Что за вирус acronis
В 2006 году на крупной российской конференции доктор технических наук выступил с докладом о нарастающем информационном пространстве. В красивых схемах и примерах учёный рассказывал о том, что через 5-10 лет в развитых странах информация будет поступать каждому человеку в количестве, которое он не сможет полностью воспринять. Он говорил о беспроводных сетях, доступном на каждом шагу интернете и носимой электронике, и особенно много о том, что информация будет нуждаться в защите, но обеспечить эту защиту на 100% будет невозможно. Ну это мы сейчас так формулируем, а тогда аудитория его приняла как полоумного профессора, который живёт в мире научной фантастики.
Прошло 13 лет, и новое исследование Acronis показало, что фантастика давно стала реальностью. Международный день бэкапа — лучшее время, чтобы рассказать о результатах и дать несколько важных советов, как оставаться защищённым в условиях десятков сетей, гигабайт поступающей информации и кучи гаджетов под рукой. И да, компаний это тоже касается.
Для крутых айтишников — конкурс внутри.
Точно бэкап сделал? Точно-точно?
4 нелишних совета для всех
Чтобы защитить персональные файлы или обеспечить непрерывность деятельности компании, Acronis рекомендует выполнять четыре простых действия, которые помогут защитить данные. Впрочем, эти советы будут явно нелишними и для частных пользователей.
- Всегда создавать резервные копии важных данных. Хранить резервные копии как локально (для обеспечения оперативного доступа к ним и возможности сколько угодно частого восстановления), так и в облаке (чтобы обеспечить сохранность всех данных в случае уничтожения офиса в результате кражи, пожара, наводнения или иных стихийных бедствий).
- Регулярно обновлять операционную систему и программное обеспечение. Использование устаревших версий ОС или приложений означает, что ошибки остаются неисправленными, а исправления безопасности, которые помогают блокировать доступ киберпреступников в соответствующую систему — неустановленными.
- Обращать внимание на подозрительные письма, ссылки и приложения. Большинство случаев заражения системы вирусами или запуска программ-вымогателей происходит в результате использования методов социальной инженерии, под воздействием которой пользователи открывают обманным путем зараженные приложения к электронным письмам или нажимают на ссылки, ведущие на веб-сайты с вредоносным ПО.
- Устанавливать антивирусное ПО и запускать автоматическое обновление системы, чтобы защитить ее от последних известных угроз. Пользователи Windows должны подтвердить активизацию и актуальность Windows Defender.
Ввиду невероятно быстрой эволюции современных угроз для данных, компании и пользователи стремятся найти такие решения для защиты данных, которые обеспечивали бы максимальную защиту, включая гибкое локальное, гибридное и облачное резервное копирование и мощное антивирусное ПО.
Только решения для резервного копирования от Acronis (Acronis Backup для компаний и Acronis True Image для индивидуальных пользователей) предполагает активную защиту от программ-вымогателей и криптоджекинга, основанную на искусственном интеллекте, способную выявлять и блокировать зловредные программы в режиме реального времени и автоматически восстанавливать любые поврежденные файлы. Технология настолько эффективна, что в прошлом году ей удалось предотвратить 400 тыс. подобных атак.
Новая версия такой интегрированной защиты под названием Acronis Active Protection недавно получила новую функцию распознавания и блокирования вредоносного ПО для добычи криптовалюты. Выпущенное осенью 2018 года обновление Acronis Active Protection заблокировало десятки тысяч атак вредоносного ПО для добычи криптовалюты в течение первых месяцев работы.
5. Нельзя полагаться только на Time Machine
Time Machine является замечательным (бесплатным) инструментом, встроенным в OS X – Apple сделали верную ставку на упрощение процедуры бэкапа. Time Machine – это хорошо. Но не стоит целиком и полностью доверять данному приоложению. Например, в статье «Why I Don’t Rely on Time Machine» («Почему я не доверяю Time Machine») автор рассказывает, как столкнулся с неисправимой ошибкой Time Machine, в результате которой ему пришлось очистить все резервные диски и начать копировать всё заново. Диски были в порядке, а вот данные – нет. Даже хвалёные инструменты восстановления не помогли. Time Machine может идеально работать годами, но стоит ему хоть раз споткнуться… Хотя Time Machine и надёжная утилита (и хорошо справляется со своей работой как вспомогательный бэкап-инструмент), но лучше не делать ставку только на нее.
Ещё кое-что о Time Machine: если у вас «полетел» диск целиком, то единственным выходом станет его форматирование или замена с последующим восстановлением бэкапа – этот процесс может занять долгие часы. Во время выполнения процедуры вы не сможете пользоваться своим Mac, поэтому настоятельно рекомендуем делать загрузочные копии системы или «клоны». Но это приводит к ещё одной проблеме…
Иллюстрация шифрования и дешифрования
Чтобы лучше понять, как ключи генерируются и передаются между компьютерами злоумышленника и жертвы, нужно разобраться, как работает алгоритм Diffie Hellman — это несложно сделать по иллюстрации.
Нормально делай – нормально будет!
Здорово, если во время чтения этого списка нелепых ошибок вы убедились, что ваша стратегия резервного копирования данных совершенна и лишена описанных недостатков. Если это так – надеемся, вам было интересно взглянуть на то, как живут остальные 92% населения.
Анонс
Данная статья является переводом зарубежной статьи «11 stupid strategies of backup», автор которой не имеет к нашей компании никакого отношения. Однако мы решили опубликовать её, когда поймали себя на мысли, что наши новые продукты (в лице Acronis True Image 2016 и Acronis True Image Cloud) позволяют делать резервное копирование данных с учётом всех вышеперечисленных советов и рекомендаций. В ближайшем обозримом будущем мы подготовим обзоры наших новинок, а пока можете изучить их самостоятельно – по подробному обзору в журнале «Хакер» или скачав приложения с сайта.
Что мы знаем о Sodinokibi?
Sodinokibi использует уязвимость Oracle WebLogic (CVE-2019-2725), чтобы получить доступ к компьютеру жертвы. Попав в систему, вредоносное ПО старается запустить себя с расширенными правами, чтобы получить доступ ко всем файлам и ресурсам ПК без ограничения…
Sodinokibi старается не заражать компьютеры в Иране, России и других странах бывшего СССР.
Программа-вымогатель использует для шифрования пользовательских файлов алгоритмы AES и Salsa20. AES применяется для шифрования сессионных ключей, а также данных при отправке на сервер управления.
