Вирусы шифровальщики

[IT26]

Доброго времени суток!

Я тут новенький. Коллега подсказал этот ресурс, спасибо ему. Простите если ниже озвученная информация будет дубликатом. Весь форум читать пока нет возможности и желания!

Пару недель назад, два клиента словили шифровальщиков, итог работы их, шифровальщиков, такой - система вроде и работает, но ни один файл/программу открыть/запустить не возможно (1С шифруется на раз), к каждому имени файла добавлено циферков и букв, в расширении каждого файла, что то новое. Как правило в каждой папке с зашифрованными файлами есть текстовый файл с текстом на английском куда отправить просьбу о расшифровке, обычно выглядит так

all your data has been locked us You want to return?
write email ххx@хххх.хх

Собственный опыт борьбы с этой заразой:
1. ЛЮБОЙ антивирус - 100% гарантии не даст (они умеют лечить только то, что знают). Для неверующих - попробуйте к архиву winZip добавить пароль хотя бы из 10 символов. Кто его, пароль, подберет - лично дам штуку баксов!  И какой антивирус на это среагирует?!
2. Новая разновидность шифровальщиков этого, 2019, года - из разновидности Crusis - HARMA/DHARMA/EBOLA как правило эти слова и есть расширения зашифрованных файлов, после оригинального имени файла обычно присутствует уникальный ID номер, по которому авторы заразы за энную сумму баксов подберут/дадут/продадут ключик для расшифровки.
3. В зараженном компьютере в папке автозагрузки присутствует как минимум один экзешный файл.
4. С зараженного компьютера вирус пытается зашифровать все, что находится на ПК и в открытом доступе в локальной или VPN сетке.
5. Как он попадает? По RDP с простыми паролями и со стандартным портом 3389, через почту (аля я с налоговой, вы нам должны), через "я тут качнул бесплатно кино и активировал винду".

Если все таки словили шифровальщика:
1. отключить зараженный ПК от сети и интернета, как его опознать точно сказать тяжело, если на ПК появляются новые учетные записи, я про винду, сразу стоит насторожиться.
2. с чистого ПК зайти на ресурс https://www.nomoreransom.org/crypto-sheriff.php?lang=ru и в разделе "Крипто-шериф" отправить пару зашифрованных файлов, если Вам повезет, то можно подобрать расшифровщика (декриптора).
3. воспользоваться ранее сохраненным бэкапом данных/системы.

Меры предосторожности:
1. Резервные копии - это самое надежное, хоть данных хоть системы в целом, копия системы лучше, восстановить быстрее получится.
2. В винде ставить антивирусник и включать брэндмауер, не отключать контроль учетных записей. Я тут читал на форуме, что для установки UTM ЕГАИС надо отключать БМ, чушь полная (ну почитай справку и разреши порты или приложения через БМ.... спать спокойней будешЬ), ставится он нормально и с включенным БМ при условии нормальных дров на носители КЭП.
3. Если без RDP работать не можете, делайте нестандартные порты на RDP после инета, + километровые пароли на RDP, Любителям VPN также стоит грамотно построить структуру открытых ресурсов.
4. как пример использовать недорогое резервное хранение на решениях от WD MyCloud хотя бы. НЕ РЕКЛАМА.

В итоге про зараженность двух клиентов:
1. первые потеряли только одну базу 1С, и то восстановили ее с месячной резервной копии. Этот клиент использовал резервирование данных на внешний HDD, когда вирус начал действовать спохватились не сразу, потому одна копия одной из баз 1С была зашифрована. Отключив внешний HDD спасли все остальные резервные копии. В данном случае было расширение на зашифрованных файлах EBOLA.
2. вторые потеряли УВЫ все, расширение зашифрованных файлов было уже HARMA, бэкапов не было, два магазина были связаны по OVPN (через Padavan) + RDP с простейшим паролем. На OVPN грешить не надо, у связанных по OVPN были папки с базами расшарены, тем более с полными правами. Данным товарищам пришлось делать полный переучет в чистые базы 1С в двух магазинах. Благо кассовые ПК были без обще доступных ресурсов, на время восстановления кассы работали с ранее загруженной базой товаров. Хотя.... они наконец то и навели у себя порядок в учете!!!

