Клиент подцепил шифровальщика...

Oct. 13th, 2014 02:02 am
miller777: (Default)
[personal profile] miller777
Вирус - вымогатель. Зашифровал все документы: MS Office, PDF, JPG, архивы RAR и ZIP.

А также базы 1С, чего раньше не наблюдалось.

Пришло с письмом, бухгалтер открыла.

Антивирус стоял AVG 2014 Free, но на его месте мог быть любой, с тем же результатом.

Спасло то, что я перед отъездом в отпуск настроил Cobian Backup, который архивировал базы 1С, документы пользователя и все содержимое рабочего стола ежедневно с сжатием в 7-zip. 7-zip вирус не тронул.

Вымогатели запросили сумму в биткоинах, эквивалентную 20 тыс. рублей.

Бэкап развернули на другой машине, на зараженной удалили все разделы и заново поставили систему.

Я вот думаю: нет никакой гарантии, что следующие модификации вируса не затронут и 7-zip.

Насчет VHD не помню, шифрует его вирус, или нет.

Возможно, пора посмотреть на бэкаперы, использующие свой формат архивов: что-нибудь типа AOMEI Backupper или Handy Backup.

P.S. Отделам "К" это как было неинтересно, так и есть.

P.P.S. Человеческий фактор неистребим. Бухгалтер, скорее всего, откроет письмо с темой "посмотрите, есть у вас эти счета-фактуры?", даже если ее 15 раз предупредить.
Tags:
  • Add Memory
  • Share This Entry
Flat | Top-Level Comments Only

Date: 2014-10-12 11:27 pm (UTC)
From: [identity profile] sish.livejournal.com
Надо бы проверить-от чьей учетки этот зловред работает. Сдается мне, что если текущему пользователю запретить изменения атрибутов файла-то хрен он чего зашифрует. Попробую в виртуалке.
"Человеческий фактор неистребим."
Оплатит из своего кармана-не будет открывать.

Date: 2014-10-13 08:45 am (UTC)
From: [identity profile] miller777.livejournal.com
Так они и собирались уже платить.

Date: 2014-10-13 12:32 pm (UTC)
From: [identity profile] sish.livejournal.com
"Они", а не бухгалтер)

Date: 2014-10-13 01:12 am (UTC)
From: [identity profile] darkhon.livejournal.com
Гм. А что будет от открытия письма, если из него ничего не запускать-то? Из текста вирус сложно подцепить.

Date: 2014-10-13 02:40 am (UTC)
From: [identity profile] dir-for-live.livejournal.com
А кто сказал, что это - письмо? :-)))
Вы только откройте!

Date: 2014-10-13 08:04 am (UTC)
From: [identity profile] miller777.livejournal.com
Вложение открыли.

Date: 2014-10-13 10:43 am (UTC)
From: [identity profile] darkhon.livejournal.com
Ну я про то и говорю, что проблема-то не в "открыли письмо".

Date: 2014-10-13 05:26 am (UTC)
From: [identity profile] lesoff.livejournal.com
Забекапил всё вне графика и провел политинформацию ))))

Date: 2014-10-13 08:46 am (UTC)
From: [identity profile] miller777.livejournal.com
"Хочешь что-нибудь сделать - сделай бэкап"!

Date: 2014-10-13 06:54 am (UTC)
From: [identity profile] pan-2.livejournal.com
>>"использующие свой формат архивов: что-нибудь типа AOMEI Backupper или Handy Backup."
Глупости.
Потом эти пидарасы сменят формат, или поломают распаковку - и будешь сосать болт.

Решение, как всегда, простое:
а) бэкап работает под отдельной учёткой
б) бэкап идёт на сетевую шару, недоступную на запись обычному пользователю
в) ...
г) PROFIT

Date: 2014-10-13 08:32 am (UTC)
From: [identity profile] miller777.livejournal.com
>>Потом эти пидарасы сменят формат, или поломают распаковку - и будешь сосать болт.

Поэтому всегда предпочитал бэкапы в каком-нибудь стандартном формате.

>>бэкап идёт на сетевую шару, недоступную на запись обычному пользователю

Можно, наверное, и не в сетевую, а в локальную - только поправить права доступа на нее в NTFS.

В порядке изврата - можно каким-нибудь батником менять расширение бэкапа после рез.копирования. Но это поможет, если вирус тупо смотрит на расширение, если как-то по-другому - нет.

Date: 2014-10-13 08:37 am (UTC)
From: [identity profile] pan-2.livejournal.com
99.999% смотрят на расширение.
В локальную - опять-таки иметь проблемы если дурь похерит MBR/MFT.
Можно и посмотреть, умеет ли тот же кобиан менять расширение ;)

Ну и самое вкусное - любой вирус работает сначала в контексте пользователя, поэтому на шару, куда ему писать нельзя - ничего не запишет. А если он элевейтнется до SYSTEM, то писать он может везде, но - только в пределах компа.

Алсо, по поводу работы - если есть клиентура, с которой ты плотно работаешь и они ТЕБЕ рады - провентилируй вопрос забрать к себе, худо-бедно, а на хлеб с маслом хватит.

Date: 2014-10-13 08:53 am (UTC)
From: [identity profile] miller777.livejournal.com
>>Можно и посмотреть, умеет ли тот же кобиан менять расширение ;)

Нет, но умеет выполнять разные команды после копирования - в том числе и запуск произвольных файлов.

>>Алсо, по поводу работы - если есть клиентура, с которой ты плотно работаешь и они ТЕБЕ рады - провентилируй вопрос забрать к себе, худо-бедно, а на хлеб с маслом хватит.

В принципе, есть. Не очень красиво будет выглядеть с моей стороны, но как крайний вариант - буду иметь ввиду.

Остальные слишком плотно завязаны с моей фирмой по другим темам, которые я вести не смогу: бухучет, доработка конфигураций 1С, и пр.

Не очень красиво будет выглядеть с моей стороны

Date: 2014-10-13 10:20 am (UTC)
From: [identity profile] pan-2.livejournal.com
Сосать лапу из-за проёба продажников - тоже как-то не очень.

Date: 2014-10-13 12:37 pm (UTC)
From: [identity profile] sish.livejournal.com
Можно и SYSTEM порезать, но это вызывает множество странных глюков)
  • Add Memory
  • Share This Entry
Flat | Top-Level Comments Only

Profile

miller777: (Default)
miller777

August 2022

S M T W T F S
 123456
78910 111213
14151617181920
21222324252627
28293031   

Most Popular Tags

Page Summary

Style Credit

Expand Cut Tags

No cut tags
Page generated Jun. 15th, 2025 11:48 am
Powered by Dreamwidth Studios