этой ситуации был хоть какой-то выход. К сожалению, его не было.
Побившись головой три дня, директор решил заплатить. Сторговались на 0.5 BTC (вроде бы. Утверждать не могу – в финансовые дела организаций мы стараемся не лезть) за сервер. Вымогатели, как всегда, пропали на 3 дня, а потом, на удивление, прислали дешифровщик. И он даже сработал. Конечно, расшифровка все информации заняла около недели, но работать с базой двухнедельной актуальности все же лучше, чем с полугодовалой.
В такие моменты директора обычно совершают вторую ошибку: перестают консультироваться. Их тоже можно понять: и так потратили прилично денег. Но, как оказалось, это не наш случай, и, спустя еще несколько дней, нас пригласили на встречу.
А на встрече выяснилось вот что:
1) В голове стоит домашний роутер Asus с дефолтным паролем
2) На 1с сервер была прокинута RDP по стандартному порту
3) У учетки «Администратор» на сервере стоял пароль 123321
4) Системный администратор работает на полставки 4 часа в день
5) Ни на одном из серверов не стоит антивируса вообще
6) Впрочем, как и на локальных машинах. Тот же самый Dr. Web CureIt нашел от 200 до 3500+ угроз на каждом компьютере
До завершения работ я не буду давать никаких оценок сложившейся ситуации. Скажу только одно: в мэрии нашего города пятница считается коротким днем для всех, кроме системных администраторов. В пятницу все уходят с работы в 16:00, а сисадмины – в 19:00. Эти три часа они занимаются поиском и чисткой вирусов и еженедельным бэкапом. И я не думаю, что это излишне.
Postscriptum: в 2010 году нам казалось, что вирус-блокировщик – самое страшное, что было придумано после Чернобыля или Лавсана, но их, хотя бы, можно было просто удалить с минимальными потерями.
Берегите свои данные.
