Relic HunterЗачем этот патетизм? Про бекапы никто не спорит, но их тоже зашифруют если злоумышленник получит полный доступ к сети. Не интересно, да.Разве задача "что бы не зашифровали" хоть сколько то сложная для ит-шников? Очень легко решаемая, вообще говоря, нужно только желание.
И, как я понял, в данном случае бакапов вообще не было

Eleanoralexeyvg,

Бэкапы былиОй, пропустил эту фразу, каюсь.
Eleanormario2101Бекапы базы делались на том же сервере
Дилетантски, да.Изумительно. Я вот в своей работе считаю, что бакапа нет, пока бакап не восстановлен на другой сервер, и получившаяся база не проверена.
Eleanorшифровальщик нашел бы их, если бы на них были смонтированы сетевые диски
mario2101все их сетевые общие ресурсы тоже шифрануло, т.к. на них были смонтированы сетевые диски из папок на сервере
Банки не зря записывают бэкапы на ленты и перевозят в отдельное хранилище.Ну вот, вы мнгновенно нашли решение - записать бакапы на ленту, и перевезти в другое помещение.
Если лента для небольшой фирмы слишком круто, то можно использовать съёмный диск.

Почему "банки"? А для парикхмахерской или торговой фирмочки это нереально дорого?
За 20 лет никогда в моей работе не было случая, что бы бакапы лежали на том же сервере, или на сетевом сервере с единой системой доступа.

Вариант с съёмными дисками доступен любой фирме, даже самой маленькой.

Но если фирма крупнее, есть вариант, например, с отдельным сервером для бакапа, который должен быть не в домене, и с доступом только по ФТП на добавление новых файлов.
Ну и куча других методов, вплоть до ленты.
Обязательно за бакапы должны отвечать другие подразделения, что бы ни в коем случае это не делал один человек. Потому что человек может ошибиться, и тогда ошибка может захватить все места хранения.
Ни в коем случае управление доступом к бакапам не делается централизованным, совместно с доступом для основных данных. Никаких общих доменов/деревьев AD!

Поэтому DBA делает и хранит бакапы для быстрого восстановления, другая команда копирует эти бакапы и организует их проверку и восстановление, плюс служба безопасности организует вывоз и складирование лент в другом месте.

Но это всё, повторю, для больших фирм.
Для микрофирмочек всё делается дешевле, и так же надёжно, как я писал выше.

rahzerНе так давно был случай, одна крупная компания в ПФО (не буду тут озвучивать название), делала все по фэнь-шую , бэкапы и на ленты, причем ленты дополнительно шифровались, вдруг если кто их сможет получить во время транспортировки или еще как..
Правда ключи были на рабочем компе, и когда вирусняк все зашифровал, включая ключи, то все бэкапы можно было выкидывать..Вот это яркая иллюстрация повышения уязвимости при централизации ИТ.
Некоторые вещи должны быть разделены административно, в целях повышения катастрофоустойчовости.
Красиво и по феншую организованная инфраструктура рухнула из за одной мелкой ошибочки, из за того, что копия ключей не была записана на CD, сдаваемые на хранение.
Если бы запись и шифрование выполнялись бы другим изолированным подразделением, то такой проблемы бы не возникло.
Для больших, действительно больших компаний структурирование, обособление подразделдений выглядит легаси-бардаком, но в реальности повышает катастрофоустойчивость (и является единственным лекарством для этого).

EleanorrahzerНе так давно был случай, одна крупная компания в ПФО (не буду тут озвучивать название), делала все по фэнь-шую
Не, это не по фэнь-шую. У нас ключи шифрования в сейфе у безопасников лежат - вот это по фэнь-шую.В общем да, если какими то службами организовывается хранение бакапов, и бакапы зашифрованы, то логично, что бы эти службы хранили и пароли.

Собственно, я про это и пишу, что отдельная служба должна отвечать за хранение бакапов, и не "а нам дали такие файлы, мы ни при делах, что их оказывается нельзя расшифровать", а что бы они отвечали, что там есть база, которую они обязуются восстановить, если что. И подтверждать дееспособность руководителя этой этой службы внезапными учениями.