‎История из жизни системного администратора ‎ ‎Какое-то время назад я работал единственным штатным системным администратором в небольшой фирме, практически из каждого дня можно сделать свою интересную историю, но сегодня я расскажу о дне, когда я практически поседел ‎ ‎Я спокойно отдыхал в отпуске, был спокойный и тихий четверг, в понедельник нужно было на работу и ничего не предвещало беды. ‎В середине дня мне пишет коллега, который заменял меня, что почему-то отвалились все базы 1с, что периодически могло случиться. Я дал стандартные рекомендации, но ничего не поменялось ‎Далее последовали скриншоты и осознание, что был успешно пойман вирус-шифровальщик ‎Если кратко, попадая на компьютер/сервер он шифрует все файлы и оставляет на рабочем столе файл, где содержится информация о том, куда направить биткоины и где получить программу-дешифратор для восстановления файлов ‎ ‎Сотрудник, что заменял меня далее сообщил, что не разбирается в местных системах, а потому оставит решение данной проблемы на меня, выходить на работу хотелось ещё меньше ‎ ‎В понедельник я проверил все системы и обнаружил, что СКУД был буквально уничтожен, система Biosmart, 1с УРВ и 1с Gate навсегда остались похоронены этой атакой ‎Система контроля доступа была установлена в далеком 2012 году и база под него была написана одним из бывших сотрудников, а современные системы Biosmart с уже реализованной интеграцией не работают со старыми контроллерами, соответственно были закуплены новые ‎ ‎Так как прошло уже 4 дня, MS SQL успешно набэкапил уже зашифрованных копий баз, а сам сервер, куда бэкапы сливались отправился в небытие. ‎Файловый сервер, которым пользовались менеджеры, также был полностью зашифрован, но к счастью менеджеры имели привычку скачивать файлы к себе на рабочие места и утеряны были только архивные данные ‎Основные рабочие базы удалось восстановить в течении 4 часов, к счастью, образы баз полугодовой давности были заранее слиты на холодный хард, а актуальные бэкапы удалось восстановить из теневой копии, также удалось восстановить второй файловый сервер путем отката его до дня атаки ‎В итоге, восстановление основной инфраструктуры заняло сутки, а восстановление всех систем полностью растянулось на несколько месяцев (Biosmart) ‎ ‎Причина же произошедшего вскрылась чуть позже, оказалось, что у одного из сотрудников также зашифровали ПК и мы отметили данный факт точкой входа ‎После расследования было выяснено, что предыдущий админ давал доступ к сетевым папкам пользователям не через Active Directory к их учеткам, а просто вводя учетные данные учетки Admin, соответственно все пользователи фактически имели доступ ко всем данным со всех серверов Если бы они знали адреса данных серверов, они могли бы получить доступ к 70% информации на всех серверах ‎ ‎Вывод: ‎Если вы пришли на новое место администратором: 1. Проведите обучение сотрудников по информационной безопасности 2. Проверьте открытые порты на маршрутизатора 3. Проверьте Active Directory 4. Проведите аудит систем резервного копирования 5. Настройте межсетевые экраны корректно