Действия после заражения шифровальщиком

Non-English Boards Русский
1

К сожалению сегодня пришло, получается уже второе письмо (за полгода), от корпоративного клиента, что шифровальщик лютует по локальной сети.

Мой ответ человеку, пусть кто наткнётся прочтёт его “до”, а не “после”:

Это беда. Ни в коем случае не платите мошенникам, в 99% расшифровку не
пришлют, а если и пришлют, то она будет с таймером “взрыва”.

  • Отключить заражённые компьютеры от локальной сети и интернета.
  • снять винчестер, подключить к здоровому ПК и скопировать данные,
    которые шифратор ещё не успел зашифровать, вернуть винчестер обратно
    на ПК. Не подключать интернет и локалку пока не выполните п.2.
  • обновить базы через https://belrus.net/download-update.html
  • провести сканирование до загрузки
  • прогнать также сторонними сканами, например - DrWeb CureIt
  • создать тему на форуме аваст, прикрепить требуемые логи ( https://forum.avast.com/index.php?topic=130898.0 ), чтобы компьютер проверили евангелисты аваст и, если что, помогли очистить.

Вообще-то п.2 бесполезен, так как все равно могут остаться какие-то
“закладки” у вируса и лучше после п.1 переустановить ОС на ЧИСТЫЙ
форматированный винчестер. Он нужен только для временного выбора необходимых настроек разных программ и копирования их уже на новую ОС.

Купить и установить программу резервного архивирования (backup),
настроить её на еженедельный бэкап важных данных, ежемесячный на диск
с ОС. В случае, если эти расходы покажутся Вам дорогими, - помните скупой платит дважды.

В будущем использовать сёрфинг в интернете по неизвестным сайтам
ТОЛЬКО через браузер avast SafeZone, вложения в письмах с неизвестными
адресатами не открывать и удалять от греха подальше. А если и открывать (не стОит), то приложение должно быть
под песочницей аваста во время открытия документа. Если бы этот пункт
выполнялся, как и п.7 заражения бы не произошло.

Можете, конечно создать тикет в техподдержку Аваста, но он только даст
задержку по времени решения проблемы, и файлы будут продолжать
шифроваться (поэтому сразу копируйте то что осталось - п.1). И
расшифровку скорее всего не дадут, только излечат от вируса.

Кидаться молниями в Аваст нет смысла, в момент заражения Ваших ПК в
99,9% ни один антивирус не мог справиться с заражением. Разработчики этих тварей тестируют свои детища перед массовой спам-рассылкой письма с заражённым вложением (aka PDF, docx, xlsx, exe под видом что это не exe и т.д. и т.п.).

Также как и бэкап, совет на будущее: нигде, повторюсь нигде не
работайте под администраторской учётной записью. И используйте совет
из п.5

Удачной остановки эпидемии.