13 ноября
Запускаем акцию — «Заяви о себе с Про бизнес»!
1 | 1 |
Писали в поддержку антивирусной компании, просили помощи у сторонних фирм, вели переписку с хакерами и даже торговались с ними — такой путь проделала команда «Пневмотехцентр», чтобы спасти свои клиентские базы. Директор компании Александр Матвейчев рассказал «Про бизнес» о том, как все же удалось вернуть данные и что поменялось в компании после этого непростого случая.
— Наша компания занимается реализацией пневматического и строительного оборудования, работает на рынках Беларуси, России и Казахстана — в компании свыше 80 сотрудников. Мы храним нашу 1С-базу на сервере. В ней вся бухгалтерия, с базой плотно работаем каждый день.
Однажды в выходной день в конце января база стала работать некорректно — отключилась синхронизация и автоматизация. Специалист зашел на сервер и обнаружил файлы с измененным расширением — т.е. зашифрованные. Помимо базы мы потеряли доступ к системным файлам, CRM, документам, архивам за прошлые годы работы компании и даже к корпоративным фотографиям.
Прямо в именах зашифрованных файлов был указан некий e-mail, по которому можно было связаться с шифровальщиком.
Подчеркну — мы тоже не дураки и регулярно делали бэкапы. Но из-за настроек сервера получилось так, что сами бэкапы тоже оказались зашифрованы и ничем не могли нам помочь.
Утром в понедельник мы смогли частично восстановить информацию. Всю систему переустановили с нуля: 1С, SQL-сервер, софт. Две ключевые базы 1С у нас также хранились на Google.Диске. Около 60% утраченных данных мы смогли восполнить.
Мы стали искать варианты для расшифровки остальных данных. Сначала написали в поддержку компании, у которой приобрели антивирусное ПО. Но, к сожалению, после длительного ожидания получили ответ, что нам ничем не могут помочь — мол, шифрование высокого уровня, и пока у компании нет дешифровщиков для него.
Потом мы обратились в несколько фирм, которые оказывают услуги по восстановлению данных.
У нас было утрачено 12 баз разного объема. За восстановление каждой крупной установили прайс в 60 тыс. рос. руб. ($ 770), а те, что меньшего объема, готовы были восстанавливать за 20−30 тыс. рос. руб. ($ 260−390). В целом выходила немалая сумма. К тому же мы прочли, что такие фирмы связываются с хакерами и платят им за расшифровку — т.е. просто становятся посредником.
Мы решили попробовать вариант для отчаянных в надежде, что получится дешевле, — скопировали адрес почты из названий зашифрованных файлов и написали на нее письмо. Вскоре нам ответили:
«Мы можем все расшифровать, но это будет стоить $ 2000».И в качестве доказательства расшифровали для нас один из файлов.
Переписку с хакерами мы вели на английском в течение недели. Общались по почте и в Telegram. Всего в цепочке 89 писем.
Мы выяснили, что у шифровальщиков — своя внутренняя организация. Есть менеджеры, которые ведут переписку, а также хакеры, которые занимаются непосредственно расшифровкой. Судя по скриншотам, которые мы от них получали, действовали люди из арабских стран.
Причем тот, кто общался с нами постоянно, делал вид, что он — не виновник наших злоключений, а помощник. К нам относились как к клиенту.Мы долго не могли поверить, что решимся платить хакерам. Это то, чего никто делать не советует. Но все другие доступные методы мы испробовали — безрезультатно.
Поэтому решили торговаться — мол, ребята, мы компания из Беларуси, это небогатая страна, мы не можем заплатить такую сумму. В итоге нам удалось договориться на $ 400.
Платить нужно было в биткоинах — мошенники не давали шанса себя отследить. Мы так и сделали — перевели $ 400.
Но после этого нам сказали, что ключ для расшифровки не дадут, пока мы не перечислим еще $ 400, т.к. у нас много файлов. Мы понимали, что так может продолжаться бесконечно: мы им один транш, а они потребуют следующий.
18 дней мы работали без важных данных. Это порождало огромные убытки для компании. Речь шла о десятках тысяч долларов. 35 менеджеров не могли работать.
Мы решились на отчаянный шаг и заплатили хакеру снова. Предварительно проговорили, что больше с нашей стороны никаких платежей не будет ни при каких условиях.
После перевода еще $ 400 нам прислали ключ для расшифровки файлов. При этом поблагодарили за доверие — весельчаки.
Ключ включал множество символов — не только цифры, но и буквы различного регистра, а также значки. Дешифратор мы запускали на отдельном компьютере без интернет-соединения, т.к. опасались, что это может быть какой-то вирус, который заразит всю нашу систему.
Но файлы благополучно удалось расшифровать. Повезло, что мы ничего сами не меняли в их расширении и названиях, иначе спасти данные не получилось бы.
Мы скопировали файлы с компьютера и полностью переустановили систему. На этом эпопея с восстановлением данных завершилась.
Мы стали искать причину уязвимости нашего сервера. Оказалось, что разработчики, которые работали с нашей 1С, занесли вирус-шифровальщик прямо на сервер. И так как у них был доступ ко всем системам, заражение коснулось всего объема данных.
Мы связались с программистами и выяснили, что они столкнулись с той же проблемой — данные на их серверах тоже были зашифрованы.
Конечно, мы хотели добиться справедливости и пытались получить компенсацию с разработчиков. Но те ответили: «Вирус же не спрашивает, к кому идти». К сожалению, ответственность подрядчика на такого рода случаи не была прописана в договоре.
Что мы поменяли после истории с шифровальщиком:
13 ноября
Запускаем акцию — «Заяви о себе с Про бизнес»!
12 ноября
#Подумайте5секунд: А1 запустил общенациональную информационную кампанию для защиты своих клиентов и всех граждан Беларуси от кибермошенничества
11 ноября
Открыта регистрация на бизнес-конференцию RACE 25 ноября!
8 ноября
Неделя бизнеса-2024: тренды, VIP-нетворкинг и 4 дня крутых выступлений
6 ноября
Конкурс стартапов SU&IT-2024: Новая волна инноваций в Беларуси
6 ноября
«Безопасное будущее»: в Минске состоится третья конференция A1 Tech Day
6 ноября
Депозиты Белагропромбанка – новый уровень вашего бизнеса
1 ноября
Бесплатный аудит кадровых и бухгалтерских процессов – спецпредложение от ООО «СМАР ЛИГАЛ»