Author Topic: Действия после заражения шифровальщиком  (Read 9057 times)

0 Members and 1 Guest are viewing this topic.

Offline _George_

  • Avast Sales Specialist
  • Avast Reseller
  • Massive Poster
  • *
  • Posts: 3487
  • Дистрибьютор Avast и AVG
    • www.belrus.net
К сожалению сегодня пришло, получается уже второе письмо (за полгода), от корпоративного клиента, что шифровальщик лютует по локальной сети.

Мой ответ человеку, пусть кто наткнётся прочтёт его "до", а не "после":

Это беда. Ни в коем случае не платите мошенникам, в 99% расшифровку не
пришлют, а если и пришлют, то она будет с таймером "взрыва".

1.
- Отключить заражённые компьютеры от локальной сети и интернета.
-  снять  винчестер,  подключить  к здоровому ПК и скопировать данные,
которые  шифратор  ещё не успел зашифровать, вернуть винчестер обратно
на ПК. Не подключать интернет и локалку пока не выполните п.2.

2.
- обновить базы через https://belrus.net/download-update.html
- провести сканирование до загрузки
- прогнать также сторонними сканами, например - DrWeb CureIt
- создать тему на форуме аваст, прикрепить требуемые логи ( https://forum.avast.com/index.php?topic=130898.0 ), чтобы компьютер проверили евангелисты аваст и, если что, помогли очистить.

3.
Вообще-то  п.2  бесполезен,  так  как  все  равно могут остаться какие-то
"закладки"  у  вируса  и  лучше  после п.1 переустановить ОС на ЧИСТЫЙ
форматированный винчестер. Он нужен только для временного выбора необходимых настроек разных программ и копирования их уже на новую ОС.

4.
Купить  и  установить программу резервного архивирования (backup),
настроить  её на еженедельный бэкап важных данных, ежемесячный на диск
с ОС. В случае, если эти расходы покажутся Вам дорогими, - помните скупой платит дважды.

5.
В  будущем  использовать сёрфинг в интернете по неизвестным сайтам
ТОЛЬКО через браузер avast SafeZone, вложения в письмах с неизвестными
адресатами не открывать и удалять от греха подальше. А если и открывать (не стОит), то приложение должно быть
под  песочницей аваста во время открытия документа. Если бы этот пункт
выполнялся, как и п.7 заражения бы не произошло.

6.
Можете, конечно создать тикет в техподдержку Аваста, но он только даст
задержку  по  времени  решения  проблемы,  и  файлы  будут  продолжать
шифроваться  (поэтому  сразу  копируйте  то  что  осталось  -  п.1). И
расшифровку скорее всего не дадут, только излечат от вируса.

Кидаться  молниями  в  Аваст нет смысла, в момент заражения Ваших ПК в
99,9% ни один антивирус не мог справиться с заражением. Разработчики этих тварей тестируют свои детища перед массовой спам-рассылкой письма с заражённым вложением (aka PDF, docx, xlsx, exe под видом что это не exe и т.д. и т.п.).

7.
Также  как  и  бэкап,  совет  на  будущее:  нигде,  повторюсь нигде не
работайте  под администраторской учётной записью.  И используйте совет
из п.5

Удачной остановки эпидемии.
« Last Edit: March 31, 2015, 02:08:58 PM by George_S »
www.belrus.net - Avast Distributor & AVG Distributor in Russia and CIS. Бесплатный телефон для пользователей платных версий: +7-800-707-708-7