Пользовательские файлы шифруются при помощи Salsa20.
Для генерации и распространения ключей Sodinokibi использует алгоритм Diffie-Hellman на эллиптических кривых.
Попав на машину, вирус моментально удаляет все файлы из папки резервного копирования.
На данный момент вымогатели просят 0.32806964 BTC (≈ $2 500) за восстановление доступа к зашифрованным файлам. При этом, если выкуп не будет уплачен в течение 4 дней, вымогатели обещают удвоить сумму…
Коротко об опросе
В опросе приняли участие пользователи из США, Великобритании, Германии, Испании, Франции, Японии, Сингапура, Болгарии и Швейцарии.
В этом году опрос впервые проводился среди бизнес-пользователей. В связи с ростом числа случаев потери работы генеральными директорами, ИТ-менеджерами и другими руководящими лицами в результате взлома данных, онлайн-атак и ошибок компьютерных технологий, компания Acronis решила включить актуальные для них вопросы, связанные с защитой данных, в исследование. Включение бизнес-пользователей позволило выявить несколько различий в том, как и зачем пользователи и компании защищают свои цифровые активы.
Шифрование файлов на локальных жестких дисках и в сетевых папках
Для шифрования пользовательских файлов Sodinokibi использует I/O Completion Ports и запускает несколько потоков шифрования, но не более чем вдвое превышающее количество ядер процессора на машине, ассоциируя эти потоки с специально созданным портом I/O. Эти потоки используют функцию GetQueuedCompletionStatus Win API, чтобы дождаться поступления пакета на порт I/O перед началом шифрования файла.
Как только потоки создаются и переходят в ожидание поступления пакетов I/O, Sodinokibi начинает перебирать файлы пользователя на всех локальных дисках и во всех сетевых папках, исключая CDROM и RAMDISK и назначать их соответствующим I/O completion ports. Для всех файлов, которые не попадают под перечень исключений в названиях папок, файлов и расширениях вызывается функция AddFileToIoCompletionPort и затем PostQueuedCompletionStatus Это передаёт выполнение потоку шифрования, который ждет информации на I/O completion port, чтобы запустить шифрование файлов.
Функция AddFileToIoCompletionPort также генерирует уникальный ключ Salsa20 для каждого файла, который подлежит шифрованию, и передает ключ Salsa20 потоку шифрования вместе с другими метаданными, которые должны быть записаны после шифрования при помощи параметра lpOverlapped функции PostQueuedCompletionStatus Win API.
После обработки файлов в каждом каталоге, кроме являющихся исключением, создается файл с требованием о выкупе. Когда файлы, подлежащие шифрованию, кончаются, потоки переходят в зацикливание и ждут, пока общее количество зашифрованных и переименованных файлов не достигнет общего количества файлов, переданных на I/O completion port.
Наконец, система устанавливает флаг, который отражает, что больше нет файлов для шифрования и посылает несколько пакетов I/O, сигнализирующих о завершении процесса. Благодаря этому достигается прекращение работы дополнительных потоков шифрования, которые находились в ожидании данных.
- "$windows.~bt"
- «intel»
- «program files (x86)»
- «program files»
- «msocache»
- "$recycle.bin"
- "$windows.~ws"
- «tor browser»
- «boot»
- «system volume information»
- «perflogs»
- «google»
- «application data»
- «windows»
- «programdata»
- «windows.old»
- «appdata»
- «mozilla»
- Исключения в файлах
- «bootfont.bin»
- «boot.ini»
- «ntuser.dat»
- «desktop.ini»
- «iconcache.db»
- «ntldr»
- «ntuser.dat.log»
- «thumbs.db»
- «bootsect.bak»
- «ntuser.ini»
- «autorun.inf»
- Исключения в расширениях
- «themepack»
- «ldf»
- «scr»
- «icl»
- «386»
- «cmd»
- «ani»
- «adv»
- «theme»
- «msi»
- «rtp»
- «diagcfg»
- «msstyles»
- «bin»
- «hlp»
- «shs»
- «drv»
- «wpx»
- «deskthemepack»
- «bat»
- «rom»
- «msc»
- «lnk»
- «cab»
- «spl»
- «ps1»
- «msu»
- «ics»
- «key»
- «msp»
- «com»
- «sys»
- «diagpkg»
- «nls»
- «diagcab»
- «ico»
- «lock»
- «ocx»
- «mpa»
- «cur»
- «cpl»
- «mod»
- «hta»
- «exe»
- «icns»
- «prf»
- «dll»
- «nomedia»
- «idx»
После этого поток переименовывает файл, добавляя к названию случайно сгенерированное название. Файлы шифруются алгоритмом Salsa20 при помощи функции EncryptAndWrite.
Ниже приведен пример вызова функции EncryptingThreadRoutine.
Структура файлов после шифрования
Структура зашифрованного файла
9. Не стоит использовать исключительно Dropbox (или похожие сервисы)
Dropbox – это отличный и очень удобный инструмент, хотя многие другие облачные хранилища (iCloud Drive, Box, Amazon Cloud Drive, Google Drive, Яндекс.Диск, Microsoft OneDrive и т.д.) обладают примерно тем же набором функций. Большинство из них даже предлагают примитивную бэкап-функцию, восстанавливающую старые или удалённые файлы (если им не более месяца).
Всё это хорошо, однако, подобные сервисы больше подходят для хранения небольшого количества файлов, нежели для полноценного резервного копирования системы или всего диска. К тому же в большинстве сервисов бесплатное место довольно скромное по размерам, в то время как дополнительное место для хранения большого объёма данных будет регулярной и ощутимой статьёй расходов.
Как работает Sodinokibi?
Мы изучили один экземпляр Sodinokibi в нашей лаборатории. Программа-вымогатель была упакована кастомным упаковщиком. При этом, даже после успешной распаковки в коде не нашлось читаемых строк. Кроме этого ПО не импортирует никаких системных библиотек или API. Поэтому статическим антивирусам, которые используют сигнатуры на основе читаемых строк и таблицы импортируемых API, будет очень непросто обнаружить его.
Названия API и другие параметры были расшифрованы во время работы ПО при помощи алгоритма RC4. Для того, чтобы сделать обнаружения еще более сложным для антивирусов, эта программа-вымогатель совершает операции над строками, используя DJB-хэш, а не сами строки…
Обновлено май 2022 г .:
Мы рекомендуем вам попробовать это новое программное обеспечение, которое исправляет компьютерные ошибки, защищает их от вредоносных программ и оптимизирует производительность вашего ПК. Этот новый инструмент исправляет широкий спектр компьютерных ошибок, защищает от таких вещей, как потеря файлов, вредоносное ПО и сбои оборудования.
