Вход | Регистрация

  1  2   
Информационные технологии ::

Метки: 

Вирус шифровальщик

Я
   Радим1987
 
12.10.17 - 10:56
Добрый день.
Серваку попал вирус шифровальчик расширение.srva
Как спасти данные?
 
 
   Радим1987
 
1 - 12.10.17 - 10:57
За ночь зашифровал все от А до Я
   SeriyP
 
2 - 12.10.17 - 10:57
(0) беги оттуда
   Джо-джо
 
3 - 12.10.17 - 10:58
(0) Восстановить из бэкапа
   asady
 
4 - 12.10.17 - 10:58
(0) зашифрованные никак - только из бэкапа
незашифрованные спасать не надо
шифровальщика удалить
админа уволить
   Радим1987
 
5 - 12.10.17 - 10:58
Бежать то некуда
   Джо-джо
 
6 - 12.10.17 - 10:58
   Радим1987
 
7 - 12.10.17 - 10:59
(6) )
   _Дайвер_
 
8 - 12.10.17 - 11:00
Я так полагаю без РАИДОВ работаете? ХМ...
   Радим1987
 
9 - 12.10.17 - 11:01
(8) Да
   Радим1987
 
10 - 12.10.17 - 11:01
Доктор веб не находит этот вирус
 
 Рекламное место пустует
   SeriyP
 
11 - 12.10.17 - 11:01
(5) если бэкапов критических данных нет, тогда смиритесь и конечно приготовьте (6)
   SeriyP
 
12 - 12.10.17 - 11:02
(10) потому что это не вирус
   DrZombi
 
13 - 12.10.17 - 11:02
(10) Шифровальщик не вирус, он не распространяет сам себя. :)
Шифрует используя лицензионное ПО от МС, так что все разрешено виндовс :)
   Волшебник
 
Модератор
14 - 12.10.17 - 11:03
(3) Если бэкапов не было, значит важных данных тоже не было.
   Радим1987
 
15 - 12.10.17 - 11:04
(14) бекапы то же были на этом серваке в другом диске
   _Дайвер_
 
16 - 12.10.17 - 11:04
(15) ЛОЛ
   Джо-джо
 
17 - 12.10.17 - 11:04
(15) рукалицо
   SeriyP
 
18 - 12.10.17 - 11:04
(8) а при чем тут РАИД? (Просто друг интересуется...)
   piter3
 
19 - 12.10.17 - 11:05
(15) аминь
   DrZombi
 
20 - 12.10.17 - 11:05
(15) При этом скорей всего бекапы вы делали под одним и тем же пользователем? (все как в прошлые времена, до шифровальщиков) :)
   oslokot
 
21 - 12.10.17 - 11:06
(0) Прекрасный момент начать жизнь с чистого листа
   Радим1987
 
22 - 12.10.17 - 11:06
(16) я не админ я разработчик
   Радим1987
 
23 - 12.10.17 - 11:06
Админ вешается
   Джо-джо
 
24 - 12.10.17 - 11:07
(22) Считай в рубашке родился
   SeriyP
 
25 - 12.10.17 - 11:07
(22) повезло
   Джо-джо
 
26 - 12.10.17 - 11:07
Скорее закрывай все текущие задачи, скажи что всё требования были реализованы в зашифрованных базах
   Брудвар
 
27 - 12.10.17 - 11:07
(15) Если бекапы были на том же серваке, значит эти данные не очень ценные. Рекомендую отформатировать все диски, и проблема решится.
   Брудвар
 
28 - 12.10.17 - 11:08
(26) Зачем? Их же все равно заново придется делать
   elCust
 
29 - 12.10.17 - 11:08
(0) Если владелец шифровальщика лох, то касперский может восстановить. У одного моего клиента каспер восстановил данные.

