Чаще всего отзывы пишутся после негативного опыта. Поэтому и мой отзыв будет о негативном опыте.
Предыстория. В 2002 году столкнулись с шифровальщиком. После этого решили купить антивирус. Выбор пал на коробочное издание Dr Web «Малый бизнес» 5 пк и 1 сервер. Соответственно на закупку лицензий было потрачено около 90 тр.
Установили и бед не знали до 2020 года. Регулярно обновляли версию приложения, и заблаговременно покупали лицензию. На сервере стоял 1С. Бэкапы делались вручную на внешний носитель. Также раз в год делались бэкапы системы на внешний диск.
Июнь 2020. Сервер перестает отвечать по rdp в 12 дня. Подключившись к серверу, увидел окно вируса шифровальщика. Зашифрованы оказались все файлы с расширением pgp. Увы, флешку с бэкапами тоже зашифровали. Здесь моя полнейшая глупость. Вечером сел сделать бэкап, и пока ждал пришлось срочно ехать по звонку. Возвращаться за плешкой было уже лень, и было решено забрать ее на следующий день.
Начал искать в сети информацию об этом вирусе. Попутно написал в поддержку Dr Web. Нашел на форумах информацию о том, что если на момент заражения на сервере был лицензионный Dr Web, то компания поможет в расшифровке данных. Обрадовавшись, отправил зашифрованные файлы в службу поддержки.
НО, вместо поддержки и попытках помочь, мне сначала сказали что Dr Web у вас вообще не был установлен, затем установлен, но его удалили. Затем сообщили, что злоумышленники подключились по rdp с правами администратора и удалил антивирус и нужно делать пароли безопасными, например Qwe123 (к слову реальный пароль содержал латинские буквы, цифры и 2 спецсимвола).
В итоге все общение с поддержкой выглядело следующим образом: - У нас проблема, все файлы на сервере зашифрованы - Лол, ну нужно быть аккуратней.
На следущий день позвонил сотрудник поддержки и говорит «Я прочитал ваше обращение. Действительно похоже что взломали по rdp. У вас же никаких важных данных не было на сервер, верно?» Серьезно? А зачем мне антивирус на сервере? Чтобы не хранить там ничего важного? Также этот сотрудник пообещал, что если удастся найти дешифратор, то нам обязательно сообщат. Это конечно здорово, но крайне маловероятно( Ни в коем случае не отрицаю, что все проблемы и последствия это исключительно моя глупость. Сейчас настраиваем автоматическое создание бэкапов на linux и в облако. Постараемся теперь следить и делать кучу копий как автоматически, так и вручную.
Но до сих пор не понимаю. Если есть логи и попытки перебора паролей, почему не сделать информирование администратора о возможной опасности. Ведь за день до атаки владелец сидел перед монитором и проводил полное сканирование сервера. Как конечный пользователь я совсем не разбираюсь в безопасности, поэтому плачу деньги за официальный продукт, чтобы быть уверенным в защите. Но как оказалось лучше эти деньги было потратить на покупку дисков и флешек.
Покупать ли в следующий раз лицензию не уверен. Если действительно удастся восстановить данные, то вероятнее всего куплю. Но сам сотрудник сказал, что это если и произойдет, то будет чудо. Поэтому наверно проще будет установить какой-нибудь бесплатный антивирус и делать копии.