(опциональное предложение для Reimage - Cайт | Лицензионное соглашение | Политика конфиденциальности | Удалить)
Результаты опроса: давайте учиться на чужих ошибках
Лишь 7% пользователей не предпринимают никаких усилий, чтобы защитить собственные данные
Устройств стало много
Количество устройств, используемых потребителями, продолжает расти, при этом 68,9% домохозяйств заявляют, что используют три и более таких устройств, как компьютеры, смартфоны и планшеты. Данный показатель вырос на 7,6% по сравнению с прошлым годом.
Пользователи осознают ценность информации
Учитывая рост природных и техногенных катаклизмов, резонансных актов вымогательства, а также случаев утечек данных, при возросших объемах данных, рост показателя резервирования данных свидетельствует о том, что потребители все же пытаются защитить свои данные. В этом году только 7% пользователей заявили, что никогда не резервировали данные, в то время как в прошлом году такой ответ предоставили почти треть респондентов (31,4%).
Пользователи стали больше ценить собственные данные, о чем свидетельствует тот факт, что 69,9% готовы потратить более 50 долларов США на восстановление утраченных файлов, фотографий, видео и прочей информации. В прошлом году лишь 15% были готовы заплатить такую сумму.
Для защиты собственных данных 62,7% пользователей хранят их под рукой, сохраняя резервные копии на локальном внешнем жестком диске (48,1%) или в отдельном разделе жесткого диска (14,6%). Всего лишь 37,4% используют облачные технологии или гибридный формат облачного и локального резервного копирования.
Облака пока не для всех
Еще одной явной проблемой является недостаточно активное принятие облачных технологий. Все больше потребителей говорят о том, что основная ценность резервного копирования данных состоит в обеспечении доступа к ним — многие отмечают, что хотят иметь «быстрый и простой доступ к резервным данным из любого местоположения». Но при этом лишь треть из них используют для резервного копирования облачные технологии, предоставляющие им возможность извлекать данные независимо от места их нахождения.
Главные данные
Основными данными, представляющими ценность для потребителей, являются контакты, пароли и прочая персональная информация (45,8%), а также мультимедийные файлы, включая фотографии, видео, музыку и игры (38,1%).
Пользователям по-прежнему нужен ликбез
Менее половины потребителей владеет информацией о таких угрозах для данных, как программы-вымогатели (46%), вредоносное ПО для добычи криптовалюты (53%) и атаки методами социальной инженерии (52%), используемые для распространения вредоносного ПО. Знания о таких опасностях распространяются медленно, о чем свидетельствует тот факт, что количество пользователей, которым известно о программам-вымогателях, выросло лишь на 4% по сравнению с прошлым годом.
Инфографика Acronis о защите данных
Компании активно защищают облачные данные
Убытки от одного часа простоя оцениваются в размере порядка 300 тыс. долларов США, поэтому пользователи из деловой среды, конечно же, хорошо понимают ценность данных их компании. Поскольку на генеральных директоров и руководителей высшего звена возлагается все больше ответственности за защиту данных, они проявляют все более активный интерес к вопросам безопасности, особенно с учетом увеличения количества резонансных случаев, связанных с атаками на данные.
Это объясняет тот факт, почему бизнес-пользователи, которые приняли участие в опросе, уже подготовились к защите собственных данных, приложений и систем и заявили, что наиболее важными аспектами для них являются безопасность с точки зрения предотвращения непреднамеренных инцидентов и безопасность с точки зрения предотвращения злоумышленных действий в отношении их данных.
В ежегодный опрос 2019 г. бизнес-пользователи были включены впервые, при этом ответы поступили от компаний всех размеров, включая 32,7% компаний малого бизнеса со штатом до 100 сотрудников, 41% средних компаний со штатом от 101 до 999 сотрудников и 26,3% крупных предприятий со штатом более 1 000 сотрудников.
Для большинства компаний защита данных становится одним из наиболее важных приоритетов: так, компании проводят резервирование данных ежемесячно (25,1%), еженедельно (24,8%) или ежедневно (25,9%). В результате таких мер 68,7% заявили, что в прошлом году не имели простоев из-за потерь данных.
Такие компании прекрасно осведомлены о последних рисках, угрожающих их данным, в результате чего они выразили озабоченность или крайнюю озабоченность в отношении программ-вымогателей (60,6%), криптоджекинга (60,1%) и социальной инженерии (61%).
Сегодня компании всех размеров полагаются на облачное резервное копирование, при этом 48,3% используют исключительно облачное резервное копирование, а 26,8% — комбинацию облачного и локального резервное копирования.
Учитывая их требования, связанные с безопасностью и защитой данных, вполне можно понять их интерес к облачным технологиям. Именно с точки зрения безопасности в контексте непреднамеренной утраты данных («надежное резервирование с тем, чтобы данные всегда можно было восстановить»), внешнее облачное резервирование гарантирует доступность данных даже в случае уничтожения офисных помещений в результате пожара, наводнения или иных стихийных бедствий. С точки зрения безопасности в контексте злонамеренных действий («данные, защищенные от онлайн-угроз и киберпреступников»), облако является препятствием для разворачивания вредоносного ПО.
Сетевая активность
После завершения процесса шифрования, программа-вымогатель готовит данные для отправки на сервер управления. Данные включают в себя различные поля из конфигурации JSON, системную информацию и ключи шифрования. Подготовленные данные также записываются в реестр под ключом “[HKLM|HKCU]\SOFTWARE\recfg\stat”, прежде чем они будут зашифрованы AES и отправлены на сервер злоумышленника…
Передача данных по сети
Название домена состоит из: sochi-okna23[.]ru + часть адреса 1
- «wp-content»
- «static»
- «content»
- «include»
- «uploads»
- «news»
- «data»
- «admin»
→ Конкурс Acronis на Habr к международному дню бэкапа — задачи для тру айтишников
Сегодня, 31 марта — Международный день бэкапа. Это как минимум повод сделать резервное копирование в преддверии первоапрельских розыгрышей, а как максимум — выиграть призы от Acronis. Тем более воскресный вечер к этому располагает.
