В ноябре активизировались так называемые шифровальщики вымогатели.
Механизм действия следующий:
1. Робот сканирует ip адреса (все адреса определённого района/страны), пытаясь найти порт удалённого рабочего стола.
2. Робот зная что в Windows есть стандартная учётная запись Администратор, и ей доступен удалённый рабочий стол по умолчанию, начинает подбирать пароли к этой учётной записи. Простым перебором, так называемый брутфорс.
3. Если робот подобрал пароль, он изменяет текущий пароль на новый и отправляет его злоумышленнику.
4. Злоумышленник получая пароли от тысячи таких роботов просто заходит по удалённому рабочему столу на сервер, отключает все антивирусы и прочие защиты и копирует на сервер программу, которая массово шифрует практически все файлы на сервере и оставляет файл-письмо с требованием выплатить выкуп и email для связи.

Обычно выкуп стоить 0.1-1 BTC (биткоин). Очень редко получается расшифровать файлы своими силами. Обычно после выкупа, хакер расшифровывает данные.

Для защиты мы реализовали у наших заказчиков ТРИ эшелона защиты:
1. Переименование учётной записи Администратор (Administrator).
2. Изменение порта удалённого рабочего стола на очень нестандартный.
3. Бэкап на внешний диск (Яндекс-диск, mail.ru, Google Drive).

PS: Базы на SQL серверах не шифруются, т.к. файлы этих баз постоянно заняты системой.