Тут, наверное, может возникнуть вопрос - а ты куда смотрел? Ответ - за одну сумму - я буду подсказывать, чем то помогать и рекомендовать, а рекомендации были и не раз.... За другую сумму я буду сам отслеживать, что там и где происходит.

Ради эксперимента, я с вновь созданного почтового ящика отправил просьбу о предоставлении расшифровки данных с текстом - я русский, мол и так под санкциями, денег нема, помАгите бесплатно - ответ пришел через пару часов (походу от индуса), где была просьба отправить один из зашифрованных файлов размером не более трех мегабайт. Что я и сделал, отправил зашифрованный вордовский файл. Примерно через сутки пришел ответ со скриншотом открытого файла. В тексте письма была информация - по вашему ID зашифрованного файла, мы оценили восстановление ваших данных в сумму 3000$, если на указанные реквизиты в биткоинах средства не поступят к нам в течении 24 часов сумма за восстановление ваших данных будет ОТ 5000$.  тут, кстати, можно предположить, что в момент шифровки файлов, при подключенном интернете, им (мошенникам) сливается информация об объеме зашифрованных данных. Понятно, что я им платить ни чего не собирался, через две недели сумма за расшифровку с 3000$ упала до 500$..... Выводы делайте сами.

Для информации - есть теперь новый вид "бизнеса" (есть в сети такие "помогатели") - мы расшифруем ваши данные, только эти товарищи просят предоставить им зашифрованный файл и информацию куда отправлять запрос о расшифровке, а так как они выступают посредниками с определенными скидками,  они делают то же самое, что могли бы и вы при оплате мошенникам.

Но к сожалению слишком много историй с выплатами мошенникам заканчиваются так - мы отправили деньги, а они проанализировав объем данных попросили еще столько же....

Если у кого то есть информация по защите от данной заразы предлагаю делиться!

[PuRGen]

Тема не совсем профилная для данного форума, но актуальная.
Какая защита? Только бакапы, при чём такие, куда зараза не дотянется.
Как так можно? Например отдельный сервер бакапов забирает себе снимки дисков, копии виртуальных машин и.т.п. куда у самих компов доступа нет. Отправка резервных копий в хранилища, куда рабочей системе разрешена только запись и чтение, но не изменение и удаление..... думаю смысл ясен.

[IT26]

Можно облачность хотя бы гугла или подобных использовать, если объемы вменяемые. В данном случае надо брать во внимание скорострельность передачи данных при местном интернете. Понятно что на гугло или подобное облко зараза не залезет, н надо понимать, что бесплатно в таких облаках только одна копия хранится. А если уже туда залили зашифрованную копию....

Кстати очень полезная вещь это - теневые копии винды, если на любой файл ткнуть пкм/свойства то через вкладку "Предыдущие версии" можно вытянуть ранний вариант файла. Но это надо предварительно настроить.

К примеру https://xakep.ru/2016/05/09/faq-windows-shadow-copy/

[drfaust]

Если у кого то есть информация по защите от данной заразы предлагаю делиться!

Как-то у каспера или веба(не помню) была такая бесплатная услуга. Им надо тело шифровальщика(на форуме подсказывают как его найти) и несколько зашифрованных файлов. Иногда (далеко не всегда) они могли предоставить декриптор. Естественно вся инфа об этом шифровальщике тут же попадает в их БД.
При этом если учуяли шифровальщика не прогонять антивирем систему - тело шифровальщика будет уничтожено и никто уже не поможет.

Ну а так - под виндой только бэкапы. БД 1Сок и нужные файлы лучше хранить на отдельном сервере с хорошим парольным доступом (SAMBA уже намного лучше чем когда-то и более менее устойчива).
А по 1Ске - так вообще терминальный сервер зарядить на к-либо линухе. Но это всё деньги, а клиент платить не будет пока не останется без зарплаты (1С бух), клиент-банков и т.п.

