1С: Новая угроза?

Сегодня позвонил друг из компании, которая занимается обслуживанием платформ и конфигураций 1С. С его слов: у клиентов есть сервер под управлением Windows Server (извините за каламбур), на нём установлено ПО 1С: Предприятие с конфигурацией 1С Бухгалтерия.

Сотрудники бухгалтерии организации уходят на майские праздники, возвращаются, а там… Картина Репина “Приплыли”.

  1. Файлы зашифрованы. Текстовые документы, таблицы и даже картинки. Что самое страшное зашифрованы даже файлы этой самой 1С, включая 1Cv8.1CD, чего раньше известные вирусы-шифровальщики не делали. При этом административного root-доступа по умолчанию без ввода пароля у бухгалтеров нет.
  2. Переименованы процессы в Windows. Раньше такого не видел.
  3. Очищены файлы журнала, определить по логам было ли подключение по RDP не представляется возможным.
  4. Не выставлены требования – это вообще странно. Обычно авторы шифровальщиков требуют немножко биткоина.
  5. Установленный Антивирус Касперского не помог. (хотя продукты Касперского я считаю одними из самых лучших).

В общем что-то очень странное, страшное и непонятное. И копий базы на внешних носителях тоже не оказалось, есть только давнишний архив от начала года. Ооох представляю состояние сотрудников, у меня у самого аж всё сжалось, пока слушал. Потом тут же побежал делать дополнительные копии на внешний жесткий диск, который запер в сейфе. При чем у них было организовано копирование средствами Windows на дополнительный HDD, архивы также оказались зашифрованы.

Сотрудники собираются подавать заявление в полицию, но что-то мне подсказывает – будет очередной отказной материал. В общем подходим мы к проблеме надежного резервного автоматизированного копирования. Автоматизировать копирование на второй жесткий – ничего сложного. Достаточно через планировщик указать запуск бат-файла примерно с таким кодом

 

set sFolderName=D:\backup\%date:~6%.%date:~3,2%.%date:~0,2%
if not exist %sFolderName% (
md %sFolderName%
)
robocopy C:\base D:\backup\%date:~6%.%date:~3,2%.%date:~0,2%

 

Копирует файлы из C:\base в папку под именем даты, находящуюся в D:\backup

Только от вируса-шифровальщика, коли он запустился под root, это не поможет. Тем не менее советую под Windows помимо основного антивируса установить Kaspersky anti-ransomware tool – бесплатная утилита от шифровальщиков.

Автоматизированное копирование мне видится так:

  1. Где-то в 2:30 отдельная машина под Linux/FreeBSD предоставляет доступ к сетевому хранилищу до 3:10
  2. В 2:35 планировщик заданий запускает bat-файл, который копирует данные в сетевое хранилище (до 3:10 успеет).
  3. В 3:10 доступ к сетевому хранилищу прекращен со стороны машины под Linux/FreeBSD. Всем.

Может быть я не прав? Так давайте же обсудим возможные решения на форуме. https://makson.ru/forum/viewtopic.php?f=8&t=1055

Поделиться ссылкой:

Добавить комментарий

Ваш e-mail не будет опубликован. Обязательные поля помечены *