Реальная история с вирусом шифровальщиком и NAS
В этом бложике многие посты, связанные с NAS, отличаются бурной жизнью. Плюс в личку камрады пишут. Хочу по мере сил наиболее интересное для других выносить наверх. Сегодня история от 
Антон Кузнецов, в которой вовремя настроенный механизм автоматических снапшотов (ака слепков) спас несколько гигабайт инфы и полкило нервов.
"Организация у нас не большая, денег на покупку антивирников не выделяли. Жили себе спокойно до одного прекрасного момента. В этот прекрасный день сотрудник обнаружил на одной из шар в каждой папке текстовый файл. Содержание гласило, что все файлы будут зашифрованы через 3 дня. В папках создались копии файлов с разрешением *.Just. Стало ясно, что это разновидность шфровальщика.
Proliant MicroServer Gen8 G2020T, NAS4FREE Embedded на microsd, Raidz1 на 4шт Western Digital Red. 6 датасетов и столько же CIFS/SMB общих ресурсов. У каждого пользователя разные права доступа на шары. Автоматические слепки каждый день и хранятся 30 дней.
Дальнейшие действия:
1) Отключаем от сети сервер.
2) Зарубил весь интернет (Блокировать все, кроме сайтов из белого списка)
3) На каждой рабочей станции был запущен drweb curelt
4) Теперь надо проверить файловый сервер (шары) не подключая к общей сети. Берется чистый ПК или ноутбук (в нашем случае), свитч и соединяем сервер с ноутбуком через свитч. Подключаем зараженные шары и запускаем проверку антивирусом. Проверяли eset smart security, нашел он Win32/Filecoder.BM. Было заражено две шары 350Gb и 40 Gb. Полностью удалили всю информацию с них.
5) Копируем вчерашний слепок шары. Ура!!! Все информацию цела.
6) Теперь как быстро восстановить информацию. Копировать через вебгуй стандартным файловым менеджером у меня не получилось, почему то он скопировал не все каталоги. Подключая с виндовой машины шары копия нашего слепка не отображается (видимо доступ есть только с сервера). Ставим mc, заходим по ssh и копируем инфу с нашего слепка в нужную шару.
Вот так мы и отделались легким испугом)
Теперь закупаем антивирусники и следим за раздачей интернета."
Антон Кузнецов, в которой вовремя настроенный механизм автоматических снапшотов (ака слепков) спас несколько гигабайт инфы и полкило нервов.
"Организация у нас не большая, денег на покупку антивирников не выделяли. Жили себе спокойно до одного прекрасного момента. В этот прекрасный день сотрудник обнаружил на одной из шар в каждой папке текстовый файл. Содержание гласило, что все файлы будут зашифрованы через 3 дня. В папках создались копии файлов с разрешением *.Just. Стало ясно, что это разновидность шфровальщика.
Proliant MicroServer Gen8 G2020T, NAS4FREE Embedded на microsd, Raidz1 на 4шт Western Digital Red. 6 датасетов и столько же CIFS/SMB общих ресурсов. У каждого пользователя разные права доступа на шары. Автоматические слепки каждый день и хранятся 30 дней.
Дальнейшие действия:
1) Отключаем от сети сервер.
2) Зарубил весь интернет (Блокировать все, кроме сайтов из белого списка)
3) На каждой рабочей станции был запущен drweb curelt
4) Теперь надо проверить файловый сервер (шары) не подключая к общей сети. Берется чистый ПК или ноутбук (в нашем случае), свитч и соединяем сервер с ноутбуком через свитч. Подключаем зараженные шары и запускаем проверку антивирусом. Проверяли eset smart security, нашел он Win32/Filecoder.BM. Было заражено две шары 350Gb и 40 Gb. Полностью удалили всю информацию с них.
5) Копируем вчерашний слепок шары. Ура!!! Все информацию цела.
6) Теперь как быстро восстановить информацию. Копировать через вебгуй стандартным файловым менеджером у меня не получилось, почему то он скопировал не все каталоги. Подключая с виндовой машины шары копия нашего слепка не отображается (видимо доступ есть только с сервера). Ставим mc, заходим по ssh и копируем инфу с нашего слепка в нужную шару.
Вот так мы и отделались легким испугом)
Теперь закупаем антивирусники и следим за раздачей интернета."