З.Ы. Тут вспомнилась клиентша. 1С Розница. Зарядил через батник архивацию БД на соседний веник и последующую отправку в облако. Сказал что бы раз в неделю перед уходом домой запускали этот батник. Они всё аккуратно записали в тетрадочку. И что? прихожу полгода спустя - последняя копия только моя, когда показывал/рассказывал. Ну ладно, оживил БД, данные не потерялись, сделал бэкап (проверить, вдруг в батнике "что-то пошло не так") - всё работает...

[PuRGen]

IT26, Я не про облачность в модном понятии майлов и прочих яндексгуглодисков, я про виртуализацию на предприятии.
в понятии народном, бакапы в папку типояндексодиска с синхронинизацией только туда и запретом перезаписи. Но тут чистить хвосты уже другим способом и с доступом на удаление с другого компа.

[Master X]

Всё это лажа. Не использовать виндовс!
На работе поймали. С полгода назад. ФорматЦэ
Кашпировкий фри...

[Master X]

И всё куда без пароля(ВСЁ полегло) -сетевые диски.

[Master X]

Хорошо, что ключи и всякое повесили на меня. Каждый месяц делаю бэкапы на *rar с паролем. И не храню на компе ключи.
П-пох.ер на все ваши вируы. Б-бздю.
А в целом. Защитник Шиндовс не помог, вроде по дефолту стоит.?

[geodile]

лет пять назад несколько знакомых попадали под шифровку.
через суппорт лицензионного др.веба отправлял им пару мелких файлов с каждого компа,
они через некоторое время присылали утилиту для восстановления по каждому случаю.
все сработало нормально.

[IT26]

PuRGen
Я понял, мелкомагазины тут вылетают, они начинают вкладывать деньги когда петух клюнет так, что зашивать долго приходится!

drfaust
Не поможет от новых версий заразы, увы, там тоже не д..., более складывается впечатление, что это новый вид заработка производителя антивирусного ПО. Обратное не доказано!

Master X
Не спорю, а теперь объясните это министерствам подвластным, а еще было бы полезно все таки обозначить - значимость итешника либо виндового либо линуксоидного, от к примеру закупщика работающего на госзакупках по 44фз

[IT26]

лет пять назад несколько знакомых попадали под шифровку.
через суппорт лицензионного др.веба отправлял им пару мелких файлов с каждого компа,
они через некоторое время присылали утилиту для восстановления по каждому случаю.
все сработало нормально.

Отправляли касперычу, ответ - вылечить поможем, расшифровать - НЕТ! При купленной лицензии. Опять делаем вывод - умеем лечить, что знаем!

[IT26]

Хорошо, что ключи и всякое повесили на меня. Каждый месяц делаю бэкапы на *rar с паролем. И не храню на компе ключи.
П-пох.ер на все ваши вируы. Б-бздю.
А в целом. Защитник Шиндовс не помог, вроде по дефолту стоит.?

А rar зашифруют?! Неееее только внешний бэкап!

[Master X]

Хорошо, что ключи и всякое повесили на меня. Каждый месяц делаю бэкапы на *rar с паролем. И не храню на компе ключи.
П-пох.ер на все ваши вируы. Б-бздю.
А в целом. Защитник Шиндовс не помог, вроде по дефолту стоит.?

А rar зашифруют?! Неееее только внешний бэкап!

А вот рар на почте. Сасай лалка!

[Master X]

И да, эти ваши шифровальщики по расширениям работают? А если без расширения? Или rar.666 ну тема понятна...

#МОМкПЌсвязь РПссОО10*…d
 вот так файл обозвать -сработает шифровальщик?

[PuRGen]

А вот рар на почте. Сасай лалка!

Как вариант для небольших объемов. Собственно об чем я и говорил, бакап туда, куда шифровальщик не дотянется.

[vvm]

Хорошо, что ключи и всякое повесили на меня. Каждый месяц делаю бэкапы на *rar с паролем. И не храню на компе ключи.
П-пох.ер на все ваши вируы. Б-бздю.
А в целом. Защитник Шиндовс не помог, вроде по дефолту стоит.?

fsa делай через снапшот лвм

[Master X]

Как итог. На лицензионном ПО должна быть защита. На халявном руки не из жопы у админов -остальные пусть страдают и платят!

