Клиент подцепил шифровальщика...
Классика жанра: пришло письмо, от якобы организации, в вложении - zip, в zip'е - "накладные и PDF.exe".
Ну и содержание стандартное: ваши документы переслали к нам, посмотрите, бла-бла-бла...
Бухгалтер открыла зип, потом - то что в зипе.
"Оно не открылось, поэтому я попробовала открыть его на другом компьютере".
На том, где базы 1С и "СБИС++".
Там тоже не открылось.
"А потом все пропало, все мои документы изменили цвет и название и перестали открываться, а на рабочем столе у меня теперь Сноуден, а под его фото по-украински написано, что он вернет нам данные за 200 долларов. Я ещё там ответила, пыталась узнать, кто одни такие, и что за накладные".
- да, говорю, пригрели на груди змеюку, а он вон как теперь с нами…
И перешел к разбору полетов.
- зачем, говорю, тупая ты пизда, открывать всякую хрень, присланную не пойми кем? Ведь понятно, что это не Word, не Excel, не
PDF, расширение у него - exe, зачем такое запускать?
- ну это вам понятно, а я откуда знала? И антивирус же есть…
- антивирус работает по сигнатурам. По описаниям, то есть. Если у вас свежак, которого еще нет в базах - антивирус не среагирует.
И прочел ликбез по основам безопасности. Может, что-то запомнят. Хотя вряд ли, конечно.
Потом подумал: это я смотрю на все через окошки Total Commandera, а пользователь смотрит файлы через проводник, в котором, зачастую, включена опция "не показывать расширения для известных типов". И если doc и xls обычно открываются MS Office, это стандарт де-факто, и имеют иконки Word и Excel, то PDF может открывться разными приложениями, и иконки тожк могут быть разными.
Ладно.
NOD32, судя по логам, определил заразу в памяти, но то ли не смог прибить, то ли пользователь ему сказал "пропустить!".
В общем, на втором ПК тоже все зашифровано - и документы, и базы 1С.
Итог: на втором ПК бэкапились базы 1С, а, заодно и "рабочий стол" с "документами" - самые популярные места для хранения документов у бухгалтеров. Взял себе за правило автоматически бэкапить эти папки после первых атак шифровальщиков, и это не раз меня выручало.
Удалил зашифрованные базы и документы, залил последнюю копию из бэкапа. На обоих машинах запустил на проверку свеженький Cure IT. Вряд ли он чего найдет, но все же…
Upd: нет, ничего не нашел.
На первом ПК все хуже - документы в помойку, жизнь с чистого листа. Поврежден MS Office, при попытке открыть что-нибудь запускается установщик MS Office.
Клиенты в шоке, бухгалтер пьет валерьянку. Админа нет, я там иногда делаю разовые работы, по необходимости.
Они бы, может, и заплатили за расшифровку, но Mail.ru любезно известил о том, что ящик, предлагаемый вымогателем для связи, заблокирован.
Фото Сноудена убирать не стал. Так он и смотрит на бухгалтера с немым укором…
Все как всегда. Вымогатели рассылают вирусы, пользователи их запускают, администраторы вытирают сопли (хорошо, если не жопы) пользователям, отдел "К" ловит экстремистов на форумах. Все при деле.
Надо "Вебу" заслать экзешник вируса.
В общем, делайте бэкапы. Сейчас масса и платного и бесплатного софта для этого, от "так себе" до очень хорошего. Не храните архивы в zip: они тоже атакуются.
На файловых серверах - рулит разграничение доступа и поражение в правах, вплоть до введения полного "гестапо", как было изящно сформулировано в одной статье.