Сегодня позвонил друг из компании, которая занимается обслуживанием платформ и конфигураций 1С. С его слов: у клиентов есть сервер под управлением Windows Server (извините за каламбур), на нём установлено ПО 1С: Предприятие с конфигурацией 1С Бухгалтерия.
Сотрудники бухгалтерии организации уходят на майские праздники, возвращаются, а там… Картина Репина «Приплыли».
- Файлы зашифрованы. Текстовые документы, таблицы и даже картинки. Что самое страшное зашифрованы даже файлы этой самой 1С, включая 1Cv8.1CD, чего раньше известные вирусы-шифровальщики не делали. При этом административного root-доступа по умолчанию без ввода пароля у бухгалтеров нет.
- Переименованы процессы в Windows. Раньше такого не видел.
- Очищены файлы журнала, определить по логам было ли подключение по RDP не представляется возможным.
- Не выставлены требования — это вообще странно. Обычно авторы шифровальщиков требуют немножко биткоина.
- Установленный Антивирус Касперского не помог. (хотя продукты Касперского я считаю одними из самых лучших).
В общем что-то очень странное, страшное и непонятное. И копий базы на внешних носителях тоже не оказалось, есть только давнишний архив от начала года. Ооох представляю состояние сотрудников, у меня у самого аж всё сжалось, пока слушал. Потом тут же побежал делать дополнительные копии на внешний жесткий диск, который запер в сейфе. При чем у них было организовано копирование средствами Windows на дополнительный HDD, архивы также оказались зашифрованы.
Сотрудники собираются подавать заявление в полицию, но что-то мне подсказывает — будет очередной отказной материал. В общем подходим мы к проблеме надежного резервного автоматизированного копирования. Автоматизировать копирование на второй жесткий — ничего сложного. Достаточно через планировщик указать запуск бат-файла примерно с таким кодом
set sFolderName=D:\backup\%date:~6%.%date:~3,2%.%date:~0,2%
if not exist %sFolderName% (
md %sFolderName%
)
robocopy C:\base D:\backup\%date:~6%.%date:~3,2%.%date:~0,2%
Копирует файлы из C:\base в папку под именем даты, находящуюся в D:\backup
Только от вируса-шифровальщика, коли он запустился под root, это не поможет. Тем не менее советую под Windows помимо основного антивируса установить Kaspersky anti-ransomware tool — бесплатная утилита от шифровальщиков.
Автоматизированное копирование мне видится так:
- Где-то в 2:30 отдельная машина под Linux/FreeBSD предоставляет доступ к сетевому хранилищу до 3:10
- В 2:35 планировщик заданий запускает bat-файл, который копирует данные в сетевое хранилище (до 3:10 успеет).
- В 3:10 доступ к сетевому хранилищу прекращен со стороны машины под Linux/FreeBSD. Всем.
Может быть я не прав? Так давайте же обсудим возможные решения на форуме. https://makson.ru/forum/viewtopic.php?f=8&t=1055
