Вы используете устаревший браузер!

Страница может отображаться некорректно.

  • добавить в избранное
    Добавить в закладки

Когда антивирус «есть», но его нет

Прочитали: 2378 Комментариев: 49 Рейтинг: 70

Есть такой старый афоризм: «Если полицейский следит за всеми, то кто следит за полицейским?» И он полностью применим к антивирусу. Вот, например, «аккуратно» оформленный запрос в нашу поддержку:

Поражен сервер netschool
все файли стали в формате id-36C0CA08.[rogstrix@keemail.me].harma

Это наш клиент, мы с легкостью выясняем, какая у него лицензия:

Данные о лицензии:
Серийный номер: ххх
Клиент: МАОУ «ххххххх лицей»
Продукт: Комплект (Комплект Dr.Web для школ (Safe School))

….

Начинаем работу:

Если пострадавшая система включена и есть подозрение, что работа шифровальщика еще не завершена, то как можно быстрее выключите ПК, в любом случае, ПК нужно изолировать от общей сети (так как шифрование данных производится на всех локальных, сетевых и съемных дисках, доступных на запись, запустившему пользователю).

Далее, скопируйте все важные данные с диска системы (не включая зараженную систему, подключив жесткий диск к другому ПК или загрузившись с помощью LiveDisk), которые не успели пострадать (также, можно сделать резервную копию важных зашифрованных данных, на случай отказа пострадавшего диска), проверьте сохранились ли теневые копии системы, если да, то, по возможности сделайте копию образа системы, для того, чтобы восстановить данные из теневых копий.

Соберите, пожалуйста, отчет с зараженной машины с помощью утилиты dwsysinfo.exe…

Про утилиту повторяться не будем, о ней мы писали много уже раз, а вот на первой части ответа заострим внимание. К сожалению, многие реагируют на выявление вредоносной программы некорректно (и это мягко говоря!) – продолжают работать на компьютере. А ведь часть данных еще можно успеть спасти...

Обнаружили действие вируса – выключите компьютер сразу, не ждите появления требования о выкупе, которое будет свидетельствовать, что все интересующее злоумышленника уже зашифровано или украдено.

Но это было предисловие, а поговорить мы хотели о другом. Вот каков был вывод после анализа инцидента:

Вероятнее всего в систему был выполнен несанкционированный вход по rdp через взлом пароля учетной записи. Это подтверждается сохранившимися сообщениями в системном журнале.

Антивируса не было.

То есть лицензия у клиента есть, а вот сам антивирус установлен не был. Не «был удален», что стало бы заметно по логам работы антивируса, а «не было» – вообще.

К сожалению, бывают истории еще грустнее. Купленная лицензия так и остается неактивированной и, видимо, должна пугать вирусы одним своим существованием. А ведь потом скажут: мол, у нас был антивирус, но случилось заражение. И ведь действительно был, но не был установлен.

И это не единичный случай. Организации получают лицензию «сверху» и не используют ее – потому что «не боятся» вирусов.

#антивирус #троянец #шифровальщик #антивируcная_проверка

Dr.Web рекомендует

Не забывайте следить, что происходит на вашем компьютере. Если вы установили антивирус, периодически проверяйте, на месте ли он. Вдруг ваши дети решили снести систему защиты, чтобы залезть на какой-нибудь сайт, на который их не пускал антивирус? Всякое бывает…

#drweb

Получайте Dr.Web-ки за участие в проекте

Каждая активность = 1 Dr.Web-ка

Оцените выпуск

Сделайте репост

Поставьте «Нравится»

Чтобы получать награды надо войти на страницу выпуска через аккаунт на сайте «Доктор Веб» (или создать аккаунт). Аккаунт должен быть связан с вашим аккаунтом в социальной сети. Видео о связывании аккаунта.


Нам важно ваше мнение

10 Dr.Web-ок за комментарий в день выхода выпуска или 1 Dr.Web-ка в любой другой день. Комментарии публикуются автоматически и постмодерируются. Правила комментирования новостей «Доктор Веб».

Чтобы оставить комментарий, нужно зайти через свой аккаунт на сайте «Доктор Веб». Если аккаунта еще нет, его можно создать.

Комментарии пользователей