В этот раз на кону годовая лицензия Acronis True Image 2019 Cyber Protection с 1 Тб в облачном хранилище — её получат 5 победителей.
Первой тройке мы дополнительно подарим:
- за 1 место — портативную акустику
- за 2 место — power bank
- за 3 место — кружку Acronis
→ Задача 1
Самолюб Паша любит шифровать тексты, что же он зашифровал на этот раз? Шифртекст:
→ Задача 2
Какие плагины для популярных CMS (WordPress, Drupal и других) вы посоветуете для бэкапа и миграции. Чем они хуже/лучше обычных бэкапов и Application Aware бэкапов.
→ Задача 3
Как правильно работать с данными реестра своего приложения начиная с Windows 8. Желательно привести пример правильного обновления двух значений в ключе реестра. Почему бэкап не способен решить проблему логической консистентности реестра?
→ Задача 4
Вася хочет загрузить dll в дочерний процесс (созданный с флагом SUSPENDED), имя dll было скопировано с помощью VirtualAllocEx/WriteProcessMemory
CreateRemoteThread( hChildProcess, nullptr, 0, LoadLibraryA, remoteDllName, 0, nullptr);
Но из-за ASLR в дочернем процессе kernelbase.dll находится по другому адресу.
На 64-bit Windows в этот момент EnumModulesEx не работает. Предложите 3 метода как найти адрес kernelbase.dll в дочернем замороженном процессе.
Желательно один из методов реализовать.
На решение даётся 2 недели — до 13 апреля. 14 апреля жюри Acronis выберет и объявит победителей.
UPD:
Дорогие друзья, наш конкурс на решение задач завершился.
Единственным победителем, верно решившим все задачи, оказался StasPo
Поздравляем! К вам отправляется портативная акустика и годовая лицензия Acronis True Image 2019 c 1Тб облачного хранилища:)
Ну а остальным читателям Хабра одно важное и нужное пожелание: сделал бэкапы — спи спокойно!
acronis_drive.exe это исполняемый файл, который является частью Acronis True Image 2016 Программа, разработанная Acronis, Программное обеспечение обычно о 564.77 KB по размеру.
Расширение .exe имени файла отображает исполняемый файл. В некоторых случаях исполняемые файлы могут повредить ваш компьютер. Пожалуйста, прочитайте следующее, чтобы решить для себя, является ли acronis_drive.exe Файл на вашем компьютере - это вирус или троянский конь, который вы должны удалить, или это действительный файл операционной системы Windows или надежное приложение.
История болезни
Вирусы-шифровальщики долгое время были известны в основном профессионалам, но всё изменилось в 2017 году. Тремя всадниками цифрового апокалипсиса стали широко известные сегодня программы-вымогатели WannaCry, Petya и BadRabbit. Их работа была незамысловата: проникнуть на компьютер жертвы, зашифровать его содержимое и потребовать деньги за возврат доступа к устройству. Все вирусы требовали выкупа в биткойнах на сумму порядка $300. И хотя как коммерческий проект эти атаки не сложились, они нанесли ущерб на гораздо большую сумму. Так, ещё в ноябре 2017 года зампред правления Сбербанка Станислав Кузнецов оценивал ежегодные убытки всей экономики России от киберпреступности в 600–650 млрд руб.
Борьба между авторами вредоносного и антивирусного ПО обычно идёт на равных, но порой системы защиты не могут угнаться за человеческим фактором. Так, в конце 2016 года была обнародована одна из самых оригинальных схем распространения вируса-вымогателя. Хакеры просто пообещали пострадавшим бесплатный ключ расшифровки, если те заразят вредоносным ПО двух других пользователей. Не менее распространённым видом атак остались различные методы фишинг-мошенничества, которые становятся всё более персонализированными и эффективными. Появились и новые способы давления на владельцев заражённых компьютеров: современные технологии позволяют увеличивать размер выкупа и начинать удалять файлы каждый час, пока пользователь не заплатит. По прогнозам экспертов, уже скоро хакеры начнут угрожать распространением и публикацией конфиденциальных или даже компрометирующих данных, если жертва сразу не заплатит выкуп.
Инициализация
Sodinokibi начинает работу с создания динамической таблицы импорта. Первым делом программа убеждается в том, что она является единственной копией в системе методом проверки мьютексов. После проверки она расшифровывает при помощи RC4 конфигурацию JSON, которая хранится в файле программы и проверяет булево значение ключа “exp”. Если его значение равно “true”, Sodinokibi старается запустить эксплойт. В нашем сэмпле так и было, поэтому он исполнял функцию эксплуатации уязвимостей
Расшифрованная конфигурация JSON
Snippet 1
Перечень уязвимостей, которые устраняет патч KB4457138:
Патч KB4457138 исправляет уязвимости:
Если в системе не обнаруживается уязвимость, и процесс продолжает работать на правах обычного пользователя, будет использована команда RUNAS, чтобы запустить другой инстанс, но уже с административными правами, а текущий, работающий с ограниченными привелегиями — завершить. Полный псевдокод приведен на скриншоте ниже.
После того, как Sodinokibi успешно запускается в режиме администратора, ПО проводит дополнительную предварительную проверку и уточняет значение ключа “bro” в конфигурации JSON и выясняет страну нахождения. Оно не будет пытаться заразить компьютеры из следующих стран, если таковые параметры местоположения были выставлены в настройках компьютера.
Уточнение языковых ID
- Румыния, Россия, Украина, Беларусь, Эстония, Латвия, Литва, Таджикистан, Иран, Армения, Азербайджан, Грузия, Казахстан, Кыргызстан, Туркменистан, Узбекистан, Татарстан
После прохождения проверки вредоносное ПО прекращает процесс mysql.exe (если он был запущен), чтобы получить доступ к файлам MySQL и зашифровать их. После этого вымогатель удаляет теневые копии Windows при помощи vssadmin, а также отключает систему восстановления Windows Recovery при помощи bcdedit:
vssadmin.exe Delete Shadows /All /Quiet & bcedit /set
recoveryenabled No & bcedit /set bootstatuspolice ignorealfailures
Перед тем, как зашифровать файлы пользователя Sodinokibi проводит поиск по всем файловым системам, включая сетевые папки, чтобы обнаружить каталоги с названием “backup”, и безвозвратно удаляет их. Интересно, что перед удалением самого каталога, зловред сначала заменяет контент во всех таких папках случайным набором байтов, чтобы сделать восстановление невозможным в принципе. К счастью, файлы Acronis Backup нельзя удалить так просто, потому что они защищаются на уровне ядра, специально, чтобы не допустить подобных действий со стороны программ-вымогателей.
