Вход | Регистрация
 
Информационные технологии :: Администрирование

Вирус шифровальшик

↓ [Волшебник, 26.02.21 - 17:29]
Вирус шифровальшик
Я
   shumach
 
26.02.21 - 13:42
Добрый день. На сервер проник вирус шифровальшик. Никакие файлы не запускались, поскольку произошло в ночное время, когда пользователи точно не работают. Все файлы зашифрованы с расширением FSOCIETY. LicData_10РМ.txt.Id = [FF67A2A] Send To Email=[Elliot.Alderson@mailfence.com].FSOCIETY. Что с этим можно сделать? Какие способы решения? Имеется текстовый файл с запросом выкупа.
   piter3
 
1 - 26.02.21 - 13:42
Бэкапов нет я таки понял?
   Масянька
 
2 - 26.02.21 - 13:44
(1) Бэкапы делают трусы.
   d_monah
 
3 - 26.02.21 - 13:44
Сколько просят?Поскольку сегодня пятница, советую бежать.
   d_monah
 
4 - 26.02.21 - 13:45
(2) И не говори,слабаки,я настоящий мужик,не делаю
   Волшебник
 
5 - 26.02.21 - 13:48
Когда повреждается диск, он не просит выкуп. Рассматривайте это как аварию жёсткого диска.
   vovastar
 
6 - 26.02.21 - 13:51
(5) ага, прекрасно помню как в 2002 году на сервере стоял ДокторВеб и рухнул сервер на заводе. Бухгалтерия 2 недели домой спать не ходила вместе с нами. А это не много не мало 30 бухгалтеров и нас 7 айтишников...
   bolder
 
7 - 26.02.21 - 13:51
(0) Так ...Рассказывай ,какой сервер, какой ж..пой торчал в инет.Так как вам уже не помочь, хоть других убережет...
   Kassern
 
8 - 26.02.21 - 13:52
   bolder
 
9 - 26.02.21 - 13:52
(5) Советуешь ломом шандарахнуть?
   vovastar
 
10 - 26.02.21 - 13:55
ТС теперь не посочувствуешь, если какой тупой безопасник, то финита ля комедия)
   ИС-2
 
11 - 26.02.21 - 13:59
похоже эпидемия - у меня у знакомых 2 базы зашифровали
   bolder
 
12 - 26.02.21 - 14:04
(10) У меня было 2 случая встречи с шифровальщиками.Первый просто повезло, они 1с не знали.Не то и не так зашифровали.И базу быстро восстановили.Второйраз уже круче - только частичное восстановлнние с применением бэаапов.После этого все как рукой сняло - поменяли админа,сервер и я пересмотрел политику бэкапов))
   vovastar
 
13 - 26.02.21 - 14:21
(12) никогда не понимал суть шифровальщиков...те кто закрывает архивами, хоть деньги получают за это потом, а эти только пакостят...
   Kassern
 
14 - 26.02.21 - 14:28
(13) тут либо деняг просят за расшифровку, либо "если бы у вас был наш антивирус с последним обновлением, все бы было хорошо")
   Winnie Buh
 
15 - 26.02.21 - 14:40
(0) сколько просят? биткоин или в рублях?
   КнОпка
 
16 - 26.02.21 - 15:02
(15) у нас просили биткоинами, и сумма была немаленькая. Первый день просили одну сумму - не нашли ее, на второй попросили раза в 2 больше, тогда деньги сразу нашли

поэтому советую сразу им платить если бекапов нету
   Kassern
 
17 - 26.02.21 - 15:09
(16) только вот гарантии нет, что после перевода денег у тебя все разблокируется
   d_monah
 
18 - 26.02.21 - 15:10
(16) Ничего не платить,скорее всего останетесь без денег,или будете платить еще.Любые данные можно восстановить руками
   shumach
 
19 - 26.02.21 - 15:11
Бэкапы на том же сервере, только на другом диске и они тоже естественно зашифрованы(((
   NorthWind
 
20 - 26.02.21 - 15:11
(13) архивы тяжелая штука, чтобы закрыть приличный объем, надо работать много часов и проц будет показывать загрузку. Очень велика вероятность что поджопят и прекратят процесс. Кроме того, для архиваторов есть доступные методики вскрытия, что может заставить жертву тянуть время. Фулюганам это неинтересно, им деньги быстрее надо.

