|
Вирус шифровальшик 🠗 (Волшебник 26.02.2021 17:29) | ||
|---|---|---|---|
|
0
shumach
26.02.21
✎
13:42
|
Добрый день. На сервер проник вирус шифровальшик. Никакие файлы не запускались, поскольку произошло в ночное время, когда пользователи точно не работают. Все файлы зашифрованы с расширением FSOCIETY. LicData_10РМ.txt.Id = [FF67A2A] Send To Email=[[email protected]].FSOCIETY. Что с этим можно сделать? Какие способы решения? Имеется текстовый файл с запросом выкупа.
|
||
|
1
piter3
26.02.21
✎
13:42
|
Бэкапов нет я таки понял?
|
||
|
2
Масянька
26.02.21
✎
13:44
|
(1) Бэкапы делают трусы.
|
||
|
3
d_monah
26.02.21
✎
13:44
|
Сколько просят?Поскольку сегодня пятница, советую бежать.
|
||
|
4
d_monah
26.02.21
✎
13:45
|
(2) И не говори,слабаки,я настоящий мужик,не делаю
|
||
|
5
Волшебник
26.02.21
✎
13:48
|
Когда повреждается диск, он не просит выкуп. Рассматривайте это как аварию жёсткого диска.
|
||
|
6
vovastar
26.02.21
✎
13:51
|
(5) ага, прекрасно помню как в 2002 году на сервере стоял ДокторВеб и рухнул сервер на заводе. Бухгалтерия 2 недели домой спать не ходила вместе с нами. А это не много не мало 30 бухгалтеров и нас 7 айтишников...
|
||
|
7
bolder
26.02.21
✎
13:51
|
(0) Так ...Рассказывай ,какой сервер, какой ж..пой торчал в инет.Так как вам уже не помочь, хоть других убережет...
|
||
|
8
Kassern
26.02.21
✎
13:52
|
|||
|
9
bolder
26.02.21
✎
13:52
|
(5) Советуешь ломом шандарахнуть?
|
||
|
10
vovastar
26.02.21
✎
13:55
|
ТС теперь не посочувствуешь, если какой тупой безопасник, то финита ля комедия)
|
||
|
11
ИС-2
naïve
26.02.21
✎
13:59
|
похоже эпидемия - у меня у знакомых 2 базы зашифровали
|
||
|
12
bolder
26.02.21
✎
14:04
|
(10) У меня было 2 случая встречи с шифровальщиками.Первый просто повезло, они 1с не знали.Не то и не так зашифровали.И базу быстро восстановили.Второйраз уже круче - только частичное восстановлнние с применением бэаапов.После этого все как рукой сняло - поменяли админа,сервер и я пересмотрел политику бэкапов))
|
||
|
13
vovastar
26.02.21
✎
14:21
|
(12) никогда не понимал суть шифровальщиков...те кто закрывает архивами, хоть деньги получают за это потом, а эти только пакостят...
|
||
|
14
Kassern
26.02.21
✎
14:28
|
(13) тут либо деняг просят за расшифровку, либо "если бы у вас был наш антивирус с последним обновлением, все бы было хорошо")
|
||
|
15
Winnie Buh
26.02.21
✎
14:40
|
(0) сколько просят? биткоин или в рублях?
|
||
|
16
КнОпка
26.02.21
✎
15:02
|
(15) у нас просили биткоинами, и сумма была немаленькая. Первый день просили одну сумму - не нашли ее, на второй попросили раза в 2 больше, тогда деньги сразу нашли
поэтому советую сразу им платить если бекапов нету |
||
|
17
Kassern
26.02.21
✎
15:09
|
(16) только вот гарантии нет, что после перевода денег у тебя все разблокируется
|
||
|
18
d_monah
26.02.21
✎
15:10
|
(16) Ничего не платить,скорее всего останетесь без денег,или будете платить еще.Любые данные можно восстановить руками
|
||
|
19
shumach
26.02.21
✎
15:11
|
Бэкапы на том же сервере, только на другом диске и они тоже естественно зашифрованы(((
|
||
|
20
NorthWind
26.02.21
✎
15:11
|
(13) архивы тяжелая штука, чтобы закрыть приличный объем, надо работать много часов и проц будет показывать загрузку. Очень велика вероятность что поджопят и прекратят процесс. Кроме того, для архиваторов есть доступные методики вскрытия, что может заставить жертву тянуть время. Фулюганам это неинтересно, им деньги быстрее надо.