Генерация ключей
Sodinokibi использует протокол генерации и обмена ключами Diffie–Hellman на эллиптических кривых (ECDH). Выработанные сеансовые ключи используются в алгоритмах симметричного шифрования.При этом шифрование разных типов данных происходит разными методами — AES и Salsa20.
AES используется для шифрования закрытого ключа из пары из закрытого и открытого ключа, которые генерируются локально на пользовательской машине. Также им шифруются данные при передаче по сети. Salsa20 используется для шифрования пользовательских файлов.
Sodinokibi содержит два разных открытых ключа, один из которых является частью конфигурации JSON, а второй — встроен в бинарный файл. Эти открытые ключи будут использованы для шифрования созданного на машине закрытого ключа. Конкретные этапы генерации ключей и шифрования выглядят следующим образом:
Шаг 1. Генерация сессионной пары из закрытого (секретного, случайного числа) и открытого ключа на локальной машине.
Генерация локальных закрытого и открытого ключей
Шифрование закрытого ключа из Шага 1 происходит при помощи открытого ключа из конфигурации JSON
Шаг 2. Генерация еще одной пары закрытого и открытого ключей.
Шаг 3. Используя закрытый ключ из Шага 2 и открытый ключ (значение pk key) из JSON генерируется общий ключ, а посе его хеширования получается симметричный ключ.
Генерация симметричного ключа при помощи общего ключа
Шаг 4. Генерация 16-битного IV ( инициализационнного вектора).
Шаг 5. Шифрование закрытого ключа, сгенерированного на Шаге 1, при помощи AES с ключом и IV, которые получились в ходе Шагов 3 и 4.
Шаг 6. Вычисление CRC32 для зашифрованного закрытого ключа, который получился на шаге 5.
Шаг 7. Добавление IV и CRC32 в конец буфера, содержащего зашифрованный закрытый ключ из Шага 5.
Шаг 8. Сохранение буфера в сопоставленный файл со смещением (пометка “sk_key” ).
Шифрование закрытого ключа из Шага 1 при помощи открытых ключей злоумышленника
Шифрование закрытого ключа из Шага 1 при помощи открытого ключа, содержащегося в бинарном файле.
Шаг 9. Повторение шагов со 2 по 7 с использованием другого открытого ключа, который был встроен в бинарный файл на Шаге 3.
Шаг 10. Сохранение буфера в сопоставленный файл со смещением в памяти (отметка “0_key”)
sk_key, 0_key и pk_key записываются в реестр соответствующим образом, в зависимости от полученных программой прав доступа…
HKLM\SOFTWARE\recfg\sk_key или HKCU\SOFTWARE\recfg\sk_key
HKLM\SOFTWARE\recfg\0_key или HKCU\SOFTWARE\recfg\0_key
HKLM\SOFTWARE\recfg\pk_key или HKCU\SOFTWARE\recfg\pk_key
Зашифрованный секретный ключ в реестре
Генерация ключей для отдельных файлов с Salsa20
Шаг 11. Генерация новой пары из открытого и закрытого ключа.
Шаг 12. Генерация общего ключа с использованием открытого ключа сессии, созданного на Шаге 2, и хэширования для получения очередного симметричного ключа, необходимого для генерации ключей в Salsa20.
Шаг 13. Установка ключа 256-бит (32 байт) в Salsa20
Шаг 15. Генерация ключа Salsa20
Шаг 16. Использование Salsa20 key_state для шифрования пользовательских файлов при помощи Salsa20.
Генерация ключей Salsa20 для каждого файла
Повторение Шагов 11 — 16 для каждого шифруемого файла.
3. Не надейтесь на автосохранение
Действительно, некоторые приложения выполняют автоматическое сохранение документов, давая вам возможность начать с того места, где вы остановились, даже если файл так и не был сохранён с именем (пример такого приложения – BBEdit). Однако не все приложения работают подобным образом. Но даже если работают, всегда возникают ситуации, когда пользователи случайно или по ошибке удаляют файлы автосохранения. Не секрет, что большинство систем резервного копирования предполагают, что пользователь как минимум сохранит и назовёт файл – часто автосохранение включается только после этого шага.
4. Не стоит делать бэкапы вручную
Есть множество людей, которые выполняют бэкап всей системы (или, как минимум, части файлов) когда их душе угодно, создавая клонов или копируя файлы на другой диск вручную. Конечно, это лучше, чем ничего, но это очень ненадёжный и непостоянный подход – найдётся тысяча и одна причина не сделать однажды бэкап. И по закону подлости вполне может случиться так, что вы потеряете данные именно в тот день, когда забудете или не успеете выполнить бэкап. Поэтому автоматические бэкапы – это более надёжный вариант. Даже, пожалуй, лучший.
Загрузите или переустановите acronis_drive.exe
Информация об операционной системе
Ошибки acronis drive.exe могут появляться в любых из нижеперечисленных операционных систем Microsoft Windows:
Сложно найти, легко потерять и невозможно забыть — именно так выглядят глазами системного администратора данные на его сервере, а порой и рабочее место. И если на случай сгоревшего накопителя всегда найдётся резервная копия, то как быть, когда бэкап оказался зашифрован? Если к такому жизнь ещё не готовила, то пришло время учиться. И лучше не на своих ошибках, а у специалистов, тем более что и возможность имеется. 31 мая пройдёт вебинар от компании Aflex, посвящённый борьбе с программами-вымогателями. Подробности и суть явления — под катом.
На смену «привычным» вирусам и троянам приходит новая угроза: с каждым годом увеличивается число кибератак. По оценкам компании Check Point, сегодня в мире в среднем раз в четыре секунды скачивается одна вредоносная программа, и это в восемь с половиной раз чаще, чем год назад. Программы-вымогатели (ransomware) получили своё название вполне заслуженно. Попадая на устройство, они зашифровывают данные пользователя и выводят на экран требование о выкупе. При этом жертвами злоумышленников становятся как частные лица, так и крупные компании. Иными словами — каждый, кто готов заплатить за сохранность своих данных. А широкое распространение криптовалют позволяет получателю денег оставаться анонимным.
Acronis_drive.exe безопасный или это вирус или вредоносная программа?
