Что делать если вирус-шифровальщик зашифровал все данные на компе

Информация Что делать если вирус-шифровальщик зашифровал все данные на компе

Кто просматривает этот контент: "Тема" (Всего пользователей: 0; Гостей: 1)

X-Shar

:)
Администрация
Регистрация
03.06.2012
Сообщения
5 727
Репутация
263
Jabber
Telegram
#1
Пользователь X-Shar разместил новый ресурс:

Что делать если вирус-шифровальщик зашифровал все данные на компе - Как восстановить данные после вирусной атаки

Вот представьте, что в один прекрасный день вы получаете сообщение, что "Ваш компьютер заблокирован ", или ещё хуже "Все ваши данные зашифрованы", а для разблокировки/расшифровки нужно заплатить выкуп !

Посмотреть вложение 55040

Что-же делать ?

Итак мои советы:

1)Как можно быстрее выключить компьютер, ведь может повезло и вирус неуспеет полностью отработать;

2)К сожалению такие вирусы АВ часто пропускают, поэтому что-бы что-то попытаться сделать самому, нужно подготовить диск...
Узнать больше об этом ресурсе...
 

iNET

Житель форума
Форумчанин
Регистрация
24.08.2016
Сообщения
4
#2
Добрый день ! Столкнулись на предприятии с ситуацией, когда пришли утречком на работу, а там в сетевых папках доки стали отображаться так: Папка "Отчёты" в ней ярлык Отчёт.rar (0 Кб)
рядом зашифрованный оригинал Отчёт.rar{meldonii@india.com}.xtbl (36 Мб) значок отображается как белый лист. В общем вначале грешили, что подцепили по почте т.к. закончилась лицензия на спам фильтр. Затем сделав несколько телодвижений не заморачиваясь решили всё восстановить с бэкапа. Не тут то было через неделю история повторилась, но уже в более обострённой форме. Кстати весь софт на предприятии лицензионный. Написали в тех. поддержку Еseta о сложившейся ситуации о том как расшифровать файлы и чем, к сожалению ответа так до сих пор и не последовало. Посёрфиф по инету в поисках вакцины было сделано следующее: сервера, рабочие станции, пк и т.д. сканились несколькими антивирусными продуктами такими как Eset, ЛК, а также утилитами от этих разработчиков avz, kvrt...., другими также antimalware, hitmanpro, cureit и т.д. всё чисто как слеза младенца. Покопавшись в инете и воспользовавшись советами с разных форумов по ИБ просканили где большая часть встречалась с подобной ситуацией spy hunter -ом так он не то, что ничего не нашёл так ещё и днс меняет и дополнительный прописывает зараза, думали что домен накрылся медным тазом, но разобрались удалии spy hunter и в сет. настройках убрали лишнюю лабуду прописанную spy hunter-ом. После долгих мучений и отчаяний пришли к единому мнению, что очаг эпидемии идёт с сервера, где открыт доступ по RDP доступ имели многие, не только юзеры на нашем предриятии. Просканив сервер на зловредов предыдущими утилитами и антивирями, что были упомянуты мною выше (во время сканирования сервер вис не по детски) было выявлено, что это и есть уязвимость от куда залезла эта нечисть. Гадость эту мы побороли. Была также установлена доп. защита помимо антивиря это CryptoPrevent в связке с антивирусом Eset Endpoint. На серваке, который вылечили прикрыли доступ по RDP включили фаервол, установлен Eset для серверных ос, CryptoPrevent.

Вот такая история. Спасло только то, что своевременно делалась резервная копия и не одна, плюс конечно черпание информации на просторах интернета. А так бы потеряли 25 Тб инфы.

Вопрос: Как такое возможно сделать по RDP? Кто и как это сделал? какие порты нужно закрывать?
Как вообще эта зараза попёрла по сетке? Кто и как запустил т.к. доступ только от имени админа есть.

 

X-Shar

:)
Администрация
Регистрация
03.06.2012
Сообщения
5 727
Репутация
263
Jabber
Telegram
#3
Вопрос: Как такое возможно сделать по RDP? Кто и как это сделал? какие порты нужно закрывать?
Как вообще эта зараза попёрла по сетке? Кто и как запустил т.к. доступ только от имени админа есть
Админ и запустил, гы-гы !:)

На самом деле сейчас идет эпидемия этих шифровальщиков....

Как попал ? Да банально на rdp-сервер, кто-нить разместил файлик с надписью "Нажми меня.exe", админ нажал для интереса, все...

Еще случай, бухгалтеру пришло письмо, "Платежная квитанция.js", в скрипте качается файлик, а далее запускается, сам файлик написан на с#, который дергает еще аж пять каких-то файлов, один из них шифровальщик, что делают остальные хз.

Примечательно что не сам загрузчик (js), не файл на с#, не детектятся не кем, зато уже начинка детектица чуть-ли не всеми антивирусами...

Как защитится ?

Ну во первых зачем rdp-доступ всем ? Это-же афигеть какая уязвимость, срочно ограничевайте доступ, лучше по айпишникам.

Во вторых про порты, лучше закрыть все и оставить только нужные, т.е. сделайте белый список портов какие нужны, а остальные все в блок, в линуксе это сделать легко, в винде незнаю...

Кстати так-ли принципиально юзать винду на сервере, особенно если он доступен через инет ? Тоже и про клиентские компы, если нет какого-то специфичного софта, то может присмотреца к линуксу ?

Ну и наймите нормального админа !:)
 

iNET

Житель форума
Форумчанин
Регистрация
24.08.2016
Сообщения
4
#4
Совершенно верно. Подпишусь под каждой буковкой. Эпидемия шифровальщиков растёт и деградирует из года в год. Чем тогда занимаются антивирусные лаборатарории :). Ведь мы оплачиваем в полном объёме да ещё и вперёд. На счёт портов так и сделали вы правы. Кстати купили вот такую железку FortiGate.
На линукс перейти не получиться, очень много специфического софта.

А на сервере( Windows Server 2008 R2. ), где завелась зараза установлена 1С-ка и поднят сервер терминалов.

Не, админ нормальный просто неуглядел маленько парень толковый :). Неделю назад знакомый столкнулся с такой же проблемой у него вообще ни на одном пк, сервере или рабочей станции не был установлен ав, да и бэкапы он не делал. Потерял все данные :(
 

Hooko

Уважаемый пользователь
Форумчанин
Регистрация
24.08.2016
Сообщения
232
Репутация
203
Jabber
#5
Бэкапы должны быть всегда! ВСЕГДА. И желательно на ftp
 
Вверх