Но должны выполняться два условия:
1) Организация должна быть клиентом касперского.
2) Шифрование произошло с использованием ключа, который есть в базе касперского.
   Радим1987
 
30 - 12.10.17 - 11:08
(27) так и будут делать
   Злопчинский
 
31 - 12.10.17 - 11:09
Готично.
   Владимир Милькин
 
32 - 12.10.17 - 11:09
(0) посмотрите, может теневые копии остались
   Волшебник
 
Модератор
33 - 12.10.17 - 11:09
(15) Значит бэкапов не было.
 
 
   Радим1987
 
34 - 12.10.17 - 11:10
Бессонные ночи насмарку(
   Джо-джо
 
35 - 12.10.17 - 11:10
(29) Если владелец шифровальщика Касперский
   _Дайвер_
 
36 - 12.10.17 - 11:10
   Радим1987
 
37 - 12.10.17 - 11:10
(33) бекапы тоже зашифровывал. Абсолютно все файлы.
   igorPetrov
 
38 - 12.10.17 - 11:11
(37) бэкапов не было.
   Владимир Милькин
 
39 - 12.10.17 - 11:12
(0) плюс если обновляли базы прямо на серваке из режима предприятия (обработка "Поиск и установка обновлений") - есть небольшой шанс, что остались сохраненные базы во временной папке компьютера
   Радим1987
 
40 - 12.10.17 - 11:12
Про этот вирус еще в инете нет, везде поискали
   Радим1987
 
41 - 12.10.17 - 11:13
Временные папки, кэши все зашифровано. все типы файлы
   _Дайвер_
 
42 - 12.10.17 - 11:15
https://pikabu.ru/story/protivodeystvie_virusamshifrovalshchikam_5001938

А еще сейчас есть Acronis, хорошая вещь которая помогает сохранить ваши файлы. Не ловит шифровальщиков, а именно защищает файлы от них.
   aka AMIGO
 
43 - 12.10.17 - 11:21
(42) именно защищает файлы от них.
Так там основное - это бэкап .. защиты вроде-б в том и состоит - в резервном копировании на стороннем диске..
   БледноЗолотистый
 
44 - 12.10.17 - 11:23
Заплатить из ЗП админа еще не предлагали?
   Смотрящий
 
45 - 12.10.17 - 11:23
(29) Ты в корне неправ, не смущай апчественность
   Woldemar177
 
46 - 12.10.17 - 11:25
(34) Что еще и все твои труды зашифрованы? гыгыгыгы.
   Джо-джо
 
47 - 12.10.17 - 11:27
(46) Главное чтобы оплачены были
   Радим1987
 
48 - 12.10.17 - 11:28
(44) предлагали
   Радим1987
 
49 - 12.10.17 - 11:29
(46) не тока мои.
 
 Рекламное место пустует
   evorle145
 
50 - 12.10.17 - 11:29
(48) зато день не скучный. А так вся жизнь пролетит и не заметишь. Тоже 30-ка стукнула?
   Радим1987
 
51 - 12.10.17 - 11:30
вот сижу думаю с чего начать дорабатывать КА заново
   Смотрящий
 
52 - 12.10.17 - 11:31
(51) Я б пива выпил на твоем месте. Маховик пздеца только раскручивается - сегодня точно никаких действий не предпримут - будут назначать крайнего
   Смотрящий
 
53 - 12.10.17 - 11:32
Одмин кстате и отмазаться может
   elCust
 
54 - 12.10.17 - 11:32
(45) Я прав, т.к то, что я написал было по факту.
   Йохохо
 
55 - 12.10.17 - 11:33
(51) свою работу надо бэкапить самому. Если явного запрета нет. Даже если есть цфник и обработки постараться утаскивать и кому надо постараться объяснить, что данных там нет
   бегинер
 
56 - 12.10.17 - 11:33
напишите вымогателям - получите цену риска, но не факт что после оплаты дадут дешифратор.
   Fish
 
57 - 12.10.17 - 11:33
(28) Чтобы сроки с нуля пошли :))
   Радим1987
 
58 - 12.10.17 - 11:34
(55) это будет уроком
   Радим1987
 
59 - 12.10.17 - 11:34
(56) Написали ждем ответа
   Смотрящий
 
60 - 12.10.17 - 11:35
(54) нет у них списка ключей - они генерятся рандомно.
Дернуть ключ можно только в шифровальщике первого поколения - он на доске лежит. Второго поколения - только если оно криво написано. А третье уже не сохраняет ничо на диске - все в памяти корутится.
   elCust
 
