Снова про шифровальщики

Недавно ко мне обратился клиент с просьбой восстановить сервер после атаки вируса шифровальщика.

Собственно восстанавливать там уже особо нечего было. Всё плохо.
Постоянного админа у них нет. Сервер настраивали как считали нужным несколько человек.
Знакомый изредка приходящий админ, 1с программист, инженеры из фирмы поставщика торгового оборудования.
Анамнез
Админ - настроил в планировщике регулярные резервные копии БД в отдельную папку на диск D (всего на сервере было создано два логических диска.)
1с программист - после жалобы пользователей что 1с зависает, обнаружил что диск D переполнен архивами и более ничего лучше не придумал как удалить все старые архивы, оставив только архивы за последнюю неделю.
Инженеры - не смогли настроить проброс штрихсканера через RDP, отключили встроенный брандмауэр. Отключили серверный антивирус. Добавили несколько пользователей с админскими правами и паролями типа 111.
Штрихсканеры так и не заработали, пятница заканчивалась, все хотели домой.

Результат

После выходных 1с не запустилась.
Зашифрованы все файлы базы и резервные копии.

Как взломали

Логи на сервере и роутере говорят о том что сервер периодически атакуют через RDP путём подбора популярных связок имён пользователей и паролей. Инженеры устанавливавшие торговое оборудование, добавили одного из пользователей с именем usr и паролем 222, имеющим админские права.
Был произведён вход на сервер через rdp под этим логином. Далее был запущен скрипт шифровальщика.

Принятые меры со стороны руководства.

Других бэкапов не осталось.
Выкуп требовали 500000р.
Обращение в полицию, возбуждено уголовное дело. Учитывая логи первыми были опрошены инженеры на предмет причастности к взлому.
Через несколько дней в аварийном режиме работу сервера восстановили, у программиста оказалась рабочая копия 1с недельной давности.
Уголовное дело ещё не закрыто.

Далее обратились ко мне.

Проведённые мероприятия.
Для сервера куплены несколько HDD, (старые изъяты полицией) а так же приобретено внешнее сетевое хранилище.
На один из новых хардов установлен и правильно настроен сервер, стандартный порт RDP изменён на другой.
Все пользователи получили уникальные логины и пароли без админских прав.
Заведён журнал ведения логинов и паролей и назначен ответственный за регулярную смену паролей.
Настроена регулярная архивация БД как на самом сервере, так и на внешнее хранилище.
Архивация производится самим внешним хранилищем, в назначенное время сетевое хранилище само включается, забирает с сервера архивы и делает контрольную копию БД, после чего отключается до следующего сеанса.

Время простоя фирмы 6 дней. Суммарный ущерб около 2млн.руб.

Не будьте беспечны, помните что за Вас никто не позаботится о безопасности ваших данных.
При организации резервирования данных учтите следующие пункты:

1. Новые шифровальщики проявляют себя только после окончания шифрования данных на ПК.
   Вы не заметите и не успеете выключить компьютер. Алгоритм шифровальщика таков, что бы как можно дольше не проявлять себя. Если ПК медленный то шифровальщик будет работать несколько дней или неделю с использованием минимальных ресурсов процессора.
2. Скорость шифрования данных на не слишком старом ПК около 1Гб/мин.
   За полтора часа работы вируса у вас не останется ничего более-менее ценного.
3. Вирус шифрует в первую очередь недавно созданные и открывавшиеся документы. Параллельно проводя поиск БД на локальном ПК и сети а так же собирая все пароли отслеживая ваши действия.
   При обнаружении доступа к серверу по локальной сети или через RDP, он перехватывает логин/пароль для доступа и производит его атаку. В лучшем случае если пользователь был без админских прав пострадает профиль пользователя на сервере и возможно 1с, особенно ели это 7.7, эта версия плохо работает без полных прав на файлы у пользователя.
   В худшем случае, у вас будут зашифрованы все данные на сервере если у пользователя админские права или из под него получилось повысить права пользователя.