2gusia (2gusia) wrote,
2gusia
2gusia

Categories:

Реальная история с вирусом шифровальщиком и NAS

В этом бложике многие посты, связанные с NAS, отличаются бурной жизнью. Плюс в личку камрады пишут. Хочу по мере сил наиболее интересное для других выносить наверх. Сегодня история от Антон Кузнецов, в которой вовремя настроенный механизм автоматических снапшотов (ака слепков) спас несколько гигабайт инфы и полкило нервов.

"Организация у нас не большая, денег на покупку антивирников не выделяли. Жили себе спокойно до одного прекрасного момента. В этот прекрасный день сотрудник обнаружил на одной из шар в каждой папке текстовый файл. Содержание гласило, что все файлы будут зашифрованы через 3 дня. В папках создались копии файлов с разрешением *.Just. Стало ясно, что это разновидность шфровальщика.

Proliant MicroServer Gen8 G2020T, NAS4FREE Embedded на microsd, Raidz1 на 4шт Western Digital Red. 6 датасетов и столько же CIFS/SMB общих ресурсов. У каждого пользователя разные права доступа на шары. Автоматические слепки каждый день и хранятся 30 дней.

Дальнейшие действия:
1) Отключаем от сети сервер.
2) Зарубил весь интернет (Блокировать все, кроме сайтов из белого списка)
3) На каждой рабочей станции был запущен drweb curelt
4) Теперь надо проверить файловый сервер (шары) не подключая к общей сети. Берется чистый ПК или ноутбук (в нашем случае), свитч и соединяем сервер с ноутбуком через свитч. Подключаем зараженные шары и запускаем проверку антивирусом. Проверяли eset smart security, нашел он Win32/Filecoder.BM. Было заражено две шары 350Gb и 40 Gb. Полностью удалили всю информацию с них.
5) Копируем вчерашний слепок шары. Ура!!! Все информацию цела.
6) Теперь как быстро восстановить информацию. Копировать через вебгуй стандартным файловым менеджером у меня не получилось, почему то он скопировал не все каталоги. Подключая с виндовой машины шары копия нашего слепка не отображается (видимо доступ есть только с сервера). Ставим mc, заходим по ssh и копируем инфу с нашего слепка в нужную шару.
Вот так мы и отделались легким испугом)
Теперь закупаем антивирусники и следим за раздачей интернета."

Tags: it, nas, nas4free, разбор полётов
Subscribe

Recent Posts from This Journal

  • OpenZFS и XigmaNAS

    Месяц назад я писал про Open ZFS. Там были мысли о том, когда он будет доступен в XogmaNAS. А в конце декабря зацепился на эту тему языками с…

  • Притча

    В России всегда были две беды. Дураки и дороги. И причем сумма их всегда была постоянной, чтобы ни случалось. Чуть получше дороги, чуть побольше…

  • Как провожают жесткие диски

    Сдох у меня жесткий диск в NAS Как видно - из SMART отпахал 70428 часов, то есть если 24/7 - больше 8 лет. И, я вам скажу, он не просто крутился…

  • Post a new comment

    Error

    Anonymous comments are disabled in this journal

    default userpic

    Your reply will be screened

  • 18 comments

Recent Posts from This Journal

  • OpenZFS и XigmaNAS

    Месяц назад я писал про Open ZFS. Там были мысли о том, когда он будет доступен в XogmaNAS. А в конце декабря зацепился на эту тему языками с…

  • Притча

    В России всегда были две беды. Дураки и дороги. И причем сумма их всегда была постоянной, чтобы ни случалось. Чуть получше дороги, чуть побольше…

  • Как провожают жесткие диски

    Сдох у меня жесткий диск в NAS Как видно - из SMART отпахал 70428 часов, то есть если 24/7 - больше 8 лет. И, я вам скажу, он не просто крутился…