164 ответов в теме

[Alkarian]

теперь будут делать бэкапы

[Алекс диГриз]

теперь будут делать бэкапы

ага, щаз.

Про эту хурму уже все и вся растрезвонились, что кроме как заплатить и смириться никто выхода не видит.

Через пару лет будут с гордостью говорить, что тоже сталкивались с этим криптошифровщиком и мериться суммами выкупа.

О способах противодействия и думать не станут, ибо столько людей налетало, никак не спасёшься (см пост выше про яваскрипт)

Сообщение отредактировал Алекс диГриз: 02 April 2015 - 0:27

[Tir]

Кстати можно дебильный вопрос, а что такое акронис?

Видимо это оно

и за веселые картинки поясните, я что то не понимаю что на них заскриншотено

Если я правильно уследил за разворачивающейся здесь драмой, первая картинка говорит нам, что винда не может смонтировать файловую систему раздела с образом, снятым с инфицированного винта. Последняя картинка кагбе намекает, что винда тут не причём, а дело в файловой системе, у которой запорчен бут. Видимо криворукий одмин с пятью нулями решил быть последователен в своей криворукости и криво снял образ с инфицированного винта.

Сообщение отредактировал Tir: 02 April 2015 - 0:38

[Morozec]

Не совсем понимаю наездов на админов и вычет из зп.

Если ты сидишь в конторке на 15 человек, то, вероятно, ты можешь обеспечить 100% безопасность всей информации(хотя за "всей" я сильно сомневаюсь).

Если у тебя 200-300 пользователей, то следить чтоб ни у кого не пропали "фоточки с ебипета" - просто безумие.

и отвечать за это рублем как бы тоже не фонтан.

а у тебя такие файлы открывает по 15 человек ежедневно из почты, просто потому что этому кренделю ничего не будет за это. Он просто возопит о помощи, скажет что письмо пришло из доверенного ящика и будет ждать что сейчас ченить придумают и всё починится. Скидывать важную информацию на защищенное хранилище ? не, не надо, админ за всё ответит. Очень крутой выход в любой ситуации отштрафовать админа. Только толку от этого не будет.

 

Проблема не в админе как таковом. Проблема во всех сразу, начиная с директора заканчивая уборщицей.

Правилам работы с критически важной для бизнеса информацией должны следовать вообще все. руководство должно быть вовлечено на всех этапах, начиная от разработки правил и организации хранения этих файлов, заканчивая контролем исполнения. Под это банально должны выделяться средства, нужно выделять время и обучать сотрудников типа "вот смотри "акт сверки" пришел с левого ящика аля asd23@a23s.sd ты его ждал ? нет ? отправь на проверку админам! в любой не понятной ситуации обратись за помощью ДО того как ты это сделаешь!".

И тут ответственность делиться ровно, открыл письмо и у тебя похерилась на компе критически важная инфа ? и она не была занесена в защищенное хранилище ? за расшифровку платит пользователь.

занес все файлы на защищенное хранилище и их не восстановить ? тогда админы.

Критически важная информация для бизнеса хранится на компе пользователя и не бекапится годами. этож аще капец.

 

Не удивлюсь что вложения в ИТ заканчиваются зар. платой админа, который, помимо всего прочего. брат жены племянника гендира и по общесемейному мнению отлично разбирается в компьютерах.

Сообщение отредактировал Morozec: 02 April 2015 - 6:50

[Mersia]

Тюю, что за глупости. Админу платят 5 нулей, он с голоду не умрет если ему не заплатят зп 1 раз. А вот качество его работы после этого сразу будет соответствовать его зарплате.

Как раз его зп должно хватить на выкуп. Я серьезно, тут и волки сыты и овци целы

Если там реально Аллах-Бабах на фирме, и конец света, то что еще поделать кроме как дать выкуп?

 

ТС, прошло несколько дней, что решило делать руководство фирмы?

Сообщение отредактировал Mersia: 02 April 2015 - 6:24

[Infine]

Расшифровывать - тухлый номер.

Раньше эти чудики мастерили криптоалгоритмы на коленке, и тогда всякие докторвебы предлагали дешифровщики.

Но последние пару лет они берут стандартные тулзы и ключик подлиннее.

 

Так что бэкапы + шадоу копи + политика на запрет запуска всего и вся из юзерпрофайла. Всяким хромым и прочим дубльгисам, любящим ставить бинарники в %APPDATA%, можно прописать исключения по пути или сертификату, которым бинарник подписан (последнее не работает для всяких кривых околобухгалтерских поделий, потому что они часто неподписанные).

[Mersia]

Расшифровывать - тухлый номер.

Раньше эти чудики мастерили криптоалгоритмы на коленке, и тогда всякие докторвебы предлагали дешифровщики.

Но последние пару лет они берут стандартные тулзы и ключик подлиннее.

 

Так что бэкапы + шадоу копи + политика на запрет запуска всего и вся из юзерпрофайла. Всяким хромым и прочим дубльгисам, любящим ставить бинарники в %APPDATA%, можно прописать исключения по пути или сертификату, которым бинарник подписан (последнее не работает для всяких кривых околобухгалтерских поделий, потому что они часто неподписанные).

Еще, в качестве решения, можно поставить блок на получение писем с прикрепленными архивами и скриптами

[Infine]

Еще, в качестве решения, можно поставить блок на получение писем с прикрепленными архивами и скриптами

Это бухгалтерия. У них работа такая - получать письма с прикрепленными архивами и пытаться открыть содержимое.

