[WindowsNT]

Что известно:
- им уже много лет. Несколько лет подряд я наблюдаю на форумах ежедневные вопли "помогите, зашифрованы документы и базы 1С!";
- внятную защиту от них обеспечивает только software restriction policies, именно шифровальщики блестяще доказывают БЕСПОЛЕЗНОСТЬ антивирусных программ;
- поражённая машина находится под полным контролем автора вируса. Он может сделать ВСЁ, в том числе обыскать все локальные диски, съёмные носители и сетевые соединения; некоторые глупые люди думают, что файлы на файл-сервере находятся в безопасности, и что ограничивать доступ к документам в сети не следует, "мы все друг другу доверяем". Вирус доказывает иное;
- вина администратора в заражении шифровальщиком и/или потере данных всегда безусловна и безоговорочна, однако, многие этого понять не в состоянии. Они обвиняют плохой антивирус, пользователя или браузер; крайне редко кто делает правильные выводы после происшествия;


Как лечится:
- данные восстанвливаются из резервных копий. И на Windows Server, и на Windows Professional настроить ежечасные shadow copies (копия прозрачно делается раз в час!) не составляет ни малейшей проблемы, это можно и нужно заранее сделать не только из-за шифровальщиков. Бэкап является единственным гарантированным источником чистых данных, всё остальное (зашифрованное) может либо никогда не быть расшифровано, либо необратимо повреждено, либо скомпрометировано иным способом, в том числе неоднократно повторно. В целом, все люди делятся на две категории — те, кто ЕЩЁ НЕ делает бэкап и те, кто УЖЕ делает бэкап. Выбирайте, какая категория вам ближе.
- скомпрометированная система уничтожается и переустанавливается с нуля. Вы уже не можете знать, что живёт внутри компьютера, куда проник хакер;
- администратор наказывается в рамках политики организации. Это стопроцентно его вина;
- политика управления компьютером меняется на внятную, правильную.