[vvm]

неистово плюсую

[PuRGen]

Снапшот тема! А по олдсульному, поднять на отдельном компе  фтп только для записи/чтения, но не изменения или удаления и кидать бакапы туда.

[IT26]

И да, эти ваши шифровальщики по расширениям работают? А если без расширения? Или rar.666 ну тема понятна...

#МОМкПЌсвязь РПссОО10*…d
 вот так файл обозвать -сработает шифровальщик?

А чем отличается выше описанный набор символов от любого расширения? В первом посте описано, что система вроде работает, а все остальное нет. Загуглите результат работы вирусни из первого поста в этом году. Хотя бы сеть стоматологий в штатах. Они все на кмс активировались наверное.....

[Master X]

Это шиндовсы -там всё можно разрешить, а у вирусни прав больше чем у юзера -шиндовс мастдай!

[Master X]

Я по работе АТОЛ30Ф без админа не смог. Там ВСЁ заадминено кроме кассы. Шаг в лево Пароль и нихера не простой симвлов 30 или более. Смотрел за ним на клаве -абсолютный рандом!!!  А как он матерился за ВайВай на мерке, на грит. Спалю что кроме кассы... Про обслугу можешь забыть! Я естественно на мерке 22 заменил на что-то другое...

[NewKid]

И да, эти ваши шифровальщики по расширениям работают? А если без расширения? Или rar.666 ну тема понятна...

#МОМкПЌсвязь РПссОО10*…d вот так файл обозвать -сработает шифровальщик?

Вирусня нынча хитрая, проверяет сигнатуру файла, обзови хоть как а сигнатура скажет что это архив rar или 7z.
 
Зы У Акрониса есть зона безопасности - защищенный раздел который не видит система, куда акронис ложит файлы бекапа http://www.timosh.ru/safety-zone-acronis-.html

 

[mrrom]

Можно облачность хотя бы гугла или подобных использовать, если объемы вменяемые. В данном случае надо брать во внимание скорострельность передачи данных при местном интернете. Понятно что на гугло или подобное облко зараза не залезет, н надо понимать, что бесплатно в таких облаках только одна копия хранится. А если уже туда залили зашифрованную копию....

Кстати очень полезная вещь это - теневые копии винды, если на любой файл ткнуть пкм/свойства то через вкладку "Предыдущие версии" можно вытянуть ранний вариант файла. Но это надо предварительно настроить.

К примеру https://xakep.ru/2016/05/09/faq-windows-shadow-copy/

сетевые хранилища я делаю + dropbox + копия системы на винт. Ловил harma договорились за 300$ востанновили зашифровал все(облочнных храненний не было)
Думаю спасет виртуализация серверов если уж и словили шифровальщика, то убьется виртуальный сервер, а его копия будет жива.

[suslayer]

Если у кого то есть информация по защите от данной заразы предлагаю делиться!

Ограниченные права, SRP(App locker), бэкапы.

Хотя.... они наконец то и навели у себя порядок в учете!!!

Именно так это и работает, до момента Х всем совершенно пофиг на Ваши рекомендации, до следующего раза, ибо настроить бэкап != проверять что он работает.

Как-то у каспера или веба(не помню) была такая бесплатная услуга. Им надо тело шифровальщика(на форуме подсказывают как его найти) и несколько зашифрованных файлов. Иногда (далеко не всегда) они могли предоставить декриптор. Естественно вся инфа об этом шифровальщике тут же попадает в их БД.

При наличии лицензии действующей на момент заражения, больно много умных бежало сразу покупать самую бесплатную версию...

З.Ы. Тут вспомнилась клиентша. 1С Розница. Зарядил через батник архивацию БД на соседний веник и последующую отправку в облако. Сказал что бы раз в неделю перед уходом домой запускали этот батник. Они всё аккуратно записали в тетрадочку. И что? прихожу полгода спустя - последняя копия только моя, когда показывал/рассказывал. Ну ладно, оживил БД, данные не потерялись, сделал бэкап (проверить, вдруг в батнике "что-то пошло не так") - всё работает...