Первое, что поможет вам определить, является ли тот или иной файл законным процессом Windows или вирусом, это местоположение самого исполняемого файла. Например, такой процесс, как acronis_drive.exe, должен запускаться из C: \ Program Files \ Acronis \ TrueImageHome \ acronis_drive.exe и нигде в другом месте.
Для подтверждения откройте диспетчер задач, выберите «Просмотр» -> «Выбрать столбцы» и выберите «Имя пути к изображению», чтобы добавить столбец местоположения в диспетчер задач. Если вы обнаружите здесь подозрительный каталог, возможно, стоит дополнительно изучить этот процесс.
Еще один инструмент, который иногда может помочь вам обнаружить плохие процессы, - это Microsoft Process Explorer. Запустите программу (не требует установки) и активируйте «Проверить легенды» в разделе «Параметры». Теперь перейдите в View -> Select Columns и добавьте «Verified Signer» в качестве одного из столбцов.
Если статус процесса «Проверенная подписывающая сторона» указан как «Невозможно проверить», вам следует взглянуть на процесс. Не все хорошие процессы Windows имеют метку проверенной подписи, но ни один из плохих.
Наиболее важные факты о acronis_drive.exe:
Если у вас возникли какие-либо трудности с этим исполняемым файлом, перед удалением acronis_drive.exe необходимо определить, заслуживает ли он доверия. Для этого найдите этот процесс в диспетчере задач.
Найдите его местоположение (оно должно быть в C: \ Program Files \ Acronis) и сравните его размер с приведенными выше фактами.
Кроме того, функциональность вируса может сама влиять на удаление acronis_drive.exe. В этом случае вы должны включить Безопасный режим с загрузкой сетевых драйверов - безопасная среда, которая отключает большинство процессов и загружает только самые необходимые службы и драйверы. Когда вы можете запустить программу безопасности и полный анализ системы.
10. Не стоит думать, что веб-приложения не нуждаются в бэкапах
Вы используете Google Docs, Office 365, iWork для iCloud или другие веб-приложения (коих бессчётное количество) для создания и совместного использования документов? Многие из нас пользуется этими сервисами, по крайней мере, изредка. Это хорошо, но делаете ли вы локальные копии этих документов? Если ответ – «Нет», то это плохо.
Можно перечислить множество случаев, когда люди открывали Google Docs (или что-то ещё) и обнаруживали, что важный документ исчез по непонятной причине. И что делать в такой ситуации – непонятно. Подобные ситуации возникают нечасто, но поверьте, они возникают. Не стоит рассчитывать на то, что облачный сервис адекватно восстановит утраченные данные, или что вам удастся сделать это самостоятельно (даже при наличии данных в облаке вы не всегда сможете получить к ним доступ из-за проблем с сервером или с вашим интернет-соединением, и случится это в самый неподходящий момент). Поэтому лучше делать собственные бэкапы облачных документов. Можно использовать специальные утилиты, например, CloudPull (посмотрите статью «Back Up Your Google Data with CloudPull» («Делаем бэкап документов Google с помощью CloudPull»), хоть она и старенькая уже).
Дешифрование
Для этой программы-вымогателя нет бесплатного способа расшифровать данные, и единственная возможность восстановить данные — использовать сервис дешифрования, предоставленный злоумышленником. Перейти на него следуя инструкциям, приведенным в требовании о выкупе…
Письма несчастья
Заражение шифровальщиком почти всегда происходит по вине самого пользователя. Обычно всё начинается с электронного письма от имени знакомой организации. Внутри располагается файл с пометками «срочно в работу», «заявление», «ответить до…», который собственно и является шифровальщиком. Открыв такой файл, пользователь дает зелёный свет вирусу. Самыми популярными «отправителями» таких «писем счастья» оказываются налоговые или судебные органы, а также местная администрация — естественно, не настоящие. В почтовом адресе может быть изменена буква или другой символ. Например, [email protected], где буква «о» заменена на ноль — сразу и не отличишь. Во вложении — исполняемый файл, маскирующийся под документ или изображение. Если его активировать, шифровальщик тут же начинает работу.
Самые желанные адресаты для вымогателей — крупные корпорации, ведь именно они заинтересованы в восстановлении действительно важных данных. Особенно когда горит квартальный отчёт, акционеры требуют объяснений, а бухгалтерская база внезапно оказывается зашифрованной. Виновата обычно какая-нибудь «тётя из бухгалтерии», которая поверила в письмо из псевдоналоговой. Но достанется в итоге и сисадмину, который не проинформировал о потенциальной угрозе, не провёл ликбез для сотрудников компании и не настроил программное обеспечение. Впрочем, даже опытный специалист не застрахован от клика на вредоносный файл по невнимательности. Чтобы не тратить время и душевное здоровье на устранение последствий вируса, лучше заранее предупредить его проникновение в систему.
2. Нельзя полагаться на средства и сервисы восстановления данных
Если вы случайно удалили файл с вашего макбука, есть вероятность, что его можно восстановить, воспользовавшись специальными программами для восстановления данных. Если этого сделать не удалось (например, если был повреждён сам накопитель), то остаётся надежда лишь на специализированные компании по восстановлению данных. Однако полагать, что вы сможете воспользоваться одним из этих способов, попросту глупо. Иногда причиной утраты данных становится кража или внеплановый метеоритный дождь, в результате чего у вас попросту не будет диска, над которым можно было бы провести все вышеперечисленные операции.
Disclaimer
Если вы уставший от корпоративной жизни системный администратор, измученный факапами пользователей безопасник и точно знаете, откуда у проблем с безопасностью данных ноги растут, то можете сразу идти в конец статьи — там 4 классные задачи, решив которые, вы можете выиграть полезные призы от Acronis и сделать свою информацию защищённее некуда (на самом деле, всегда есть куда).
Эхо кибервойны
Казалось бы, методов защиты у сисадмина немало: это и управление правами доступа пользователей, и антивирусные продукты, и даже восстановление из бэкапа, если ничего не помогло. Но и киберпреступники не сидят сложа руки: они всё чаще атакуют не только ОС, но и локальные резервные копии, чтобы нельзя было восстановить систему, не заплатив выкуп. Линейка продуктов Acronis дополняет имеющуюся антивирусную защиту и обеспечивает дополнительный барьер от атак вирусов-шифровальщиков. Программа использует технологии искусственного интеллекта для обнаружения вредоносной активности и восстановления повреждённых данных. Технология Acronis Active Protection 2.0 самостоятельно обнаруживает и блокирует атаки программ-вымогателей (таких как Osiris и WannaCry) и мгновенно восстанавливает любые повреждённые данные, а также обнаруживает и блокирует попытки зловреда изменить главную загрузочную запись (MBR) системного жёсткого диска
Если программа-вымогатель начнёт шифровать файлы, Acronis Backup 12.5 быстро обнаружит и прекратит этот процесс. Система не только остановит вредоносные процессы, но и автоматически произведёт откат осуществлённых шифровальщиком действий и восстановление данных из локального кэша, хранящего копии модифицируемых файлов. Одновременно с этим системный администратор получит оповещение, а в консоли управления сформируется соответствующий отчёт, который может использоваться службами информационной безопасности для дальнейшего расследования инцидента.
