2gusia (2gusia) wrote,
2gusia
2gusia

Categories:

Реальная история с вирусом шифровальщиком и NAS

В этом бложике многие посты, связанные с NAS, отличаются бурной жизнью. Плюс в личку камрады пишут. Хочу по мере сил наиболее интересное для других выносить наверх. Сегодня история от Антон Кузнецов, в которой вовремя настроенный механизм автоматических снапшотов (ака слепков) спас несколько гигабайт инфы и полкило нервов.

"Организация у нас не большая, денег на покупку антивирников не выделяли. Жили себе спокойно до одного прекрасного момента. В этот прекрасный день сотрудник обнаружил на одной из шар в каждой папке текстовый файл. Содержание гласило, что все файлы будут зашифрованы через 3 дня. В папках создались копии файлов с разрешением *.Just. Стало ясно, что это разновидность шфровальщика.

Proliant MicroServer Gen8 G2020T, NAS4FREE Embedded на microsd, Raidz1 на 4шт Western Digital Red. 6 датасетов и столько же CIFS/SMB общих ресурсов. У каждого пользователя разные права доступа на шары. Автоматические слепки каждый день и хранятся 30 дней.

Дальнейшие действия:
1) Отключаем от сети сервер.
2) Зарубил весь интернет (Блокировать все, кроме сайтов из белого списка)
3) На каждой рабочей станции был запущен drweb curelt
4) Теперь надо проверить файловый сервер (шары) не подключая к общей сети. Берется чистый ПК или ноутбук (в нашем случае), свитч и соединяем сервер с ноутбуком через свитч. Подключаем зараженные шары и запускаем проверку антивирусом. Проверяли eset smart security, нашел он Win32/Filecoder.BM. Было заражено две шары 350Gb и 40 Gb. Полностью удалили всю информацию с них.
5) Копируем вчерашний слепок шары. Ура!!! Все информацию цела.
6) Теперь как быстро восстановить информацию. Копировать через вебгуй стандартным файловым менеджером у меня не получилось, почему то он скопировал не все каталоги. Подключая с виндовой машины шары копия нашего слепка не отображается (видимо доступ есть только с сервера). Ставим mc, заходим по ssh и копируем инфу с нашего слепка в нужную шару.
Вот так мы и отделались легким испугом)
Теперь закупаем антивирусники и следим за раздачей интернета."

Tags: it, nas, nas4free, разбор полётов
Subscribe

  • Танцы с WiFi свистком TP-Link TL-WN821N. Не зря вас Тупой Линк величают

    Понадобилось мне срочно подключить десктоп по WiFi. зашел в магазин, у них нашелся TP-Link TL-WN821N Времени не было, взял. Хочу рассказать…

  • Статья про SSD Apacer в NAS

    Сегодня после длительной борьбы с web-редактором IXBT Live (который оказался не совместимым с Google Docs), наконец, опубликовали мой опус про SSD,…

  • OpenZFS и XigmaNAS

    Месяц назад я писал про Open ZFS. Там были мысли о том, когда он будет доступен в XogmaNAS. А в конце декабря зацепился на эту тему языками с…

  • Post a new comment

    Error

    Anonymous comments are disabled in this journal

    default userpic

    Your reply will be screened

  • 18 comments

  • Танцы с WiFi свистком TP-Link TL-WN821N. Не зря вас Тупой Линк величают

    Понадобилось мне срочно подключить десктоп по WiFi. зашел в магазин, у них нашелся TP-Link TL-WN821N Времени не было, взял. Хочу рассказать…

  • Статья про SSD Apacer в NAS

    Сегодня после длительной борьбы с web-редактором IXBT Live (который оказался не совместимым с Google Docs), наконец, опубликовали мой опус про SSD,…

  • OpenZFS и XigmaNAS

    Месяц назад я писал про Open ZFS. Там были мысли о том, когда он будет доступен в XogmaNAS. А в конце декабря зацепился на эту тему языками с…