Это так не работает, если есть возможность нажать в кнопку "не нажимать", её нажмут. Все должно быть без участия пользователя.

Всё это лажа. Не использовать виндовс!

Что нужно использовать? Линупс? Что там у нас из торгового софта работает, и цену бы не мешало вспомнить...

А в целом. Защитник Шиндовс не помог, вроде по дефолту стоит.?

99% был выключен. К слову в windows 10, начиная с 1803 есть "контролируемый доступ к папкам", что и является один из ступеней защиты от подобного.

Не поможет от новых версий заразы, увы, там тоже не д..., более складывается впечатление, что это новый вид заработка производителя антивирусного ПО. Обратное не доказано!

Складывается впечатление что Вы пытаетесь переложить проблемы с больной головы на здоровую, не имея представление о том с чем столкнулись(читать ниже).

через суппорт лицензионного др.веба отправлял им пару мелких файлов с каждого компа, они через некоторое время присылали утилиту для восстановления по каждому случаю. все сработало нормально.

Отправляли касперычу, ответ - вылечить поможем, расшифровать - НЕТ! При купленной лицензии. Опять делаем вывод - умеем лечить, что знаем!

Расшифровывать поXORенные словом "ухо" файлы одно, расшифровывать RSA 4096 бит - совсем другое. Это к тому что первые шифровальщики криптографию с открытым ключом не использовали в принципе, оно и понятно, выполнится куда быстрее, современные же мощности позволяют делать это быстро даже на самых бюджетных машинах.

#МОМкПЌсвязь РПссОО10*…d
 вот так файл обозвать -сработает шифровальщик?

Это к вопросу о шиндовс, часто там наблюдаются такие user friendly имена? А вот в нешиндовс...

Зы У Акрониса есть зона безопасности - защищенный раздел который не видит система, куда акронис ложит файлы бекапа http://www.timosh.ru/safety-zone-acronis-.html

Штатные бэкапер от windows server делает тоже самое, история файлов в win8 и выше, умеет ходить в отдельный сетевой ресурс, не нужно даже ничего изобретать.

[NewKid]

Штатные бэкапер от windows server делает тоже самое, история файлов в win8 и выше, умеет ходить в отдельный сетевой ресурс, не нужно даже ничего изобретать.

Витя, захотел Виндовз Сервер, они тут хрен ложат на лицензию обычного Виндовз и 1Цэ. Покупают лицуху на вынь10про на ибай за 5$ или ваще ставят дигитал лиценз. Ты думаешь у нас в стране кто-то покупает лицензионный софт? Особенно виндовз и 1ЦЭ ? Это ускользающее меньшинство, хотя своим клиентам если делаю под ключ то ставлю все лицензионное, если комп сами берут то в 99% там пиратка.

[PuRGen]

Покупают лицуху на вынь10про на ибай за 5$

Чё так дорого? Там сервер 2016 дешевле стоит

[teh-as]

Пихаем 1С на postgre куда-нить на бсд, одномоментно решаем проблему "шифровальщиков" и создания бэкапов. Терминал, к сожалению, нифига не спасает, недавно прибежали к нам с квадратными глазами "што-та 1с не запускается", оказалось умный обновляльщик 1С затащил вирус прям на сервак, в трубу улетели и все шары на этом сервере )) Шары пихаем на ту же бсд, в бсд монтируем NAS`ы. Если религия позволяет, строим инкрементные архивы самого нужного (а не фоток из турции). У себя в офисе такую систему состроил, живет 6 лет, шифровальщиков не боимся ))

[IT26]

suslayer, при встрече пожму руку, но проблем не перекладываю, решение ПРОЧИТАННОЕ НИЖЕ не помогло. Я не спорю, к первому посту можно приладить сообщение - сам дурак не предугадал. Люблю поговорку - знал бы прикуп........

[Slava]

/// Расшифровывать поXORенные словом "ухо" файлы одно, расшифровывать RSA 4096 бит - совсем другое. Это к тому что первые шифровальщики криптографию с открытым ключом не использовали в принципе, оно и понятно, выполнится куда быстрее, современные же мощности позволяют делать это быстро даже на самых бюджетных машинах.

