Имя: Пароль:
   
IT
Админ
Вирус шифровальшик
↓ (Волшебник 26.02.2021 17:29)
0 shumach
 
26.02.21
13:42
Добрый день. На сервер проник вирус шифровальшик. Никакие файлы не запускались, поскольку произошло в ночное время, когда пользователи точно не работают. Все файлы зашифрованы с расширением FSOCIETY. LicData_10РМ.txt.Id = [FF67A2A] Send To Email=[Elliot.Alderson@mailfence.com].FSOCIETY. Что с этим можно сделать? Какие способы решения? Имеется текстовый файл с запросом выкупа.
1 piter3
 
26.02.21
13:42
Бэкапов нет я таки понял?
2 Масянька
 
naïve
26.02.21
13:44
(1) Бэкапы делают трусы.
3 d_monah
 
26.02.21
13:44
Сколько просят?Поскольку сегодня пятница, советую бежать.
4 d_monah
 
26.02.21
13:45
(2) И не говори,слабаки,я настоящий мужик,не делаю
5 Волшебник
 
26.02.21
13:48
Когда повреждается диск, он не просит выкуп. Рассматривайте это как аварию жёсткого диска.
6 vovastar
 
26.02.21
13:51
(5) ага, прекрасно помню как в 2002 году на сервере стоял ДокторВеб и рухнул сервер на заводе. Бухгалтерия 2 недели домой спать не ходила вместе с нами. А это не много не мало 30 бухгалтеров и нас 7 айтишников...
7 bolder
 
26.02.21
13:51
(0) Так ...Рассказывай ,какой сервер, какой ж..пой торчал в инет.Так как вам уже не помочь, хоть других убережет...
8 Kassern
 
26.02.21
13:52
9 bolder
 
26.02.21
13:52
(5) Советуешь ломом шандарахнуть?
10 vovastar
 
26.02.21
13:55
ТС теперь не посочувствуешь, если какой тупой безопасник, то финита ля комедия)
11 ИС-2
 
naïve
26.02.21
13:59
похоже эпидемия - у меня у знакомых 2 базы зашифровали
12 bolder
 
26.02.21
14:04
(10) У меня было 2 случая встречи с шифровальщиками.Первый просто повезло, они 1с не знали.Не то и не так зашифровали.И базу быстро восстановили.Второйраз уже круче - только частичное восстановлнние с применением бэаапов.После этого все как рукой сняло - поменяли админа,сервер и я пересмотрел политику бэкапов))
13 vovastar
 
26.02.21
14:21
(12) никогда не понимал суть шифровальщиков...те кто закрывает архивами, хоть деньги получают за это потом, а эти только пакостят...
14 Kassern
 
26.02.21
14:28
(13) тут либо деняг просят за расшифровку, либо "если бы у вас был наш антивирус с последним обновлением, все бы было хорошо")
15 Winnie Buh
 
26.02.21
14:40
(0) сколько просят? биткоин или в рублях?
16 КнОпка
 
26.02.21
15:02
(15) у нас просили биткоинами, и сумма была немаленькая. Первый день просили одну сумму - не нашли ее, на второй попросили раза в 2 больше, тогда деньги сразу нашли

поэтому советую сразу им платить если бекапов нету
17 Kassern
 
26.02.21
15:09
(16) только вот гарантии нет, что после перевода денег у тебя все разблокируется
18 d_monah
 
26.02.21
15:10
(16) Ничего не платить,скорее всего останетесь без денег,или будете платить еще.Любые данные можно восстановить руками
19 shumach
 
26.02.21
15:11
Бэкапы на том же сервере, только на другом диске и они тоже естественно зашифрованы(((
20 NorthWind
 
26.02.21
15:11
(13) архивы тяжелая штука, чтобы закрыть приличный объем, надо работать много часов и проц будет показывать загрузку. Очень велика вероятность что поджопят и прекратят процесс. Кроме того, для архиваторов есть доступные методики вскрытия, что может заставить жертву тянуть время. Фулюганам это неинтересно, им деньги быстрее надо.