[Karmael]

как много нового узнаешь о работе бухгалтера. ивруч, - познавательный.

[vmarkelov]

как много нового узнаешь о работе бухгалтера. ивруч, - познавательный.

Воспоминания из славной админской молодости: сижу на работе, никого не трогаю, примусы починяю. Бздыньк - нотификатион: Пользователь такая-то пыталась запустить вирус такой-то. Вирус обезврежен. Ну че, бывает. Бздыньк - опять. Та же мадам, то же вирус. Бздыньк, бздыньк.... Встаю, иду, прихожу. Мадам смотрит на меня:
- Ой, как хорошо что ты пришел, а то у меня тут вирус не открывается.
- О_о?!! Это как?
- Ну вот смотри: пришло письмо - и показывает мне письмо с запароленным архивом, заботливо помеченное сервером в теме как "Возможно вирус. Не трогать, обратиться к админам: тел 1234". Пароль в теле письма.
- Я его открываю (открывает архив, вводит пароль), запускаю (где-то у меня в комнате раздается очередной бдзыньк) и ничего не происходит. Какой же это вирус, если ничего не происходит?!!
<лицо-рука.JPG>

[XenonCorp]

Воспоминания из славной админской молодости: сижу на работе, никого не трогаю, примусы починяю. Бздыньк - нотификатион: Пользователь такая-то пыталась запустить вирус такой-то. Вирус обезврежен. Ну че, бывает. Бздыньк - опять. Та же мадам, то же вирус. Бздыньк, бздыньк.... Встаю, иду, прихожу. Мадам смотрит на меня:
- Ой, как хорошо что ты пришел, а то у меня тут вирус не открывается.
- О_о?!! Это как?
- Ну вот смотри: пришло письмо - и показывает мне письмо с запароленным архивом, заботливо помеченное сервером в теме как "Возможно вирус. Не трогать, обратиться к админам: тел 1234". Пароль в теле письма.
- Я его открываю (открывает архив, вводит пароль), запускаю (где-то у меня в комнате раздается очередной бдзыньк) и ничего не происходит. Какой же это вирус, если ничего не происходит?!!
<лицо-рука.JPG>

 

при запуске чернобыля тоже поначалу ничего особого не происходило

[moonjasper]

Насколько я понял, он снимал посекторный образ с дефолтными настройками Acronis. А оно, как мне пояснил друг, использует алгоритм архивирования. Кроме того, MFT и MBR оказались убитыми настолько, что перенарезка их с сохранением всех данных оказалась невозможна. Даже глубокое поцилиндровое сканирование в течение нескольких часов не обнаружило остатков файловых таблиц в неразмеенной области. Кое-что все же получилось восстановить. Но это было не то, что лежало в архиве образа.

Мужики, извините за тупой вопрос, но если воткнуть зараженный винт и сканировать его с помощью R-Studio или NTFS GetDataBack, то при этом скриптец этот зловредный не запустится? А то у меня дом бэкапов-то нету, а потерять еще и мои данные было бы былинным отказом.
 

 

и за веселые картинки поясните, я что то не понимаю что на них заскриншотено

 

На картинках показано, что операционная система видит на 1 физическом диске 2 как бы логических, но одни поврежден, а второй отсутствует напрочь.

[vileninuljanov]

moonjasper, обычно для этого используется отдельный системник. Но если припёрло, то отключаешь свои винты, и только потом подключаешь и чо то там делаешь. Перебздеть ещё никому не мешало.

Ващет кстати видит тока один логический раздел. Вызвано это тем что раздел который скопировали с винта меньше чем объём диска куда записали. "Это норма." цопирайт елена малышева.

[Karmael]

чудесна и удивительна жизнь уиндуз пользователей.
я из ваших пояснений не понял ничего.

Конечная цель жизнидеятельности акрониса,- файл образа или патриция на диске? что бы там нибудь это акронис, почему вы открываете образ не тем в чем он сделан, раз уж любите очень странные форматы?

[moonjasper]

Посекторный образ — это разве не файл с расшинерием *.hex или с подобным?

[Hlad]

Мужики, извините за тупой вопрос, но если воткнуть зараженный винт и сканировать его с помощью R-Studio или NTFS GetDataBack, то при этом скриптец этот зловредный не запустится? А то у меня дом бэкапов-то нету, а потерять еще и мои данные было бы былинным отказом.

Не запустится

[moonjasper]

Конечная цель жизнидеятельности акрониса,- файл образа или патриция на диске? что бы там нибудь это акронис, почему вы открываете образ не тем в чем он сделан, раз уж любите очень странные форматы?

Акронис — это программа восстановления из образа. А мне нужно внутри этого образа поискать следы удаленных файлов. Акронис так не умеет, вроде. И у меня его нет. Но есть утилитка, спасавшая не раз.

[vileninuljanov]

Акронис — это программа восстановления из образа. А мне нужно внутри этого образа поискать следы удаленных файлов. Акронис так не умеет, вроде. И у меня его нет. Но есть утилитка, спасавшая не раз.

Если это бэкап от акрониса, то попробуй развернуть на заведомо чистый винт и там поискать.

[Karmael]

Что происходит в этом треде!? Немедленно прекратите

Давайте начннем с начала.
образ снимался с диска или с патриции?
размер партиции и диска изначальные можно узнать? Картинки может быть обретут смысл.
на выходе получился файл? Во внутреннем формате этого самого акрониса?

[vileninuljanov]

Онанизм здесь происходит. Но почему бы и нет?