 Позволяют делать что ? Шифровать или расшифровывать?
Как то круто 4096 .
Хотя краем уха слышал , что RSA уже не в тренде , и все перешли на эллиптические кривые .
Вроде там ключ короче , а выхлоп больше .
Вот номер стандарта не помню , если честно .

[drfaust]

Это так не работает, если есть возможность нажать в кнопку "не нажимать", её нажмут. Все должно быть без участия пользователя.

Да тоже хотел запихнуть в автомат. Штатное 1Сочное - тормозит, архиватор шустрее. Сначала зарядил при первом запуске 1Ски - ноют долго. Комп на ночь вырубается (вырубает его кассирка, закрывая магаз в офисе), причём кассирки постоянно "кочуют" с точки на точку, когда бэкапить (расписание) - х.з. 1Ску почему-то держат постоянно включенной (а значит и файлы бд залочены)... Ну они не на ТО - ССЗБ...
Всё делалось с минимальным бюджетом.

Пихаем 1С на postgre куда-нить на бсд, одномоментно решаем проблему "шифровальщиков" и создания бэкапов.

Это отдельный комп и его настройка - жаба мелко-средних клиентов душит подобное сооружать.
Крупные своих ITшников имеют.

З.Ы. А так, стоило тут про шифровальщики пописать как полезла гуглореклама "https://deshifro.wixsite.com/site?yclid=5839903716913481734" всего-то за 15 килорублей, что сопоставимо со стоимостью шантажа. Может они их и распихивают?

[Slava]

Не херня это всё никто не расшифрует  .
Пример выше про ксор с" ухо" .
Есть такое понятие " критерий завершенности " .
Допустим мы тупо заксорили строку и объявили - "Каждый  " элемент в строке тупо ксорится
с некоторым  однобайтным числом .Всего имеем 255 вариантов .
Первый случай, объявляем , что зашифрована фраза на русском языке ( английском , французском .. и т.д)
Заиписьки , после перебора 255 вариантов мы выбрали тот , который выдал осмысленную фразу .
Теперь задача усложнется . Человек говорит , я загадал 64 цифры , поксорил каждую с неизвестным числом.
Результат на табло . Какое число я загадал ?

Да хз какое ты число загадал и никому нах не надо его угадывать .
То есть Касперски утверждает , что не зная ни алгоритма злодея , ни содержимое файла он размотает
обратно ?

[suslayer]

Витя, захотел Виндовз Сервер, они тут хрен ложат на лицензию обычного Виндовз и 1Цэ.

Как это влияет на работу озвученных механизмов?

Ты думаешь у нас в стране кто-то покупает лицензионный софт? Особенно виндовз и 1ЦЭ ?

Это не относится к теме топика, но отвечу. Думаю да, а лицензии не покупают ровно до того момента пока существует возможность пользоваться софтом не покупая его. При этом ключевым фактором для покупки может быть не какая нибудь проверка или отсутствие кряка, а страшное неудобство. Тоже однострадание с каждым релизом гайки закручивает все сильнее, и уже сейчас не купив итс в той же говнорознице ты будешь каждые 10 минут в РМК наблюдать "введите регистрационную информацию", с кнопочками "ввести" и "закрыть". Казалось бы можно пользоваться, только жми каждые 10 минут в кнопарь, но на второй день ты понимаешь что пользоваться этим невозможно и покупаешь итс.

решение ПРОЧИТАННОЕ НИЖЕ не помогло

Вы видимо не поняли смысл, я пытался Вам объяснить разницу почему некоторые виды шифровальщиков расшифровывают вирусные лаборатории, а некоторые нет, дабы не возникало глупых на мой взгляд домыслов о том что разработкой этого занимаются сами антивирусные лаборатории.

Позволяют делать что ? Шифровать или расшифровывать?
Как то круто 4096 .
Хотя краем уха слышал , что RSA уже не в тренде , и все перешли на эллиптические кривые .
Вроде там ключ короче , а выхлоп больше .
Вот номер стандарта не помню , если честно .

