Комментарии 27
При нормальной организации дел, теряется наработка от одного до нескольких дней, в зависимости от важности информации. Всё остальное восстанавливается из бэкапа. Поэтому подобные случаи следствие неграмотности, безответственности, лени админа. А также легкомысленного отношения руководства к проблемам информационной безопасности.
Это же школа, думаете школа держит отдельный штат «сисадмина»? Скорее всего администрирует преподаватель по информатики.
не далее как позавчера восстанавливал школьный сервак из бекапа =)
так что да, хотя бы один сисадмин в школе должен быть (особенно, если у них 25 серваков)
так что да, хотя бы один сисадмин в школе должен быть (особенно, если у них 25 серваков)
Хм… Насколько я слышал, у нас в городе в каком-то центральном органе по образованию сидят несколько админов и они занимаются IT в садах и школах города. В каких-то городах сторонние фирмы этим занимаются. Везде по-разному.
25 серверов администрирует преподаватель по информатике? Для такого парка, как минимум нужен специалист на аутсорсе.
может 25 компьютеров? 25 физических серверов на больших предприятиях и то редко.
потому что в оригиналах не школа
Horry County Schools officials have been authorized to pay a ransom to get back data that was harmed by a computer virus last week, according to district spokeswoman Teal Britton.
Hucks says they have been able to back up most of the lost data, but 25 servers with information for elementary schools are still encrypted with no way to get in.
http://wbtw.com/2016/02/16/horry-county-schools-approve-paying-computer-virus-ransom-making-payment-problematic/
http://wpde.com/news/local/horry-county-schools-planning-to-pay-ransom-after-being-shut-down-by-computer-virus
Horry County Schools officials have been authorized to pay a ransom to get back data that was harmed by a computer virus last week, according to district spokeswoman Teal Britton.
Hucks says they have been able to back up most of the lost data, but 25 servers with information for elementary schools are still encrypted with no way to get in.
http://wbtw.com/2016/02/16/horry-county-schools-approve-paying-computer-virus-ransom-making-payment-problematic/
http://wpde.com/news/local/horry-county-schools-planning-to-pay-ransom-after-being-shut-down-by-computer-virus
Действительно, нестыковки какие то… Даже если хранить все соченения всех ученико за все года. А если речь идет о компах — как то маловато — зачем останавливаться на болкировке всего 25 компов?
Откинем факт что это сервера и допустим что это просто сеть из 25 компов с общей шарой и не настроенными правами на эту шару — аля у всех право на запись во все каталоги шары. (это пример из реала, недавнего)
Все компы пользуются шарой по средствам сетевого диска, у всех админ его подключает как диск N: и малая часть до которой админу было тащится влом и он по телефону говорил куда тыкать, эти юзеры подключили как Z: (по умолчанию в винде).
Один из юзеров подхватывает криптовальщик, он криптует всё что можно на локальной машине и доходит до сетевых шар, на шаре также криптуется всё что можно и все каталоги находящиеся в корне сетевого диска скрываются и создаются ярлыки с теми-же названиями, в ярлыках ссылка на тело криптовальщика
N:\$RecycleBin\hdggfhf.exe N:\SomeFolder
Тоесть ярлык «запускает» тело вируса а тот в свою очередь принимает параметр в виде пути на каталог и открывает его (дабы жертва не сразу въехала)
Соотвественно все пользователи которые ещё не пострадали и зашли забрать/положить файлик на в шару получают криптовальщик и лишаются данных на локальном компе.
Единственный кто не страдает в этой схеме это юзера которые на шару не ходят ибо не нужно (но тут действует принцип «Мань чот не открывается попробуй у себя») и те самые юзера которые сетевой диск подключили как Z: ибо вирусняк в ярлыки прописал букву диска которая использовалась на первом компе ака точке проникновения и ярлык соотвественно недействителен.
Это я к чему, а к ответу на вопрос «зачем останавливаться на болкировке всего 25 компов?» :)
Все компы пользуются шарой по средствам сетевого диска, у всех админ его подключает как диск N: и малая часть до которой админу было тащится влом и он по телефону говорил куда тыкать, эти юзеры подключили как Z: (по умолчанию в винде).
