Сегодня схватили вирус, сожрало немало файлов, потом заметили, выключил сервер, скопировал с дисков то, что осталось.

Вот теперь вопрос, как убить шифровальщик, чтобы он остальное не зашифровал? Он где-то в загрузках висит? Запускал drweb cyreit, нашел файл в c:/temp вот и все. Он же как-то запускается, и видимо из другого места

(0) как как, зайти на мисту и орать до упаду

(1) сделано!

(0) Ты теперь относишься к группе людей которые делают бэкапы

тут просто оперативней отвечают, может кто уже сталкивался.

(3) да они у меня есть. Я отвечаю за 1С, бекапы все на разных носителях, все ок. Сожрались личные файлы и всякое барахло, к которому я никак не отношусь.

(0) Зачем ты на сервере запускаешь программы?

(0)Грузишься с флешки, и запускаешь проверку Dr.WEB CureIT

(0) Плати деньги. Там адрес электронки в наименовании файлов.

как защитится от шифровальщиков?

(6) честно говоря я не понял, как она запустился. Все работают с почтой на своих машинах. Уже были случаи, когда заражались клиентские компы. Я drwebom лечил и все, просто говорил все ваши файлы сдохли, будете внимательнее теперь.

Понятия не имею кто запустил архив из письма в терминале.

+(6) у меня 3 года стоит сервак для 1С, терминал (remoteApp только)+ файлопомойка, без антивируса.

После проверки куреитом, копируешь всю важную незашифрованную инфу, загружаешься, смотришь есть ли теневые копии, в которых может храниться утерянная информация.

Настрой белый список запуска программ.

(12) ок, сделаю

не поверишь - если есть доступ по RDP из инета, то возможно заражение путем инфильтрации.
Механизм атаки точно неизвестен.
Буквально вчера читал...

один умник тоже шифровщик из почты пытался запустить...
пришлось порыть - обошлось...
система не та, офис не тот...