На работе словили шифровальщика.

Очень глупо говорить "никогда". Восстанавливают.

Если бы не восстанавливали, то никто бы не заморачивался с оплатой. А шифровальщику было бы проще просто удалять файлы, а не шифровать их, достаточно было бы просто сделать вид, что файлы зашифрованы.

ловятся.

По поводу восстановления:

1 - попробовать восстановить файлы, которые после шифровки удаляются шифровальщиком. Есть куча утилит по восстановлению удаленных файлов.

2 - Идентифицировать виря, поискать дешифровщик. Например здесь http://support.kaspersky.ru/viruses/utility

На ксперском был, там нет описания шифровальщика, который не меняет расширения файлов.

Здесь сказали, что для моего случая протвиядия на данный момент нет, т.е. расшифровать не возможно.

---------- Добавлено 07.04.2017 в 16:23 ----------

Из области фантастики. Переводишь деньги и ждёшь у моря погоды. Долго, возможно годы. Если даже и так, то жуликам я платить ничего не буду ни при каких обстоятельствах.

Очень было бы интересно увидеть эту ссылку.

Как так скачивается что-то и само запускается и что-то делает и винда хотя бы или браузер даже не пикнули и все послушно выполнили, без единого лишнего вопроса?

В спаме у себя смотрите, мне такого добра в день штук по несколько приходит, под разным соусом - то акт проверки, то акт сверки, то счёт за услуги, то на ваш счёт зачислены деньги, порой просто чушь типа открытка для вас от друзей.. И там ссылка на скачивание этого "документа".

попадались такие письма 2-3 раза всего, не могу найти в спаме. Реально интересно посмотреть механизм вторжения.

Там нету тела вируса, поэтому антивирусы спят.

После запуска ссылки запускается скрипт, сам скрипт с вирусом зашифрован, чтобы его не обнаружили антивирусы.

С точки зрения системы вы монотонно запускаете каждый файл меняя его расширение, шифруя его итд.

Если вы не работаете под учеткой администратора, то появится окно с вопросом, на который бухгалтер не читая нажмет ок.

Вот толковая статья https://serveradmin.ru/spora-ransomware/

Немного легче стало, чудом на ноутбуке бухгалтера уцелел файл базы 1С, от 31 марта, сейчас его уже почти восстановили.

Интересно, а почему у бухгалера вообще есть права нажать ОК?

Потому что по умолчанию на купленном буке можно не задавать пароли и права.

К сожалению, вашего технического директора.

На компьютерах с критически важной информацией априори:

1. Должны проводиться регулярные бэкапы

2. Не должно быть никакого интернета, по определению. Вообще.

В своё время в бухгалтерии имел два набора машин, один для того

чтобы во вконтакте ходить, второй чтобы работать.

И ниче, через год после того как ушел тоже просили восстановить

базу, оказалось что решили "совместить", а последний бэкап тот,

который я делал перед уходом :).

Если зашифровано по случайному ключу, который после этого выкинули,

то у вас не данные, а мусор. Обратно не раскрутить.

Вероятность получить ключ после оплаты не более 10%.

---------- Добавлено 10.04.2017 в 12:22 ----------

Да и ссылки не надо.

Примерно раз в год расследую подобные "инциденты" в конторе с 20 разработчиками-сисадминами.

К сожалению, софт весь дырявый насквозь. Более того попадаются эксплойты, которые работают

вообще без всяких подтверждений итп. Т.е. никакая квалификация "жертвы" не помогает

избежать проблем.

Более того, "заразиться" вполне реально даже не посещая "стремные" места.

Регулярно ломают тематические форумы и сайты, биржи баннерные итд итп.

Жить страшно.

Все люди делятся на две группы.

1. Делают бэкапы

2. Не делают

Те кто делают делятся еще на две

1. Проверяют что там забэкапилось

2. Не проверяют

Те, кто проверяют делятся еще на две

1. Делают на носители поддерживающие стирание (типа HDD)

2. Делают на носители типа DVD / b-ray не поддерживающие стирание

Тех, кто входит в последнюю вторую группу единицы.

Живем как в средневековье... свет разума увы угас в народе.