Шифровальщики обычно написаны по-умному, портится не весь файл, а небольшие кусочки в разных местах. Соответственно, таким образом можно "обработать" весь диск в стахановские сроки. |
||
|
21
shumach
26.02.21
✎
15:12
|
(15) Просят битки. Сколько не знаю в письме просто почта куда обращаться.
|
||
|
22
shumach
26.02.21
✎
15:28
|
Есть свежая новость. Диагностика от антивируса: шифровальщик Trojan.Encoder.28501 и помочь они ничем не могут...
|
||
|
23
Kassern
26.02.21
✎
15:36
|
(22) нда, ну зато в будущем будете слепок сервака не на ту же машину, а на отдельное место. А если б хард сгорел, как бы восстанавливали?
|
||
|
24
Волшебник
26.02.21
✎
15:36
|
(9) Советую начать делать бэкапы.
|
||
|
25
Волшебник
26.02.21
✎
15:37
|
(21) Биткоины нынче дорогие...
|
||
|
26
Kassern
26.02.21
✎
15:38
|
(22) сюда пробовали обращаться? https://safezone.cc/threads/rasshifrovka-baz-dannyx-1s-i-mssql-dannyx-posle-ataki-shifratora.33739/
|
||
|
27
Волшебник
26.02.21
✎
15:39
|
|||
|
28
shumach
26.02.21
✎
16:01
|
(23) Харды то разные, где база и где бэкапы
|
||
|
29
shumach
26.02.21
✎
16:01
|
(26) Не пробовал. попробую, спасибо
|
||
|
30
shumach
26.02.21
✎
16:01
|
(27) Спасибо
|
||
|
31
Kassern
26.02.21
✎
16:08
|
(28) система и доступ к ней один
|
||
|
32
d_monah
26.02.21
✎
16:20
|
Вариантов безопасного хранения архивов больше чем достаточно. Например ,в дополнение ко всему, перед уходом, у нас админ сливал ценности на сьемный диск и ложил в сейф. Каждый день на новый(всего 5 дисков). Ну и я себе делаю,раз в неделю,две,так,на всякий случай и чтобы админа тестовую не просить обновлять.Ибо один раз сервер очень удачно положил и месяц народ ручками восстанавливал,ибо было с чего.Сочувствую конечно,но платить таки не стоит
|
||
|
33
Злопчинский
26.02.21
✎
16:25
|
(2) Трусы придумали шлемы и тормоза
|
||
|
34
d_monah
26.02.21
✎
16:35
|
(33) И резиновые изделия номер два))
|
||
|
35
vovastar
26.02.21
✎
16:37
|
(34) номер пять, студент....
|
||
|
36
d_monah
26.02.21
✎
16:52
|
(35) Сам студент,изделие номер 1- противогаз,номер 4 галоши,номер 5- город Москва
|
||
|
37
ДедМорроз
26.02.21
✎
21:02
|
Если никто на сервере под админом не работает,то директория для резервного копирования шифровальщик не по зубам-проверено.
Опять же,антивирус,который отслеживает работу с версиями файлов,обычно,также спасает. Перезапись файла в системе,если правильно настроено,не перезаписывает оригинальный файл,а создаёт версию. |
||
|
38
Arbuz
01.03.21
✎
17:02
|
(37) Сервер бэкапов на винде - это розовые очки, ручное перекладывание дисков по сейфам - это, простите, дрочь.
Наша политика: 0) Утверждённый обязательный регламент. 1) Сервер оперативных бэкапов. В общей стойке, но с отдельным замком; на BSD; без рута; web-интерфейс; доступ из сети (в том числе vpn); разделённый доступ на чтение/запись в персональные шары по LDAP; клиенты сами складывают текущие бэкапы или тянет rsync'ом по расписанию; зеркалит в облака. 2) Сервер холодных бэкапов. В стойке у ИБ, в спецпомещении; на BSD; без рута; без web; минимум сервисов; без сети (отдельный сегмент до оперативного + отдельный ИБ); никаких шар; нет доступа ни на чтение, ни на запись; сам тянет rsync'ом с оперативного; разовый доступ к бэкапам через запрос к ИБ (rsync'ом же выгружается на оперативный, под персональный доступ). Да, бюрократии - ппц. НО. Всё работает как часы, по регламенту. Никакого человеческого фактора. Что-бы сломать, надо сначала сломать ИБ, а они специально для этого работают. В худшем случае зашифруют/испортят оперативный и часть в облаках + последняя итерация на холодном, что тут же обнаружится ещё на стадии валидации нескольких архивов подряд. Кстати, все критические данные обязательно шифруются уже на клиенте по специальной политике и валидируются как на оперативном, так и на холодном. Антивирусов в классическом понимании нет совсем, есть IDS, IPS и ханипоты. |
||
|
39
vbus
04.03.21
✎
08:32
|
(38) Не увидел в регламенте проверку резервных копий. Придет час, а там горы мусора.
|
||
|
40
Arbuz
12.03.21
✎
17:45
|
(39) дислексия? сочувствую.
>... на стадии валидации нескольких архивов подряд. >... и валидируются как на оперативном, так и на холодном. |
| Форум | Правила | Описание | Объявления | Секции | Поиск | Книга знаний | Вики-миста |
|