Клиент подцепил шифровальщика...

[miller777]

Классика жанра: пришло письмо, от якобы организации, в вложении - zip, в zip'е - "накладные и PDF.exe".

Ну и содержание стандартное: ваши документы переслали к нам, посмотрите, бла-бла-бла...

Бухгалтер открыла зип, потом - то что в зипе.

"Оно не открылось, поэтому я попробовала открыть его на другом компьютере".

На том, где базы 1С и "СБИС++".

Там тоже не открылось.

"А потом все пропало, все мои документы изменили цвет и название и перестали открываться, а на рабочем столе у меня теперь Сноуден, а под его фото по-украински написано, что он вернет нам данные за 200 долларов. Я ещё там ответила, пыталась узнать, кто одни такие, и что за накладные".

- да, говорю, пригрели на груди змеюку, а он вон как теперь с нами…

И перешел к разбору полетов.

- зачем, говорю, тупая ты пизда, открывать всякую хрень, присланную не пойми кем? Ведь понятно, что это не Word, не Excel, не
PDF, расширение у него - exe, зачем такое запускать?

- ну это вам понятно, а я откуда знала? И антивирус же есть…

- антивирус работает по сигнатурам. По описаниям, то есть. Если у вас свежак, которого еще нет в базах - антивирус не среагирует.

И прочел ликбез по основам безопасности. Может, что-то запомнят. Хотя вряд ли, конечно.

Потом подумал: это я смотрю на все через окошки Total Commandera, а пользователь смотрит файлы через проводник, в котором, зачастую, включена опция "не показывать расширения для известных типов". И если doc и xls обычно открываются MS Office, это стандарт де-факто, и имеют иконки Word и Excel, то PDF может открывться разными приложениями, и иконки тожк могут быть разными.

Ладно.

NOD32, судя по логам, определил заразу в памяти, но то ли не смог прибить, то ли пользователь ему сказал "пропустить!".

В общем, на втором ПК тоже все зашифровано - и документы, и базы 1С.

Итог: на втором ПК бэкапились базы 1С, а, заодно и "рабочий стол" с "документами" - самые популярные места для хранения документов у бухгалтеров. Взял себе за правило автоматически бэкапить эти папки после первых атак шифровальщиков, и это не раз меня выручало.

Удалил зашифрованные базы и документы, залил последнюю копию из бэкапа. На обоих машинах запустил на проверку свеженький Cure IT. Вряд ли он чего найдет, но все же…

Upd: нет, ничего не нашел.

На первом ПК все хуже - документы в помойку, жизнь с чистого листа. Поврежден MS Office, при попытке открыть что-нибудь запускается установщик MS Office.

Клиенты в шоке, бухгалтер пьет валерьянку. Админа нет, я там иногда делаю разовые работы, по необходимости.

Они бы, может, и заплатили за расшифровку, но Mail.ru любезно известил о том, что ящик, предлагаемый вымогателем для связи, заблокирован.

Фото Сноудена убирать не стал. Так он и смотрит на бухгалтера с немым укором…

Все как всегда. Вымогатели рассылают вирусы, пользователи их запускают, администраторы вытирают сопли (хорошо, если не жопы) пользователям, отдел "К" ловит экстремистов на форумах. Все при деле.

Надо "Вебу" заслать экзешник вируса.

В общем, делайте бэкапы. Сейчас масса и платного и бесплатного софта для этого, от "так себе" до очень хорошего. Не храните архивы в zip: они тоже атакуются.

На файловых серверах - рулит разграничение доступа и поражение в правах, вплоть до введения полного "гестапо", как было изящно сформулировано в одной статье.

Comments

[12ga.livejournal.com]

от "так себе" до очень хорошего

Посоветуй хороший.

[miller777.livejournal.com]

На файловом уровне: Cobian Backup, отличная штука, бесплатен. Умеет теневое копирование, что позволяет копировать даже открытые файлы (для теневого копирования нужен установленный .NET Framework 3.5. Умеет делать архивы в 7zip из коробки.

Платный аналог: APBackup, тоже им пользовался.

На уравне дисков и разделов -> в образы:

Пробовал AOMEI, но ничего сказать не могу. Работает и все.

Сейчас Veem, известная программами для бэкапа виртуальных машин, выпустила Veem Backup Endpoint Free, хочу где-нибудь поставить и потестировать.

AOMEI и Veem Backup Endpoint Free могут также работать на файловом уровне, но настройки беднее, чем у Cobian Backup. Все бесплатное.

Ну и в Win 7 вполне приличный свой бэкапер, но ему нужен второй жесткий диск.

Acronis не люблю, не сложилось у меня с ним. Да и платный.

"Хранитель" от "Гэндальфа" мы одно время продавали - фубля... Не советую. Очень замороченная и капризная штука.

[12ga.livejournal.com]

Спасибо!

[msmirnov.livejournal.com]

да, никакого спасения кроме мозгов от шифровальщиков не существует. Прочел, вернувшись от очередного пидора, который "ой я скачал инструкцию к лекарству, почему у меня орет каспер и какие-то программы незнакомые появились..." и глазками хлопает. А под 50 мужчинке, блеать.

[dir-for-live.livejournal.com]

Так это не вирус. Он не размножается и не рассылает себя. Это простая программка, обычный EXE. Такое антивирусом не ловится.

[ping-ving.livejournal.com]

А когда-то шутка про ирландский вирус была шуткой.

[elusive-joe.livejournal.com]

Моему соседу подобная штука пришла по почте от организации с которой они много лет работали. С комментарием типа "мы не нашли у себя несколько документов от вас, в приложении полный перечень".
Результат понятен. В итоге формат харда и поиск документов по флешкам.

[ping-ving.livejournal.com]

Винда с её эксплорером всегда меня поражала своим удивительным удобством для вирусов.
Настройки по умолчанию "Ничего не вижу" + замечательный автозапуск.

[sish.livejournal.com]

В линухе еще удобнее-вообще похуй, чего написано, запускается все.