Някой сбъсквал ли се е с Cerber ransomware jan 2017 red?

[Асен Нейков]

   Здравейте, 

    Има ли някой колега с опит в борбата с този тип вредители? Боря се с един заразен файлов сървър и мисля варианти за спасяването на информацията от него. За момента сме взели решение да не плащаме откупа. Причината е, че ако се разделим с определена сума не е сигурно, че ще ни изпратят ключа за декриптиране. Откакто е излезнало съобщението, че е заразен, компютърът не е включван в интернет и не са правени промени по операционната система. В общи линии по информация от интернет все още няма излезнали инструменти за борба с последната ревизия на вируса. Много от сайтовете казват първо да се  да се изчисти вируса и тогава да се правят опити за декриптиране, но на мен ми се струва доста опасно, защото ако засече промени ще изтрие файловете. Безопасно ли е да се копира криптираната информация и на друг компютър и там да се правят опити за декриптиране и евентуално да се пазят файловете, докато излезе решение?  Има бекъп на част от информацията, но последните файлове, които се оказват и най- важни естествено, не са успели да минат бекъпа. 

    Единият от начините, който ще изпробвам днес е да заредя Windows Live от USB и да търся нещо с Shadow Explorer. За друго не се сещаме с колегите. 

    Готови сме да платим на някой, ако успее да възстанови файловете.

                    

Edited January 11, 2017 by Асен Нейков

[wowefect]

а като цяло backup или облачна услуга не ползвате ли,към днешна дата си е ,,лукс,, да се държи база на локален сървър,сигурен съм,че е бил и пуснат в нета ? Колко ви е поразената база като обем ? от сега ви казвам,не се борете с вятърните мелници,ще загубите много време без резултат.Най-често се лепят тия твари през майл клиент и колко пъти съм ги съветвал,четете подателя !!!

Edited January 11, 2017 by wowefect

[Асен Нейков]

    Тази неприятна случка се получи във време, когато с колега си препредаваме един сървър и докато успея да проверя какво има настроено и какво няма, белята стана. Дори същия ден щях да инсталирам истинска бекъп машина, защото до сега файловете са се мятали от самия файлов сървър на eдин NAS в shared folder.  Истинко чудо е, че и него не го засегна, защото го бях изключил от мрежата. Поразени са всичките файлове, защото вирусът е започнал да криптира навръх Нова година в 1.15 и до 3-ти вече нямаше останало нищо. От логовете на Windows-a става ясно, че вирусът е успял да съдаде нов потребител с административни права и с него е направил маса поразии по системните файлове. 

    В мрежата на файловия сървър има 15 компютъра. Ако заразата е дошла по пощата щеше да се зарази някоя от потребителските машини и евентуално през нея да заминат споделените директории. Интересното в случая е, че се зарази директно Windows Server-a и започвам да подозирам зла умисъл на някого с достъп до машината. Логовете не показват някой да се е свързвал с нея през RDP.

 

[wowefect]

е кой има права за тази машина отдалечено ?

[Guest]

Свържи се с антивирус вендорите и ги карай да ти направят декриптор.

[wowefect]

преди 8 минути, NetworkPro написа:

Свържи се с антивирус вендорите и ги карай да ти направят декриптор.

не че нещо,но имаме случай от миналия юли и все още го правят конкретно за нашия случай декриптора !

[kokaracha]

Каква е ОС /  файловата система ?

[Асен Нейков]

Windows Server 2012 r2 е операционната система. До колкото ми е известно достъп няма друг, защото смених паролите. Логовете показват, че вируса си е създал нов потребител с административни права и така е започнал да действа.

[dabadaba]

Преди 19 часа, wowefect написа:

а като цяло backup или облачна услуга не ползвате ли,към днешна дата си е ,,лукс,, да се държи база на локален сървър,сигурен съм,че е бил и пуснат в нета ? Колко ви е поразената база като обем ? от сега ви казвам,не се борете с вятърните мелници,ще загубите много време без резултат.Най-често се лепят тия твари през майл клиент и колко пъти съм ги съветвал,четете подателя !!!

И там няма гаранция, че няма да бъдат поразени.

Аз ползвам облака, но имах неблагоразумието, да дам автоматично синхронизиране с компа, в резултат на което и компа и облака бяха поразени от вируса.

Добре, че беше само за тест, та бяха затрити малко файлове и ги имах на друг компютър.

[wowefect]

преди 24 минути, dabadaba написа:

И там няма гаранция, че няма да бъдат поразени.

Аз ползвам облака, но имах неблагоразумието, да дам автоматично синхронизиране с компа, в резултат на което и компа и облака бяха поразени от вируса.

Добре, че беше само за тест, та бяха затрити малко файлове и ги имах на друг компютър.

каква облчна система си ползвал  ?

[Null]

Няма смисъл да се мъчите или да си платите шанса да ви декриптнат файловете е 0% а за да изисквате от която и да е компания за декриптер трябва да си плащате поне от 2 години лиценз при тях и то само няколко компании предлагат подобен тип услуга. За напред може да си криптирате важната информация с TrueCrypt и така да я качвате и по облаци

Edited January 12, 2017 by Null

[wowefect]

Преди 3 часа, Null написа:

Няма смисъл да се мъчите или да си платите шанса да ви декриптнат файловете е 0% а за да изисквате от която и да е компания за декриптер трябва да си плащате поне от 2 години лиценз при тях и то само няколко компании предлагат подобен тип услуга. За напред може да си криптирате важната информация с TrueCrypt и така да я качвате и по облаци

дай идея за автоматизация>разгледах програмката,но си представи ежедневен архив на базаданни и все да седиш и да цъкаш на програмката да криптираш 

нали идеята е да автоматизираме процеса>архив>криптиране>облак

аз лично използвам следната методика>програма за архивиране и правене на backup file всеки ден в определен файл,след това на самата програма има опция за заключване чрез парола която сам избираш след това ниво на различни алгоритми на крипртиране>AES,3DES,BLOWFISH,SERPENT,XOR и др. След това този критиран файл го засилвам в облака и досега няма ядове.

Препоръки за читави облачни системи ако може да се внесе като допълнение на темата,ще е полезна информация за всички

Edited January 12, 2017 by wowefect

[dabadaba]

Преди 11 часа, wowefect написа:

каква облчна система си ползвал  ?

OneDrive, която си върви с виндос 10

[wowefect]

Преди 2 часа, dabadaba написа:

OneDrive, която си върви с виндос 10

google drive по ми допада като цяло !

[Null]

pcloud дават се доста пари и все още никой не е могъл   http://pcworld.bg/24621

TrueCrypt си има опция кога какво и как да маунтва и да ънмаунтва скрипт с бекъп + задачи за изпълнение към TrueCrypt се правят лесно а и като цяло всичките тия "вируси" които заключват файловете ви ползват dns resolve за обратна връзка с автора им така че просто спирате днс-а на машината където правите бекъп или каквото там правите и нямате проблеми и шанс да бъдете заразени с каквото и да е заявките ще вървят само по ИП адреси филтрирате си мрежите нямате resolve щракате с пръсти

https://www.pcloud.com/challenge/