В своей практике было 3 случая:
1. Пришлось заплатить, код прислали, действительно расшифровали, после этого комп был полностью очищен своими руками.
2. Повезло, что был свежий бэкап, подняли из него всё, изрядно потратив прилично времени.
3. Не удалось расшифровать, не платили, данные лежали на сетевом диске, шифровщик его не тронул. Инфа на локальном диске была не особо важна.
Unit, это отрицательный опыт в общем и целом. Объясню почему.
1. Платить злоумышленникам - последнее дело. Все эксперты антивирусные говорят что "ни в коем случае не платить", обращаться в право хранительные органы. Но многие по понятным причинам не обращаются. А платят. И очень много случаев когда платят не один раз и в итоге не получают вторую часть ключа и правильные рекомендации по восстановлению данных. Таких случаев во много раз больше, чем с положительным исходом.
Источник заражения не выявляли, расследование как попал "гад" не проводили и тело вируса не локализовали?
2. В истории с шифровальщиками, единственное решение которое может спасти реально, это грамотная многоступенчатая система бэкапирования. Но и в этом случае она не обеспечивает безопасность данных в полном объеме. Все равно будет какой-то процент данных наработанных в последние часы которые потеряются. Тут еще очень многое, практически все, зависит от ИТ-специалистов и админов. А точнее от времени выявления угрозы (в данном случае попадания трояна-шифровальщика в сеть) и скорости принятия правильного решения. Так же и своевременного постоянного информирования сотрудников копании о активности вирусной (как что нужно делать и что не нужно делать в той или иной ситуации, нужно повышать грамотность работы сотрудников с ИС на работе).
3. Противоречиво как-то написано. Как такое может быть? Я правильно понял, что данные на локальном диске были потеряны и данные которые лежали на сетевом диске частично тоже были потеряны?
Тело вируса локализовать и сохранить удалось?
Если есть на раб. станциях подключенные сетевые диски, то там будет шифроваться, в отличии от ярлыков ссылающихся на тот же сетевой ресурс.
А есть ли у кого опыт, когда обнаружили шифрацию, остановили, выявили источник, локализовали и сохранили тело вируса и вспомогательные файлы и потом произвели действия которые в последствии расшифровали зашифрованные данные?