Đúng vậy. Hồi trước t làm sysad cho 1 công ty FDI. 5h chiều gần về, nhóm kế toàn OT ở lại để làm nốt việc. Không lưu được dữ liệu. Gọi cho tôi, lúc ý t đang ở nhà cmnr. Tôi chạy lên cty, truy cập vào server thì ôi thôi, màn hình desktop báo tiền chuộc, file bị mã hóa hết toàn bộ. Mã hóa ăn sang cả server khác cùng nội bộ.
Tôi tắt nóng 1 server, thì lúc sau bật lên không lên nữa. ngỏm củ tỏi luôn.
Tôi tìm các đơn vị khôi phục dữ liệu nhưng báo giá trên trời và khả năng cũng không được.
Tôi báo lên lãnh đạo tìm hướng xử lý.
Tôi mượn được 1 con server cùng model, tháo ổ từ con server ngỏm củ tỏi kia lắp sang, may là cùng raid. Mở lên copy xem còn dữ liệu nào cần không. Thì cũng còn 1 vài bản backup. Còn đâu thì cũng bị mã hóa hết.
NAS cũng bị mã hóa luôn 1 phần.
Cuối cùng lãnh đạo quyết định bỏ, không cần khôi phục. Còn gì thì dùng nốt.
Xong vụ đấy thì cty mua 1 con server khác. thay cho con ngỏm củ tỏi kia đi.
Sau tôi tìm hiểu, thì Khả năng do tôi bật cổng Remote desktop. Nên bọn hacker nó scan được.
Bài học rút ra là không nên tắt nóng server. Ngỏm lúc nào không biết. Lại có thêm kinh nghiệm xử lý tình huống thực chiến. Giờ tôi làm DEV rồi, tương lai sẽ chuyển sang DevOps