Количество хакерских атак неуклонно растёт, и медлить с внедрением защиты ни в коем случае нельзя. Помимо привычных способов защиты данных, придётся и регулярно следить за обновлением и работой системы бэкапов. Только так получится добиться высокой эффективности и создать максимально надёжную и удобную для использования рабочую среду.
Сам по себе бэкап призван восстанавливать сервер после вирусной атаки. Но зачем проделывать лишнюю работу, если есть способ лучше? Как использовать систему резервного копирования для нанесения упреждающего удара, вы сможете узнать на бесплатном вебинаре от компании Aflex, который пройдёт 31 мая.
О программе-вымогателе Sodinokibi недавно говорили в новостях, но мало кто погружался в подробности о работе этого вредоносного ПО. Сегодня мы постараемся ближе познакомиться Sodinokibi, рассмотрим принципы работы вымогателя, чтобы обозначить приоритетные векторы защиты информационных систем от новой угрозы.
Авторы текста: Равикант Тивари и Александр Кошелев
1. Нельзя не делать бэкапы
В недавнем посте Backblaze приведены данные годового опроса, который показал, что всего 8% респондентов делают резервные копии каждый день (пару лет назад эта цифра была больше), 16% делают бэкап раз в год, а 25% не делают вообще. В начале лета мы также проводили опрос, результаты которого не менее пугающие – 90.6% респондентов не готовы потерять данные, при этом лишь 74% опрошенных делают резервные копии важных данных (из которых 57.9% используют для этого лишь внешний накопитель).
Ничего не делать – это один из самых худших подходов. Вы надеетесь, что независимо от ваших (или посторонних) действий всё будет работать идеально, но ни один компьютер не сможет вам этого гарантировать – рано или поздно вы потеряете данные и будете об этом жалеть.
7. Нельзя хранить бэкапы на одной машине
Гипотетический метеорит может уничтожить дом в Калифорнии, но вряд ли сможет одновременно с этим уничтожить ещё и дата-центр CrashPlan в Миннесоте и в других местах, где вы можете хранить свои данные. Это касается и данных, утерянных в результате кражи, прорыва труб, пожара – несчастий гораздо более вероятных, чем падение метеорита. Если ваши бэкапы хранятся на локальной машине, то они защищены только от определённого круга опасностей. Эту проблему легко решить, просто отдав бэкапы другу или, например, поместив их в ячейку банка. Вы также можете воспользоваться облачными сервисами типа CrashPlan, Backblaze или DollyDrive. Короче, сделайте так, чтобы у вас был бэкап на стороне.
Но, как ни странно, обратное утверждение тоже верно. Не стоит…
6. Нельзя пользоваться только клонами
Клоны – это отличная вещь. Если что-то пошло не так, они позволяют вам вернуться к работе практически мгновенно (перезагрузите систему, удерживая Option, и выберите клона). Также клоны дают возможность откатить систему до предыдущих версий OS X, если обновление прошло с ошибками.
Проблема в том, что клоны не дают вам возможность восстановить случайно удалённые файлы или получить доступ к их более ранним версиям, если клон был обновлен (некоторые приложения предоставляют возможности архивации файлов, но тут нужно понимать, что вы делаете). Ещё одна проблема – клон хранится на вашем макбуке, поэтому, если что-то случится с компьютером (торнадо, грабёж), то вместе с ним пропадёт и единственный бэкап. Эта проблема ведёт нас к следующему заключению…
8. …иметь только онлайн-бэкапы
Они идеально подходят для огромного количества ситуаций, вот только восстановление многогигабайтного куска данных из облачного хранилища (забудем пока про целый диск) может занять длительное время. В такой ситуации вы ограничены пропускной способностью канала связи интернет-провайдера. А некоторые провайдеры до сих пор имеют лимит скачиваемых данных, так что процедура восстановления может солидно затянуться. Именно поэтому помимо «облачных», стоит всегда хранить локальные бэкапы (разумеется, если вы хотите загрузиться с клона, он должен быть на локальном жестком диске).
Следующие две ошибки также относятся к онлайн-бэкапам.
Заключение
Мы рекомендуем использовать продвинутые средства защиты от программ-вымогателей и своевременно обновлять антивирусные системы. Все продукты Acronis содержат улучшенную защиту от вымогателей и могут защитить вас от подобной атаки, минимизируя риск потерять данные.
Средства киберзащиты содержатся в персональном решении Acronis True Image 2019, а также в бизнес-системах Acronis Backup, которые сопровождаются anti-malware модулем на базе искусственного интеллекта, который называется Acronis Active Protection. Благодаря этому обе системы способны защитить пользователей от Sodinokibi.
Противоречие противоречий
Первый неожиданный, но вполне объяснимый результат опроса: 65% респондентов сообщили, что в прошлом году либо они сами, либо кто-либо из их родственников столкнулись с утратой данных в результате случайного удаления файлов или сбоев аппаратного или программного обеспечения. Данный показатель вырос на 29,4% по сравнению с предыдущим годом.
При этом впервые за пятилетнюю историю исследований, проводимых Acronis, почти все опрошенные потребители (92,7%) резервируют данные с собственных компьютеров. Рост данного показателя составил 24%.
Вот как объясняет противоречие президент и главный операционный директор компании Acronis Станислав Протасов:
«На первый взгляд эти два вывода кажутся противоречащими, ведь как может происходить утрата большего количества данных, если практически все пользователи стали делать их резервные копии? Тем не менее, существуют причины, по которым эти показатели опроса выглядят именно так. Люди используют большее количество устройств и работают с данными из большего количества точек, чем когда либо ранее, что создает больше причин для их утраты. Например, пользователи могут делать резервное копирование данных, хранящихся на ноутбуке, но если случайно забудут в такси смартфон, резервную копию которого они не создают, то данные все равно будут утеряны».
