↑ ↓

Информация Что делать если вирус-шифровальщик зашифровал все данные на компе

Как восстановить данные после вирусной атаки

  1. X-Shar :)
    X-Shar
    Ответить в чате

    Администрация

    Регистрация:
    03.06.2012
    Сообщения:
    5.866
    Симпатии:
    458
    Пол:
    Мужской
    Репа:
    +1.005 / 158 / -29
    Jabber:
    Telegram:
    Пользователь X-Shar разместил новый ресурс:

    Что делать если вирус-шифровальщик зашифровал все данные на компе - Как восстановить данные после вирусной атаки

    Узнать больше об этом ресурсе...
     
    • Мне нравится Мне нравится x 2
  2. iNET Житель форума
    iNET
    Ответить в чате

    Форумчанин

    Регистрация:
    24.08.2016
    Сообщения:
    6
    Симпатии:
    0
    Пол:
    Мужской
    Репа:
    +0 / 0 / -0
    Добрый день ! Столкнулись на предприятии с ситуацией, когда пришли утречком на работу, а там в сетевых папках доки стали отображаться так: Папка "Отчёты" в ней ярлык Отчёт.rar (0 Кб)
    рядом зашифрованный оригинал Отчёт.rar{meldonii@india.com}.xtbl (36 Мб) значок отображается как белый лист. В общем вначале грешили, что подцепили по почте т.к. закончилась лицензия на спам фильтр. Затем сделав несколько телодвижений не заморачиваясь решили всё восстановить с бэкапа. Не тут то было через неделю история повторилась, но уже в более обострённой форме. Кстати весь софт на предприятии лицензионный. Написали в тех. поддержку Еseta о сложившейся ситуации о том как расшифровать файлы и чем, к сожалению ответа так до сих пор и не последовало. Посёрфиф по инету в поисках вакцины было сделано следующее: сервера, рабочие станции, пк и т.д. сканились несколькими антивирусными продуктами такими как Eset, ЛК, а также утилитами от этих разработчиков avz, kvrt...., другими также antimalware, hitmanpro, cureit и т.д. всё чисто как слеза младенца. Покопавшись в инете и воспользовавшись советами с разных форумов по ИБ просканили где большая часть встречалась с подобной ситуацией spy hunter -ом так он не то, что ничего не нашёл так ещё и днс меняет и дополнительный прописывает зараза, думали что домен накрылся медным тазом, но разобрались удалии spy hunter и в сет. настройках убрали лишнюю лабуду прописанную spy hunter-ом. После долгих мучений и отчаяний пришли к единому мнению, что очаг эпидемии идёт с сервера, где открыт доступ по RDP доступ имели многие, не только юзеры на нашем предриятии. Просканив сервер на зловредов предыдущими утилитами и антивирями, что были упомянуты мною выше (во время сканирования сервер вис не по детски) было выявлено, что это и есть уязвимость от куда залезла эта нечисть. Гадость эту мы побороли. Была также установлена доп. защита помимо антивиря это CryptoPrevent в связке с антивирусом Eset Endpoint. На серваке, который вылечили прикрыли доступ по RDP включили фаервол, установлен Eset для серверных ос, CryptoPrevent.

    Вот такая история. Спасло только то, что своевременно делалась резервная копия и не одна, плюс конечно черпание информации на просторах интернета. А так бы потеряли 25 Тб инфы.

    Вопрос: Как такое возможно сделать по RDP? Кто и как это сделал? какие порты нужно закрывать?
    Как вообще эта зараза попёрла по сетке? Кто и как запустил т.к. доступ только от имени админа есть.

     
  3. X-Shar :)
    X-Shar
    Ответить в чате

    Администрация

    Регистрация:
    03.06.2012
    Сообщения:
    5.866
    Симпатии:
    458
    Пол:
    Мужской
    Репа:
    +1.005 / 158 / -29
    Jabber:
    Telegram:
    Админ и запустил, гы-гы !:)

    На самом деле сейчас идет эпидемия этих шифровальщиков....

    Как попал ? Да банально на rdp-сервер, кто-нить разместил файлик с надписью "Нажми меня.exe", админ нажал для интереса, все...

    Еще случай, бухгалтеру пришло письмо, "Платежная квитанция.js", в скрипте качается файлик, а далее запускается, сам файлик написан на с#, который дергает еще аж пять каких-то файлов, один из них шифровальщик, что делают остальные хз.

    Примечательно что не сам загрузчик (js), не файл на с#, не детектятся не кем, зато уже начинка детектица чуть-ли не всеми антивирусами...

    Как защитится ?

    Ну во первых зачем rdp-доступ всем ? Это-же афигеть какая уязвимость, срочно ограничевайте доступ, лучше по айпишникам.

    Во вторых про порты, лучше закрыть все и оставить только нужные, т.е. сделайте белый список портов какие нужны, а остальные все в блок, в линуксе это сделать легко, в винде незнаю...

    Кстати так-ли принципиально юзать винду на сервере, особенно если он доступен через инет ? Тоже и про клиентские компы, если нет какого-то специфичного софта, то может присмотреца к линуксу ?

    Ну и наймите нормального админа !:)
     
    • Мне нравится Мне нравится x 2
  4. iNET Житель форума
    iNET
    Ответить в чате

    Форумчанин

    Регистрация:
    24.08.2016
    Сообщения:
    6
    Симпатии:
    0
    Пол:
    Мужской
    Репа:
    +0 / 0 / -0
    Совершенно верно. Подпишусь под каждой буковкой. Эпидемия шифровальщиков растёт и деградирует из года в год. Чем тогда занимаются антивирусные лаборатарории :). Ведь мы оплачиваем в полном объёме да ещё и вперёд. На счёт портов так и сделали вы правы. Кстати купили вот такую железку FortiGate.
    На линукс перейти не получиться, очень много специфического софта.

    А на сервере( Windows Server 2008 R2. ), где завелась зараза установлена 1С-ка и поднят сервер терминалов.

    Не, админ нормальный просто неуглядел маленько парень толковый :). Неделю назад знакомый столкнулся с такой же проблемой у него вообще ни на одном пк, сервере или рабочей станции не был установлен ав, да и бэкапы он не делал. Потерял все данные :(
     
  5. Hooko Уважаемый пользователь
    Hooko
    Ответить в чате

    Форумчанин

    Регистрация:
    24.08.2016
    Сообщения:
    178
    Симпатии:
    171
    Пол:
    Мужской
    Репа:
    +180 / 3 / -4
    Jabber:
    Бэкапы должны быть всегда! ВСЕГДА. И желательно на ftp
     
    • Мне нравится Мне нравится x 1

Поделиться этой страницей