Как нас не победил шифровальщик no_more_ransom



Это произошло в нашей компании. Где все сотрудники проходят обязательный инструктаж по информационной безопасности, ну и вообще все в «теме».

Рабочий день 17 апреля 2017 года выдался трудным для Антона: полсотни звонков, десяток заполненных заявок. До 19:00 оставалась пять минут, когда наш герой столкнулся с проблемой: он не смог открыть коммерческое предложение, которое только что заполнил и собирался отослать клиенту. Несмотря на строгую инструкцию по работе с входящей корреспонденцией, Антон открыл вирусную рассылку, замаскированную под письмо из банка и запустил процесс деархивации. Распакованная программа и закодировала его компьютер.

Получив тревожный звонок из отдела продаж, наш системный администратор даже не встал со своего рабочего места. Ведь на всех компьютерах в компании установлен агент StaffCop Enterprise, который передаёт всю информацию в одну базу, управление которой доступно через веб-интерфейс. Да: мы пользуемся собственными продуктами (потому что хотим сами первыми узнавать обо всех новинках)!

Что мы сделали?

  1. Первым делом мы конечно стали изучать, что же произошло и как вообще такое могло случиться. Как обычно, причиной всех бед стал пресловутый «человеческий фактор» — открытое письмо со зловредом превратило около 900 документов в непереводимый набор символов.

    Не стоить нажимать на незнакомые ссылки!

  2. Шифровальщик распаковал несколько текстовых документов с описанием куда и сколько нужно заплатить, а так же файл с безобидным названием rad9a2f2.tmp.

    Выделен момент распространения вируса no_more_ransom

  3. Дальше больше. Файл с безобидным названием был запущен. Он и превратил все документы опрометчивого менеджера в кашу. Было закодировано, как содержимое файлов, так и сами имена. К концу каждого имени файла шифровальщик добавил свое название no_more_ransom.

    Выделены имя вируса и название вредноносной программы.

  4. К счастью, все файловые операции фиксируются StaffCop и восстановить исходные данные удалось в течении нескольких минут из теневых копий файлов, которые изменял шифровальщик no_more_ransom.

В итоге:

Простой работы менеджера составил всего 12 минут (чуть больше одного перекура), сохранены важные данные и мы стали любить наш продукт, еще чуть-чуть больше. Используйте StaffCop — он приносит уверенность и радость!

Наверх ↑