А всё, я в частности aes-ni имел ввиду. Насчет ECC все именно так, стандартов там великое множество и например secp521r1 ~ в 10-15 раз быстрее RSA 4096, следовательно возникает вопрос, почему не используют их? Ответ прост до безобразия, очень большое количество шифровальщиков покупается "конструктором" на нужных форумах, остается только вписать свой email/сервера, и в большинстве случаев это старые версии которые написаны еще с RSA.

То есть Касперски утверждает , что не зная ни алгоритма злодея , ни содержимое файла он размотает
обратно ?

Никто такого не утверждает, это домыслы автора поста которому я пытался разъяснить разницу.

[promah]

Лучший антивирус - прямые руки пользователя !



Все , CRASHеные базы умерли благодаря наивности самих юзеров  , либо их доверенных лиц - ибо нехрен всякое гавно на почте открывать , бизнесмены , прайсы зырели ... дозырелись .Упали базы безвозвратно все , кроме тех , что упали благодаря умершим винтам  и "SHUTDOWN NOW сцукоибыстрее ",потому как продавцам домой пора  , бывает, что системникам и с ноги прилетает ( вмятины на корпусе ....) , но такие тож как то удаётся поднять , восстановить ,а те ,первые , самонадеяные  -  вот у них вечно откатываем ,если есть на что .

[Chel]

вот еще один шаг к защите - заклей дыру в винде. https://habr.com/ru/company/solarsecurity/blog/451864/
опять обнаружена уязвимость RDP
словил намедни harma, посекло конечно, но не критично, быстро рубанул зараженный сервак. просто ПОВЕЗЛО
такое ощущение, что эта зараза в первую очередь пытается жрать 1С-ные базы и каталоги с названием 1С, что в общем-то логично, больше вероятности того, что денег заплатят.
изменение расширения файлов и имен не спасает! у меня зашифровал, видимо читает дескриптор. гаг-архивы тож пожрал. 1С-ные базы на скуле выжили просто потому что на отдельном серваке и без шар
удивило что ярлыки (xxx.lnk) зашифровал и файлы настроек сеанса пользователей NTUSER.dat 

[tridentxp]

гаг-архивы тож пожрал.

в винхексе файло проинвертируй. хрен какая малварь поймёт что там.

[promah]

вот еще один шаг к защите - заклей дыру в винде.

Нам за это не платят

[Master X]

Страдайте!

[drfaust]

Есть схема
БД под SQL держится на линуксе - ещё пока не знаю как раздаётся, надеюсь не через щару, потом стоит 1С-сервак на винде - клиенты терминалы...
Знаюшие люди - каковы шансы проебать БД в случае "прошаренного" шифровальщика?
Как рзадётся БД я не знаю, если обычная безпарольная самба - то от линух-сервера уже ничего не зависит...

[PuRGen]

Есть схема
БД под SQL держится на линуксе - ещё пока не знаю как раздаётся, надеюсь не через щару, потом стоит 1С-сервак на винде - клиенты терминалы...
Знаюшие люди - каковы шансы проебать БД в случае "прошаренного" шифровальщика?
Как рзадётся БД я не знаю, если обычная безпарольная самба - то от линух-сервера уже ничего не зависит...

Если база под SQL, то шара не нужна. Сервер баз 1с цепляется на порт SQL. Если сами на этом серваке шар не раздавали, то и шифровальщику там ничего не светит. Ну и SQL сервак на другой машине (физической либо виртуальной) должен быть.
У меня сейчас вообще по трем виртуалкам под vmware esxi разнесено. sql, сервер баз 1с и терминальный. сервак резервного копирования физически другой, он бакапит целиком виртуалки.

[NewKid]

Есть схема
БД под SQL держится на линуксе - ещё пока не знаю как раздаётся, надеюсь не через щару, потом стоит 1С-сервак на винде - клиенты терминалы...
Знаюшие люди - каковы шансы проебать БД в случае "прошаренного" шифровальщика?
Как рзадётся БД я не знаю, если обычная безпарольная самба - то от линух-сервера уже ничего не зависит...

1C Сервер можно подключить по tcp, mssql и postgres тоже работает по tcp.