61 - 12.10.17 - 11:36
(60) Дык Вроде я об этом и написал. Только кратко.
   Джо-джо
 
62 - 12.10.17 - 11:36
(60) А у четвёртого никакого ключа нет, платишь бабки и идёшь лесом
   Смотрящий
 
63 - 12.10.17 - 11:37
(62) Это 2а поколение )))
   Владимир Милькин
 
64 - 12.10.17 - 11:38
Имхо, если и платить вымогателям - то только если они согласятся и смогут расшифровать какой-нибудь из зашифрованных файлов, который вы им пришлёте для проверки.
   arsik
 
65 - 12.10.17 - 11:38
(62) Никто вроде не будет за так бабки платить. Обычно закриптованный файл высылают вымогателю, если в ответ пришел оригинал, тогда можно и рискнуть.
   aka AMIGO
 
66 - 12.10.17 - 11:39
Что характерно, шифровальщик - частый гость в корп.почте.
В этот вторник дама-менеджер открыла внешне безобидное письмецо, и - ага.
Странно, что не очень много было подпорчено.
Админ прибежал рано утром, чего до этой поры не бывало николи :)
Заражен комп дамочки, и кое-что на шаре "Обмен" - на сервере.
Не у всех.. Но в некоторых папках был файлик-ссылка на некий ресурс. Видимо, тот самый вымогатель. У меня тоже эти ссылки были, возможно, потому, что я лок.админ на своем компе???.. Не знаю..

Мой комп Всевышний защитил.
А вот у дамочки - весь в заразе.

На диске "Обмен" все мои документы убиты. Более того, заменен владелец, мои права "Только чтение". Рискнул, почитал, в *.dоcx - абракадабра.. Что ожидаемо.

(56) прав 100%. Не будет ключа, оставь надежды всяк.. © :((
   Fish
 
67 - 12.10.17 - 11:43
(66) "шифровальщик - частый гость в корп.почте. " - Ну не знаю, насколько частый, у нас всего один раз пролез, успел пару компов зашифровать (те, на которых Касперский не обновился), потом админы что-то долго мудрили, и с тех пор ни разу не прорывались (тьфу-тьфу).
   Woldemar177
 
68 - 12.10.17 - 11:52
(51) Главное нас информируй. Особенно завтра.
   aka AMIGO
 
69 - 12.10.17 - 11:53
(67) Ты речь ведешь об одной организации - твоей.
А организаций-то бездна, и в каждой сидит мариванна, с отсутствием интуиции и критического взгляда на внешний вид письма. У неё забота одна - дом, а остальное - досадная необходимость, потому, если что не так - будет фонтан эмоций..
   aka AMIGO
 
70 - 12.10.17 - 11:56
Года полтора назад кто-то из бушек притащил из дому флешку с оч. и оч. нужным Excel-файликом. Админ пару дней чистил, реорганизовал хард обмена, а вот поди-ж ты, всё равно пролезла зараза.
   aka AMIGO
 
71 - 12.10.17 - 11:58
+70 а USB-входы всем поотключали.
   Сияющий в темноте
 
72 - 12.10.17 - 12:02
сейчас многие почтовые сервера простотрежут письмо,если в нём код сценария js или vbs
так что гостям очень не рады
мииии
   Радим1987
 
73 - 12.10.17 - 12:20
(68) Объязательно
   Радим1987
 
74 - 12.10.17 - 12:36
Ну вот пока разговариваю сам собой как здесь.
http://trinixy.ru/151626-beseda-pomoschnikov-alisa-ot-yandeks-drug-s-drugom.html
   Woldemar177
 
75 - 12.10.17 - 12:40
(75) А тут как бэ уже всё - ни от нас ни от тебя уже ничего не зависит. Информируй нас. Какая будет реакция начальства последствия и тп.
   lodger
 
