Вы используете устаревший браузер!

Страница может отображаться некорректно.

  • добавить в избранное
    Добавить в закладки

Когда антивирус «есть», но его нет

Прочитали: 15253 Комментариев: 52 Рейтинг: 80

21 августа 2020

Есть такой старый афоризм: «Если полицейский следит за всеми, то кто следит за полицейским?» И он полностью применим к антивирусу. Вот, например, «аккуратно» оформленный запрос в нашу поддержку:

Поражен сервер netschool
все файли стали в формате id-36C0CA08.[rogstrix@keemail.me].harma

Это наш клиент, мы с легкостью выясняем, какая у него лицензия:

Данные о лицензии:
Серийный номер: ххх
Клиент: МАОУ «ххххххх лицей»
Продукт: Комплект (Комплект Dr.Web для школ (Safe School))

….

Начинаем работу:

Если пострадавшая система включена и есть подозрение, что работа шифровальщика еще не завершена, то как можно быстрее выключите ПК, в любом случае, ПК нужно изолировать от общей сети (так как шифрование данных производится на всех локальных, сетевых и съемных дисках, доступных на запись, запустившему пользователю).

Далее, скопируйте все важные данные с диска системы (не включая зараженную систему, подключив жесткий диск к другому ПК или загрузившись с помощью LiveDisk), которые не успели пострадать (также, можно сделать резервную копию важных зашифрованных данных, на случай отказа пострадавшего диска), проверьте сохранились ли теневые копии системы, если да, то, по возможности сделайте копию образа системы, для того, чтобы восстановить данные из теневых копий.

Соберите, пожалуйста, отчет с зараженной машины с помощью утилиты dwsysinfo.exe…

Про утилиту повторяться не будем, о ней мы писали много уже раз, а вот на первой части ответа заострим внимание. К сожалению, многие реагируют на выявление вредоносной программы некорректно (и это мягко говоря!) – продолжают работать на компьютере. А ведь часть данных еще можно успеть спасти...

Обнаружили действие вируса – выключите компьютер сразу, не ждите появления требования о выкупе, которое будет свидетельствовать, что все интересующее злоумышленника уже зашифровано или украдено.

Но это было предисловие, а поговорить мы хотели о другом. Вот каков был вывод после анализа инцидента:

Вероятнее всего в систему был выполнен несанкционированный вход по rdp через взлом пароля учетной записи. Это подтверждается сохранившимися сообщениями в системном журнале.

Антивируса не было.

То есть лицензия у клиента есть, а вот сам антивирус установлен не был. Не «был удален», что стало бы заметно по логам работы антивируса, а «не было» – вообще.

К сожалению, бывают истории еще грустнее. Купленная лицензия так и остается неактивированной и, видимо, должна пугать вирусы одним своим существованием. А ведь потом скажут: мол, у нас был антивирус, но случилось заражение. И ведь действительно был, но не был установлен.

И это не единичный случай. Организации получают лицензию «сверху» и не используют ее – потому что «не боятся» вирусов.

#антивирус #троянец #шифровальщик #антивируcная_проверка

Антивирусная правДА! рекомендует

Не забывайте следить, что происходит на вашем компьютере. Если вы установили антивирус, периодически проверяйте, на месте ли он. Вдруг ваши дети решили снести систему защиты, чтобы залезть на какой-нибудь сайт, на который их не пускал антивирус? Всякое бывает…

#drweb

Оцените выпуск

Сделайте репост

Необходимо войти на страницу выпуска через аккаунт на сайте «Доктор Веб» (или создать аккаунт). Аккаунт должен быть связан с вашим аккаунтом в социальной сети. Видео о связывании аккаунта.


Нам важно ваше мнение

Чтобы оставить комментарий, нужно зайти через свой аккаунт на сайте «Доктор Веб». Если аккаунта еще нет, его можно создать.

Комментарии пользователей


 
На страницу: