synology.forum архив спільноти · 2005–2022
ai.synology.forum →
ГлавнаяОбмен Файлами: Windows, Mac OSX, Linux › RS2212+ был атакован трояном шифровальшиком

RS2212+ был атакован трояном шифровальшиком

boyscout · 04.08.2015

Уважаемые форумчане.

В предприятии стоит RS2212+ , есть общие папки для отделов со включенной корзиной. Одна сотрудница получила письмо с вирусом и запустила. Итог все эксели ворды и базы 1с защивровались. Может у кого был опыт?

polanat · 04.08.2015
Может у кого был опыт?

Уже обсуждалось -> http://www.synology.forum/index.php?s=&...ost&p=51549

 

PS Скорее всего Вам поможет только свежий бэкап ...

olegf2 · 24.08.2015
Одна сотрудница получила письмо с вирусом и запустила. Итог все эксели ворды и базы 1с защивровались. Может у кого был опыт?

 

Был такой опыт на работе год назад, денег вымогателям не перечисляли.

Причем закодировались суки ВСЕ файлы именно на общем сервере (и виндоус-офиса, и картинки, видео...)! :angry:

Наш админ отправил зашифрованные файлы (и образец с бекапа) в "Доктор Веб" и дня через три они ему дали дешифратор (?) с именно нашим алгоритмом.

Вообщем он раскодировал наш сервер обратно (те "зашифрованные" файлы остаются как дубликаты и удаляются "ручками")

Хотите - образец такого измененного файла могу прислать. ))

 

 

Самого волнует - если дома ребенку (на его компе) дать доступ только "на чтение" файлов с домашнего НАСа, то таких неприятностей ведь быть не должно??? :huh:

(если он скачает/откроет такой шифровальщик).

GrSnake · 24.08.2015
Самого волнует - если дома ребенку (на его компе) дать доступ только "на чтение" файлов с домашнего НАСа, то таких неприятностей ведь быть не должно??? :huh:

(если он скачает/откроет такой шифровальщик).

 

Не должно, если вирь не нацелен спецом на синолоджик, и не эксплуатирует какую либо дырку в нем.

polanat · 25.08.2015
Самого волнует - если дома ребенку (на его компе) дать доступ только "на чтение" файлов с домашнего НАСа, то таких неприятностей ведь быть не должно??? :huh:

(если он скачает/откроет такой шифровальщик).

Не поможет. Как правило, такие вирусы цепляют через электронную почту, запуская аттачи. Аттач, копируется во временную папку и запускается уже оттуда. Тут как-бы есть два этапа - до и после. Этап "до" - вполне понятен - не запускать ничего левого (в первую очередь реклама от спамеров, но и тут - рассылка может идти через взломанный почтовый ящек тех, кого Вы знаете). Этап "после" - это когда процесс шифрования уже начался - и вот тут чтобы убить процесс в зародыше Вам поможет нелюбимый многими десктопный клиент Cloud Station (или же всевозможные облачные сервисы синхронизации - Dropbox, YaDisk, ...) При этом желательно включить галку "Отобразить уведомления рабочего стола для событий файлов". Когда троян шифровальщик начнёт свою грязную работу - у вас на компе начнут всплывать уведомления о добавлении переименованных файлов. Ну а тут уже надо сразу даунить железо и обращаться к спецам.

 

PS Ну и понятно, что у критических данных должен быть полноценный бэкап (синхронизация - это не бэкап) - это как бы третий и самый важный этап "борьбы" (а точнее страховки) с энкодерами.

olegf2 · 28.08.2015
Не поможет...

 

Почему?

Ведь у пользователя только доступ на "чтение" файлов.

КАК вирус может получить доступ на их изменение? :huh:

 

 

SergeS · 28.08.2015
Почему?

Ведь у пользователя только доступ на "чтение" файлов.

КАК вирус может получить доступ на их изменение? :huh:

 

Никак, если этот вирус не использует дыру в синолоджи.

polanat · 29.08.2015
Почему?

Ведь у пользователя только доступ на "чтение" файлов.

КАК вирус может получить доступ на их изменение? :huh:

Потому что:

 

1. Домашняя сеть состоит не только из 2-х устройств (комп ребёнка - сино), а "внедрение вируса по сети через расшаренные ресурсы" ещё никто не отменял.

2. Даже если 1. - верно, то проникновение возможно через незакрытые уязвимости.

 

PS По-любому вирус начинает свою жизнь именно на компе, а уже потом проникает на сервер. Поэтому должна быть комплексная защита ВСЕХ устройств в локальной сети (хард/софт), соблюдение элементарных правил безопасности (человеческий фактор) и грамотная политика бэкапов...

Валидер · 08.12.2015
Потому что:

 

1. Домашняя сеть состоит не только из 2-х устройств (комп ребёнка - сино), а "внедрение вируса по сети через расшаренные ресурсы" ещё никто не отменял.

2. Даже если 1. - верно, то проникновение возможно через незакрытые уязвимости.

 

PS По-любому вирус начинает свою жизнь именно на компе, а уже потом проникает на сервер. Поэтому должна быть комплексная защита ВСЕХ устройств в локальной сети (хард/софт), соблюдение элементарных правил безопасности (человеческий фактор) и грамотная политика бэкапов...

подсказали недавно сканер для вирусов-шифровальщиков http://nabzsoftware.com/types-of-threats/vvv-file, никто не встречал?

бАБАРОБОТ · 18.02.2016
подсказали недавно сканер для вирусов-шифровальщиков http://nabzsoftware.com/types-of-threats/vvv-file, никто не встречал?

встречал, но это не совсем актуальный вопрос: такие вирусы, вообще-то, сами себя обнаруживают по самое "нехочу". Вод здесь http://sureshotsoftware.com/guides/teslacrypt-mp3/ кое-какие наработке по устранению последствий вторжения (дешифровка) и удалению вымогательского ПО с описанием последней версии TeslaCrypt. Но, по слухам, в СНГ вирус не распространяется, это скорее для США и Западной Европы.

Siroc-co · 19.02.2016
Уважаемые форумчане.

со включенной корзиной.

 

Одна сотрудница получила письмо с вирусом и запустила. Итог все эксели ворды и базы 1с защивровались.

 

Я в такую ситуацию не попадал, к счастью. Поясните мне, пожалуйста, каким образом так получилось, что файлы зашифровались, но при этом в корзине ничего не осталось? Зашифрованный файл имеет такое же имя, расширение и размер?

polanat · 20.02.2016

Уже говорили не раз - установка Cloud Station в том числе боковым эффектом помогает увидеть начало процесса шифрования (ну или задуматься о том что с файлом что-то неведомое происходит) ...

polanat · 23.05.2017
Datenreisender · 10.11.2017

хорошо что вы подняли эту тему. хоть и в 2015 году )))) а до сих пор актуально как видите. Ну вредоносное по уже и до системы Mac добралось, как видно http://macsecurity.net/view/162/ . Их разработчики не топчутся на месет.