76 - 12.10.17 - 12:54
(72) кстати, читать глазками расширение файла уже не панацея.
кулхацкеры дотянулись ручонками до служебного символа разворота написания.
например, было gpj.абырвалг.js, с символом воткнутым в начале станет sj.главрыба.jpg
   lodger
 
77 - 12.10.17 - 12:57
+(76) а можно и в середину воткнуть, тогда начало имени слева-направо(как обычно) и от символа до конца строки - развернуто.
   Радим1987
 
78 - 12.10.17 - 13:08
   LenaAt
 
79 - 12.10.17 - 13:46
Подскажите, пожалуйста, как лучше защитьт бэкапы, которые на NASe хранятся? NAS присоеденен к серверу по iSCSI.  А то что - то страшно стало после прочтения этой темы.
   zak555
 
80 - 12.10.17 - 13:48
(79) в теневую копию
   H A D G E H O G s
 
81 - 12.10.17 - 13:48
(76) Можно подробнее?
   Йохохо
 
82 - 12.10.17 - 13:49
(79) писать в одну папку, а потом перемещать а папку которая ro
(80) писатель
   zak555
 
83 - 12.10.17 - 13:51
(82) всех моих пользователей, которых посетил шифровальщик, помогли теневые копии
   LenaAt
 
84 - 12.10.17 - 13:58
(83) админ сейчас сказал, что сейчас шифровальщики рушат механизм теневых копий перед тем, как зашифровать все данные
   DGorgoN
 
85 - 12.10.17 - 14:46
(84) Ну это новые, все которые встречались не рушили.
   Fish
 
86 - 12.10.17 - 14:48
(85) Да всё проще: чтобы порушить что-то серьёзное (кроме файлов, доступных пользователю), шифровальщику нужны админские права. Естественно админ, который допустил подобный косяк, будет валить всё на вирус :)
   Йохохо
 
87 - 12.10.17 - 14:52
(85) подхватывать только старые вирусы еще сложнее
   Numerus Mikhail
 
88 - 12.10.17 - 14:54
   mehfk
 
89 - 12.10.17 - 14:59
   mehfk
 
90 - 12.10.17 - 14:59
И в именах файлов, отображаемых проводником винды это, черт попери, тоже работает.
   Fish
 
92 - 12.10.17 - 15:10
(90) А не надо проводником смотреть. А против того же ФАРа уже не канает: http://i91.fastpic.ru/big/2017/1012/55/e3c97dfb4b5abd4d2ed135a15710cd55.jpg
   Мыш
 
93 - 12.10.17 - 15:12
Нужно по старинке писать бэкапы на магнитную ленту. Туда шифровальщик не залезет.
   mehfk
 
94 - 12.10.17 - 15:13
(92) Фар в качестве почтового клиента особо не поиспользуешь.
   Fish
 
95 - 12.10.17 - 15:15
(94) Ну проводник тоже на почтовый клиент не похож, а в (90) про него речь была. И разве нельзя резать ещё на стадии почтового сервера, чтобы не пользователь глазками выглядывал, а он сам такие письма срубал?
   Радим1987
 
96 - 12.10.17 - 15:15
300 баксов
   mehfk
 
97 - 12.10.17 - 15:15
   Numerus Mikhail
 
98 - 12.10.17 - 15:16
(96) Всего-то? Соглашайтесь
   Fish
 
99 - 12.10.17 - 15:17
(98) Кинут же, скорее всего :)

  1  2   

Список тем форума
Рекламное место пустует Рекламное место пустует
ВНИМАНИЕ! Если вы потеряли окно ввода сообщения, нажмите Ctrl-F5 или Ctrl-R или кнопку "Обновить" в браузере.
Тема не обновлялась длительное время, и была помечена как архивная. Добавление сообщений невозможно.
Но вы можете создать новую ветку и вам обязательно ответят!
Каждый час на Волшебном форуме бывает более 2000 человек.
Рекламное место пустует