То есть причиной стала та самая наша реальность, где мы не просто устаём от информации, но и не успеваем проконтролировать все источники опасности, а значит, быстро и адекватно на них среагировать. Получается, что на фоне автоматизации и информатизации особенно важную и даже критичную роль начинает играть человеческий фактор.
Требование выкупа
В Sodinokibi имеется шаблон для составления требования о выкупе, в котором оставлены места для пользовательских данных. В них происходит автоматическая подстановка имени, user id (uid – описание приведено выше) и ключа. Требование выкупа размещается в каждой директории, не считая исключений.
Могу ли я удалить или удалить acronis_drive.exe?
Не следует удалять безопасный исполняемый файл без уважительной причины, так как это может повлиять на производительность любых связанных программ, использующих этот файл. Не забывайте регулярно обновлять программное обеспечение и программы, чтобы избежать будущих проблем, вызванных поврежденными файлами. Что касается проблем с функциональностью программного обеспечения, проверяйте обновления драйверов и программного обеспечения чаще, чтобы избежать или вообще не возникало таких проблем.
Согласно различным источникам онлайн, 1% людей удаляют этот файл, поэтому он может быть безвредным, но рекомендуется проверить надежность этого исполняемого файла самостоятельно, чтобы определить, является ли он безопасным или вирусом. Лучшая диагностика для этих подозрительных файлов - полный системный анализ с Reimage, Если файл классифицирован как вредоносный, эти приложения также удалят acronis_drive.exe и избавятся от связанных вредоносных программ.
Однако, если это не вирус и вам нужно удалить acronis_drive.exe, вы можете удалить Acronis True Image 2016 со своего компьютера с помощью программы удаления, которая должна находиться по адресу: «C: \ Program Files \ Acronis \ TrueImageHome \ Uninstall. .exe ". Если вы не можете найти программу удаления, вам может потребоваться удалить Acronis True Image 2016, чтобы полностью удалить acronis_drive.exe. Вы можете использовать функцию «Добавить / удалить программу» в Панели управления Windows.
- 1. в Меню Пуск (для Windows 8 щелкните правой кнопкой мыши в нижнем левом углу экрана), нажмите Панель управления, а затем под Программы:
o Windows Vista / 7 / 8.1 / 10: нажмите Удаление программы.
o Windows XP: нажмите Установка и удаление программ.
- 2. Когда вы найдете программу Acronis True Image 2016щелкните по нему, а затем:
o Windows Vista / 7 / 8.1 / 10: нажмите Удалить.
o Windows XP: нажмите Удалить or Изменить / Удалить вкладка (справа от программы).
- 3. Следуйте инструкциям по удалению Acronis True Image 2016.
Наиболее распространенные ошибки acronis_drive.exe, которые могут возникнуть:
• «Ошибка приложения acronis_drive.exe».
• «Ошибка acronis_drive.exe».
• «acronis_drive.exe - столкнулся с проблемой и будет закрыт. Приносим извинения за неудобства».
• «acronis_drive.exe не является допустимым приложением Win32».
• «acronis_drive.exe не запущен».
• «acronis_drive.exe не найден».
• «Не удается найти acronis_drive.exe».
• «Ошибка запуска программы: acronis_drive.exe».
• «Неверный путь к приложению: acronis_drive.exe».
Аккуратный и опрятный компьютер - это один из лучших способов избежать проблем с Acronis True Image 2016. Это означает выполнение сканирования на наличие вредоносных программ, очистку жесткого диска cleanmgr и ПФС / SCANNOWудаление ненужных программ, мониторинг любых автозапускаемых программ (с помощью msconfig) и включение автоматических обновлений Windows. Не забывайте всегда делать регулярные резервные копии или хотя бы определять точки восстановления.
Если у вас возникла более серьезная проблема, постарайтесь запомнить последнее, что вы сделали, или последнее, что вы установили перед проблемой. Использовать resmon Команда для определения процессов, вызывающих вашу проблему. Даже в случае серьезных проблем вместо переустановки Windows вы должны попытаться восстановить вашу установку или, в случае Windows 8, выполнив команду DISM.exe / Online / Очистка-изображение / Восстановить здоровье, Это позволяет восстановить операционную систему без потери данных.
Чтобы помочь вам проанализировать процесс acronis_drive.exe на вашем компьютере, вам могут пригодиться следующие программы: Менеджер задач безопасности отображает все запущенные задачи Windows, включая встроенные скрытые процессы, такие как мониторинг клавиатуры и браузера или записи автозапуска. Единый рейтинг риска безопасности указывает на вероятность того, что это шпионское ПО, вредоносное ПО или потенциальный троянский конь. Это антивирус обнаруживает и удаляет со своего жесткого диска шпионское и рекламное ПО, трояны, кейлоггеры, вредоносное ПО и трекеры.
Процесс шифрования
Обмен ключами Diffie-Hellman на эллиптических кривых (ECDH)
Подробное описание процесса шифрования в Sodinokibi
Для того, чтобы расшифровать данные, потребуются закрытые ключи злоумышленника. Но они нигде не публикуются, и поэтому восстановить файлы оказывается невозможно.
Процесс дешифрования (секрет злоумышленника — это его закрытый ключ)
Упрощенно процесс дешифрования пользовательских файлов проиллюстрирован ниже.
11. Не думайте, что RAID и бэкап – это синонимы
RAID объединяет несколько жёстких дисков в один логический том. Одним из вариантов настройки RAID является зеркальный RAID (RAID 1), который наиболее часто путают с бэкапами. Суть RAID 1 в том, что каждый блок записывается на два разных физических диска, тем самым обеспечивается 100% избыточность (RAID 5 и 6 также обеспечивают избыточность, но другими способами). Это не совсем клонирование, потому что данные всегда актуальны и обновлены. Это же замечательно?
На самом деле, не всегда. Именно постоянные обновления являются частью проблемы. Если вы случайно удалили файл, то удалится он с обоих дисков зеркального RAID. Если была повреждена директория или файл, к вам проник вирус или возникла ещё какая-нибудь проблема, то это одинаково отразится на обоих дисках. Разумеется, если массив был украден или повреждён, то файлы будут утеряны. RAID 1 защищает ваши данные только в случае выхода из строя одного из жёстких дисков (такое случается) и не более того. Так что запомните, что дисковый массив – не синоним слову «бэкап».
Читайте также: