Работники Компании «Н» пришли в офис на рабочие места в понедельник утром. После включения всех компьютеров работа была парализована вирусом. Никакие действия на компьютерах производить было невозможно, папки и документы открывались, но прочитать текст было невозможно, шрифты изменились, выглядели как «абракадабра». Руководство Компании сразу же обратилось к нам за помощью.
Мы незамедлительно рекомендовали Заказчику отключить внутреннюю локальную сеть, отключить все рабочие компьютеры. Далее нами был осуществлен выезд к Заказчику для устранения последствий заражения вирусом. Компьютеры были проверены на наличие вредоносных программ, троянов и прочих «неприятностей», без подключения в локальную сеть. Далее, таким же образом были проверены сервера. После того как мы убедились в безопасности компьютеров и серверов, возобновили работу локальной сети.
Было установлено, что в 5:30 утра, после перезагрузки одного из серверов, Компания получила заражение вирусом шифровальщиком, как позже было установлено: Tool. Winlock.5.
На сервере, с которого началось заражение, до перезагрузки проводились работы, суть которых сводилась к установке части ПО, в код которого были внесены доработки. В ходе расследования мы пришли к выводу, что в коде были не только доработки. Вирус распространялся с зараженного сервера под доменным доступом на другие сервера: Почтовый, 1С и два FTP сервера.
Для решения проблемы Заказчика мы привлекли своего давнего Подрядчика – производителя и разработчика защитного ПО Вендор. Совместно с ним разработали комплекс защиты: антивирус + средства мониторинга + файрволл, направленный на защиту инфраструктуры заказчика. Комплекс был разработан индивидуально, исходя из профиля Заказчика и его потребностей.
Как показал печальный опыт, очень плохо хранить бэкап на том же сервере, где и основной массив данных, т. к. чудом оказались целы копии, подготовленные для передачи разработчику, и подрядная структура. Как итог, затраты на восстановление деятельности Компании в разы превысили затраты на средства защиты. Полное восстановление заняло почти год.