Шифровальщики обычно написаны по-умному, портится не весь файл, а небольшие кусочки в разных местах. Соответственно, таким образом можно "обработать" весь диск в стахановские сроки.
   shumach
 
21 - 26.02.21 - 15:12
(15) Просят битки. Сколько не знаю в письме просто почта куда обращаться.
   shumach
 
22 - 26.02.21 - 15:28
Есть свежая новость. Диагностика от антивируса: шифровальщик Trojan.Encoder.28501 и помочь они ничем не могут...
   Kassern
 
23 - 26.02.21 - 15:36
(22) нда, ну зато в будущем будете слепок сервака не на ту же машину, а на отдельное место. А если б хард сгорел, как бы восстанавливали?
   Волшебник
 
24 - 26.02.21 - 15:36
(9) Советую начать делать бэкапы.
   Волшебник
 
25 - 26.02.21 - 15:37
(21) Биткоины нынче дорогие...
   Kassern
 
26 - 26.02.21 - 15:38
   Волшебник
 
27 - 26.02.21 - 15:39
   shumach
 
28 - 26.02.21 - 16:01
(23) Харды то разные, где база и где бэкапы
   shumach
 
29 - 26.02.21 - 16:01
(26) Не пробовал. попробую, спасибо
   shumach
 
30 - 26.02.21 - 16:01
(27) Спасибо
 
 
   Kassern
 
31 - 26.02.21 - 16:08
(28) система и доступ к ней один
   d_monah
 
32 - 26.02.21 - 16:20
Вариантов безопасного хранения архивов больше чем достаточно. Например ,в дополнение ко всему, перед уходом, у нас админ сливал ценности на сьемный диск и ложил в сейф. Каждый день на новый(всего 5 дисков). Ну и я себе делаю,раз в неделю,две,так,на всякий случай и чтобы админа тестовую не просить обновлять.Ибо один раз сервер очень удачно положил и месяц народ ручками восстанавливал,ибо было с чего.Сочувствую конечно,но платить таки не стоит
   Злопчинский
 
33 - 26.02.21 - 16:25
(2) Трусы придумали шлемы и тормоза
   d_monah
 
34 - 26.02.21 - 16:35
(33) И резиновые изделия номер два))
   vovastar
 
35 - 26.02.21 - 16:37
(34) номер пять, студент....
   d_monah
 
36 - 26.02.21 - 16:52
(35) Сам студент,изделие номер 1- противогаз,номер 4 галоши,номер 5- город Москва
   ДедМорроз
 
37 - 26.02.21 - 21:02
Если никто на сервере под админом не работает,то директория для резервного копирования шифровальщик не по зубам-проверено.
Опять же,антивирус,который отслеживает работу с версиями файлов,обычно,также спасает.
Перезапись файла в системе,если правильно настроено,не перезаписывает оригинальный файл,а создаёт версию.
   Arbuz
 
38 - 01.03.21 - 17:02
(37) Сервер бэкапов на винде - это розовые очки, ручное перекладывание дисков по сейфам - это, простите, дрочь.
Наша политика:
0) Утверждённый обязательный регламент.
1) Сервер оперативных бэкапов. В общей стойке, но с отдельным замком; на BSD; без рута; web-интерфейс; доступ из сети (в том числе vpn); разделённый доступ на чтение/запись в персональные шары по LDAP; клиенты сами складывают текущие бэкапы или тянет rsync'ом по расписанию; зеркалит в облака.
2) Сервер холодных бэкапов. В стойке у ИБ, в спецпомещении; на BSD; без рута; без web; минимум сервисов; без сети (отдельный сегмент до оперативного + отдельный ИБ); никаких шар; нет доступа ни на чтение, ни на запись; сам тянет rsync'ом с оперативного; разовый доступ к бэкапам через запрос к ИБ (rsync'ом же выгружается на оперативный, под персональный доступ).

Да, бюрократии - ппц. НО. Всё работает как часы, по регламенту. Никакого человеческого фактора. Что-бы сломать, надо сначала сломать ИБ, а они специально для этого работают. В худшем случае зашифруют/испортят оперативный и часть в облаках + последняя итерация на холодном, что тут же обнаружится ещё на стадии валидации нескольких архивов подряд. Кстати, все критические данные обязательно шифруются уже на клиенте по специальной политике и валидируются как на оперативном, так и на холодном. Антивирусов в классическом понимании нет совсем, есть IDS, IPS и ханипоты.
   vbus
 
39 - 04.03.21 - 08:32
(38) Не увидел в регламенте проверку резервных копий. Придет час, а там горы мусора.
   Arbuz
 
40 - 12.03.21 - 17:45
(39) дислексия? сочувствую.
>... на стадии валидации нескольких архивов подряд.
>... и валидируются как на оперативном, так и на холодном.


Список тем форума
 
ВНИМАНИЕ! Если вы потеряли окно ввода сообщения, нажмите Ctrl-F5 или Ctrl-R или кнопку "Обновить" в браузере.
Тема не обновлялась длительное время, и была помечена как архивная. Добавление сообщений невозможно.
Но вы можете создать новую ветку и вам обязательно ответят!
Каждый час на Волшебном форуме бывает более 2000 человек.