Именно в это время становится понятно, удастся ли восстановить данные, сколько продлится простой и не станет ли ситуация ещё хуже из-за неправильных действий.
Что обычно происходит после заражения:
🔴 Базы перестают читаться/открываться
🔴 Серверная 1С на MSSQL или PostgreSQL может быть повреждена частично или полностью и выдавать странные ошибки
🔴 Ну и самое важное - выкуп! Требуют и угрожают что все продадут!
Что делать в первые часы:
1. Остановить распространение, отключить заражённые машины от сети
2. Не платить выкуп – никто не гарантирует, что ключ пришлют и он сработает
3. Зафиксировать состояние, сделать образ диска до любых действий
4. Проверить резервные копии, не просто наличие, а дату и читаемость
Почему нельзя надеяться только на бэкап?
Шифровальщики часто работают тихо. К моменту обнаружения атаки часть копий уже может быть зашифрована.
Если хотите, напишите в GG Security, коротко опишите ситуацию, тип базы и что уже успели сделать. Мы быстро скажем, есть ли шанс на восстановление и с чего правильно начинать.