Шифровальщики обычно написаны по-умному, портится не весь файл, а небольшие кусочки в разных местах. Соответственно, таким образом можно "обработать" весь диск в стахановские сроки.
21 shumach
 
26.02.21
15:12
(15) Просят битки. Сколько не знаю в письме просто почта куда обращаться.
22 shumach
 
26.02.21
15:28
Есть свежая новость. Диагностика от антивируса: шифровальщик Trojan.Encoder.28501 и помочь они ничем не могут...
23 Kassern
 
26.02.21
15:36
(22) нда, ну зато в будущем будете слепок сервака не на ту же машину, а на отдельное место. А если б хард сгорел, как бы восстанавливали?
24 Волшебник
 
26.02.21
15:36
(9) Советую начать делать бэкапы.
25 Волшебник
 
26.02.21
15:37
(21) Биткоины нынче дорогие...
26 Kassern
 
26.02.21
15:38
27 Волшебник
 
26.02.21
15:39
28 shumach
 
26.02.21
16:01
(23) Харды то разные, где база и где бэкапы
29 shumach
 
26.02.21
16:01
(26) Не пробовал. попробую, спасибо
30 shumach
 
26.02.21
16:01
(27) Спасибо
31 Kassern
 
26.02.21
16:08
(28) система и доступ к ней один
32 d_monah
 
26.02.21
16:20
Вариантов безопасного хранения архивов больше чем достаточно. Например ,в дополнение ко всему, перед уходом, у нас админ сливал ценности на сьемный диск и ложил в сейф. Каждый день на новый(всего 5 дисков). Ну и я себе делаю,раз в неделю,две,так,на всякий случай и чтобы админа тестовую не просить обновлять.Ибо один раз сервер очень удачно положил и месяц народ ручками восстанавливал,ибо было с чего.Сочувствую конечно,но платить таки не стоит
33 Злопчинский
 
26.02.21
16:25
(2) Трусы придумали шлемы и тормоза
34 d_monah
 
26.02.21
16:35
(33) И резиновые изделия номер два))
35 vovastar
 
26.02.21
16:37
(34) номер пять, студент....
36 d_monah
 
26.02.21
16:52
(35) Сам студент,изделие номер 1- противогаз,номер 4 галоши,номер 5- город Москва
37 ДедМорроз
 
26.02.21
21:02
Если никто на сервере под админом не работает,то директория для резервного копирования шифровальщик не по зубам-проверено.
Опять же,антивирус,который отслеживает работу с версиями файлов,обычно,также спасает.
Перезапись файла в системе,если правильно настроено,не перезаписывает оригинальный файл,а создаёт версию.
38 Arbuz
 
01.03.21
17:02
(37) Сервер бэкапов на винде - это розовые очки, ручное перекладывание дисков по сейфам - это, простите, дрочь.
Наша политика:
0) Утверждённый обязательный регламент.
1) Сервер оперативных бэкапов. В общей стойке, но с отдельным замком; на BSD; без рута; web-интерфейс; доступ из сети (в том числе vpn); разделённый доступ на чтение/запись в персональные шары по LDAP; клиенты сами складывают текущие бэкапы или тянет rsync'ом по расписанию; зеркалит в облака.
2) Сервер холодных бэкапов. В стойке у ИБ, в спецпомещении; на BSD; без рута; без web; минимум сервисов; без сети (отдельный сегмент до оперативного + отдельный ИБ); никаких шар; нет доступа ни на чтение, ни на запись; сам тянет rsync'ом с оперативного; разовый доступ к бэкапам через запрос к ИБ (rsync'ом же выгружается на оперативный, под персональный доступ).

Да, бюрократии - ппц. НО. Всё работает как часы, по регламенту. Никакого человеческого фактора. Что-бы сломать, надо сначала сломать ИБ, а они специально для этого работают. В худшем случае зашифруют/испортят оперативный и часть в облаках + последняя итерация на холодном, что тут же обнаружится ещё на стадии валидации нескольких архивов подряд. Кстати, все критические данные обязательно шифруются уже на клиенте по специальной политике и валидируются как на оперативном, так и на холодном. Антивирусов в классическом понимании нет совсем, есть IDS, IPS и ханипоты.
39 vbus
 
04.03.21
08:32
(38) Не увидел в регламенте проверку резервных копий. Придет час, а там горы мусора.
40 Arbuz
 
12.03.21
17:45
(39) дислексия? сочувствую.
>... на стадии валидации нескольких архивов подряд.
>... и валидируются как на оперативном, так и на холодном.