На сервере-файлопомойке поймал шифровальщика
Люди там не работают, поэтому антивирус туда не ставил, но как-то пролезло, пока не понял как.
Зашифровались не все папки, сижу, разбираюсь с разрешениями, кто кого куда мог впустить.
Файлы приобрели следующие имена
УКК ЗУП_20140501041000.dt.id-5E25F18D.[suppfirecrypt@qq.com].fire
Окна вымогателей не было
В сети имеется DrWeb security suite
Версия Сервера Dr.Web 11.00.0 (31-05-2018 03:00:00)
но на сервере его не было. Только что поставил, но требует перезагрузку, отложил на вечер.
Зашифрованные файлы расшифровывать не надо, это был один из двух серверов бэкапа, есть второй, уже всё восстановлено.
Однако, сама операционная система осталась та же самая, опасаюсь, что шифровальщик жив и ждёт расписания.
Вопрос, какие действия проделать, чтобы найти и убить сам шифровальщик, чтобы это не повторилось.
Ловит ли DrWeb такие вещи, или надо подготовиться и проделать что-нибудь ещё?
Ага, увидел советы робота. Но если есть что добавить, прошу.
Сообщение было изменено ivanovandrey: 03 Декабрь 2018 - 11:10