none
Зашифровало SQL RRS feed

  • Общие обсуждения

  • Добрый день. Не знаю, сюда или нет, но может кто ответит. На server 2012r2 был установлен SQL 2008. Сегодня sql он перестал отвечать. Обнаружил, что служба SQL остановлена. А сама папка DATA с базами заархивирована в RAR архив и рядом лежит текстовый файл следующего содержания: 

    Внимание! Ваши данные заархивированы с паролем, использование их невозможно.
    Для получения пароля к архиву от вас требуется оплата в эквиваленте 30000р (инструкции по оплате вам будут выданы после вашего обращения).
    При согласии напишите на почту     @....  , указав в обращении IP адрес вашего сервера (внешний, его можно узнать, открыв сайт 2ip.ru). 
    IP адрес необходим для выдачи вам вашего персонального пароля от архивов. Также вам будут даны подробные рекомендации по устранению недостатков в безопасности сервера, во избежания подобных ситуаций в будущем.

    Сразу, чтобы "не вставать дважды", к вопросу о гарантиях, который задают почти все - "где гарантия того, что после оплаты - пришлете пароль", "где гарантия что данные откроются" и т.п.
    Ответ:  как вы видите -  архив с данными у вас лежит и доступен к просмотру. Хотел бы кинуть - удалил бы просто все и сказал что данные у меня лежат, а после оплаты - слился бы, а не заморачивался бы с архивацией информации.
    Если сами не будете затягивать - то через 1-2 часа сможете продолжать работу как ни в чем ни бывало + избавитесь от лазеек в системе и никто вас более не потревожит. В конце концов почту мою загуглите, - не вы первые, не вы последние, но кинутых не было.
    Если сильно так хочется гарантию распаковки - заливайте архив на яндекс диск, присылайте ссылку, скачаю, извлеку какой то файл, для вашего спокойствия. Но для вас это дополнительные затраты времени. 

    Через 24 часа цена за пароль от архивов составит 40000р.

    ------------------

    Я пока не выяснил как это удалось. Может кто уже встречался с таким? Причем, по виду, ничего кроме баз, архивов sql не тронуто. При этом судя по всему, архивы чистые. в них ни чего нет.




    14 июня 2018 г. 4:30

Все ответы

  • День добрый!

    Ищите дыру в Вашей безопасности. Закрывайте. Восстанавливайте базы SQL из архивной копии. На мой взгляд, да и думаю УК РФ со мной согласиться - это вымогательство ст. 163. Ну или "подкормите" вымогателя, но не факт, что ЭТО не повториться. 


    Если Вам помог чей-либо ответ, пожалуйста, не забывайте жать на кнопку "Предложить как ответ" или "Проголосовать за полезное сообщение"

    14 июня 2018 г. 6:13
  • Какой у вас антивирус на сервере? Опубликова ли он в инет?
    14 июня 2018 г. 6:27
  • Не стоял антивирь. На нем еще сервер терминалов крутился. Вошли и сделали....
    14 июня 2018 г. 6:37
  • Похоже ломанули локального администратора. Только как им удалось подобрать пароль из 11 цифр. При этом политика настроена на блокировку учетки при неверном набранном пароле 4 раза. Стоит программа RDPDefender которая должна была заблокировать ip при неверном набраном пароле. 
    14 июня 2018 г. 8:12
  • Пришлось заплатить. Прислали письмо с паролем и такую строку:

    уберите уязвимость, связанную с выполнением команды  REG ADD "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\sethc.exe" /v Debugger /t REG_SZ /d "C:\windows\system32\cmd.exe"

    14 июня 2018 г. 11:33
  • 1. Перенесите MSSQL или службу RDS на другой сервер. Нехорошо когда пользователи работают на том же сервере, где крутиться SQL

    2. Пароль из 11 цифр - не безопасный. В идеале использовать буквы разного регистра с символами.

    3. Установите обновления на сервер!

    4. Я бегло почитал про эту уязвимость и не обнаружил возможность удаленного запуска приложений. Т.е. нужен доступ к серверу. Тут я могу быть не прав. В любом случае смотрите логи!

    5. Последнее и не менее важное - обязательно делайте бекапы!

    14 июня 2018 г. 12:01
  • Диск бекапный на том же сервере был. Он архивы из под админа то заботливо и удалил. 
    14 июня 2018 г. 12:19