Один из юзеров подхватывает криптовальщик, он криптует всё что можно на локальной машине и доходит до сетевых шар, на шаре также криптуется всё что можно и все каталоги находящиеся в корне сетевого диска скрываются и создаются ярлыки с теми-же названиями, в ярлыках ссылка на тело криптовальщика
N:\$RecycleBin\hdggfhf.exe N:\SomeFolder
Тоесть ярлык «запускает» тело вируса а тот в свою очередь принимает параметр в виде пути на каталог и открывает его (дабы жертва не сразу въехала)
Соотвественно все пользователи которые ещё не пострадали и зашли забрать/положить файлик на в шару получают криптовальщик и лишаются данных на локальном компе.
Единственный кто не страдает в этой схеме это юзера которые на шару не ходят ибо не нужно (но тут действует принцип «Мань чот не открывается попробуй у себя») и те самые юзера которые сетевой диск подключили как Z: ибо вирусняк в ярлыки прописал букву диска которая использовалась на первом компе ака точке проникновения и ярлык соотвественно недействителен.
Это я к чему, а к ответу на вопрос «зачем останавливаться на болкировке всего 25 компов?» :)
Неважно кто администрит, своими силами или сторонняя контора. Важна стоимость информации, которую в данном случае оценивают не менее 8500$, а возможно и дороже. Если бы информационная составляющая ничего не стоила в работе организации — дешевле было бы всё отформатировать и переустановить. Иначе профилактика проблемы как правило дешевле разгребания её последствий. Особенно если 25 серверов, хотя трудно представить зачем их столько школе.
Вы слишком переоцениваете информатиков… Наша информатичка не умела даже переустановить систему, и ваш покорный слуга неоднократно привлекался в качестве админа на аутсорсе, с оплатой пятёрками :)
Естественно. Конторы, где админ сказал «Фуууу» и накатил бэкап — не попадают в международные новости. Частая причина известности — идиотизм.
Похоже что это единичные случаи, когда "что-то пошло не так" — развалился диск с бэкапами, бэкапы так же оказались зааффекчены, еще что-то. Многие ли держат бэкапы на двух отдельных дисках?
какой интересный случай удалить свои плохие оценки
>>Представители школы заявили, что вирус проник через старый сервер с устаревшим ПО и железом.
Не забываем про обновления ;)
Интересно почему именно разработчикам?
>>Представители школы заявили, что вирус проник через старый сервер с устаревшим ПО и железом.
Не забываем про обновления ;)
Интересно почему именно разработчикам?
marks Второй пункт в опросе неудачный, звучит как признание во всех смертных ;)
Сьекономили. Накатить бакап (если он и был) могло обойтис и дороже.
С одной стороны $8500 не видится большими деньгами для организации в США (возможно, я не прав), с другой — не удивлюсь, если потом всплывёт, что восстановили из бекапов, а деньги ушли в карман админу.
Не школа, а школьная администрация всего округа. Отсюда и 25 серверов.
Для них это не деньги, только визгу много.
Для них это не деньги, только визгу много.
Еще одна причина создавать регулярные резервные копии на внешних носителях.
Интересно, не могли быть причастны школьники к инциденту? В качестве эксперимента по информатики.
Интересно, не могли быть причастны школьники к инциденту? В качестве эксперимента по информатики.
В случае Linux Samba и с общими файлами на сетевом диске
vfs objects = recycle должно спасти, ответственно говорю, был случай.
vfs objects = recycle должно спасти, ответственно говорю, был случай.
Я еще понимаю коммерческие структуры атаковать, но школы и больницы? У людей(если их так можно назвать) совершенно совесть пропала.
вирус проник через старый сервер с устаревшим ПО и железом
Скорее не вирус а чьи-то кривые руки его туда запустили.
Скорее не вирус а чьи-то кривые руки его туда запустили.
Это очевидные недостатки использования Windows в школе. Для похожих условий приходилось делать полную эмуляцию dc и сервисов на линуксе.
Зарегистрируйтесь на Хабре, чтобы оставить комментарий
Публикации
Еще одна жертва криптовымогателя: американской школе пришлось заплатить $8500 разработчикам вируса-шифровальщика