Tesne pred dovolenkou som pre zakaznika narychlo robil SQL server beziaci na Win10 Pro. Kedze som to robil uz v den odchodu spravil som len zakladnu instalaciu spolu s jeho sw a otestovanim funkcnosti s tym, ze zvysok sa dorobi neskor.
Po asi 5 dnoch mi volal, ze sa nemoze napojit na db. Narychlo som zistil, ze bol napadnuty nejakou novou mutaciou makop cryptora, ktora samozrejme nejde desifrovat.
Islo mu o jedine data to tu db, ktora samozrejme nebola po tych 3 dnoch (na 4.den vecer mu to zasifrovali) a mal tam nejake 3 dni prace.
Ako vzdy neboli tam ziadne shadow kopie suborov ani OS, takze bola nutna nova instalacia.
Povodne som si myslel, ze utocnici sifruju subory tak, ze spravia sifrovanu kopiu a original zmazu, cize data viem obnovit ak nedoslo k ich prepisu na disku, ale oni si pravdepodobne nacitaju subor do ramky, zasifruju a prepisu nim originalny obsah.
Uvazujem spravne?
Inak Win10 bol aktualizovany, bezal tam Defender, ktory vsak utok nezachytil, odkial prisla nakaza zatial netusim, pretoze utocnik po sebe vymazal logy, takze som sa nevedel dopatrat kto a kedy sa prihlasil na pc. Teda kedy viem, je to cas odked sa mi koncia v event vieweri logy o uzivateloch;o).
Inak za posledneho pol roka je to uz druhy zakaznik napadnuty ransomewarom, ktory nie je mozne desifrovat.
Navyse je celkom smune sledovat na forach pribehuy ludi, ktori aj zaplatili vykupne a bud nedostali kluc alebo sa im podarilo rozsifrovat len cast suborov, pretoze desifrovacie exace, ktore im utocnici posielaju casto padaju a akonahle spadne exac pri desifrovani raz je uz obsah suboru definitivne strateny.
Samozrejme odporucam neplatit (aj ked blby Garmin zaplatil) a zalohovat, zalohovat, zalohovat.