Нужна помощь! Поймали вирус-шифровальщик


Страницы: (2) [1] 2	[ ОТВЕТИТЬ ] [ НОВАЯ ТЕМА ]

niteWolf	29.11.2021 - 09:02 [ показать ]
Статус: Offline Шутник Регистрация: 28.09.18 Сообщений: 73	11 Собственно, нужно восстановить базы 1с, это возможно? Есть спецы?
	[^]

Yap	[ показать ] [x]
Продам слона Регистрация: 10.12.04 Сообщений: 1488
	[^]

aerskaz	29.11.2021 - 09:04 [ показать ] 4
Статус: Offline Приколист Регистрация: 19.04.13 Сообщений: 273	Ищи, может уже есть дешифровальщик. Если нет, то увы. Только бэкапы помогут. Сталкивался с таким.
	[^]

dlrex	29.11.2021 - 09:05 [ показать ] 5
Статус: Offline Инженегр Регистрация: 24.11.13 Сообщений: 9267	Если базы лежали на сервере MSSQL, то вообще не проблема. А если просто в виде файлов, то проблема.
	[^]

4ALEXAN	29.11.2021 - 09:06 [ показать ] 10
Статус: Offline Ярила Регистрация: 31.05.13 Сообщений: 2363	сначала надо индефицировать точную версию вируса.. потом начать мониторить форумы антивирусных порталов - на наличие в открытом доступе дешефровальщика. Иногда этот процесс длиться годами. Иногда безрезультатно. Пользователи компуктеров делятся на два типа: 1 делают резервные копии 2 пока еще не делают резервные копии. (со всеми отмазками в виде подкатегорий) Если это произошло на работе - ситуация полного распиздяйства ответственного айти отдела\сотрудника. Это сообщение отредактировал 4ALEXAN - 29.11.2021 - 09:16
	[^]

~~JustDMA~~	29.11.2021 - 09:07 [ показать ] 2
Статус: Offline Ярила Регистрация: 17.12.20 Сообщений: 3383	ТС - прочти основы криптографии и ты поймешь, что без ключа делать нечего в ближайшии лет 10 ... Те, кто "расшифровывает" имеют ключ, но притянуть их к ответственности не получится (такова реальность в данное время в данном месте)...
	[^]

JohnDow

29.11.2021 - 09:10

-2

Статус: Offline

просто хороший человек

Регистрация: 1.10.12
Сообщений: 22885

Цитата (dlrex @ 29.11.2021 - 11:05)

Если базы лежали на сервере MSSQL, то вообще не проблема. А если просто в виде файлов, то проблема.

Во во..главное скуль не стопорить

[^]

Dmitry1971	29.11.2021 - 09:10 [ показать ] -9
Статус: Offline Ярила Регистрация: 2.10.20 Сообщений: 1301	1с то халявная небось? Еще и "семерка" поди с БД на dbf? Не? Если куплена официально, то как бы сам Бог велел обратиться к тем спецам, кто ее по договору должен обслуживать. Короче, версия какая? Хотя... бэкапы наше все! Это сообщение отредактировал Dmitry1971 - 29.11.2021 - 09:11
	[^]

aerskaz

29.11.2021 - 09:10

Статус: Offline

Приколист

Регистрация: 19.04.13
Сообщений: 273

Цитата (dlrex @ 29.11.2021 - 12:05)

Если базы лежали на сервере MSSQL, то вообще не проблема. А если просто в виде файлов, то проблема.

Видимо базы у него файловые.

[^]

JohnDow

29.11.2021 - 09:11

Статус: Offline

просто хороший человек

Регистрация: 1.10.12
Сообщений: 22885

Цитата (4ALEXAN @ 29.11.2021 - 11:06)

Пользователи компуктеров делятся на два типа:
1 делают резервные копии
2 пока еще не делают резервные копии.

Неа..есть еще подвид: делают резеврную копию , хранят её на той же машине:)))

[^]

JohnDow

29.11.2021 - 09:12

Статус: Offline

просто хороший человек

Регистрация: 1.10.12
Сообщений: 22885

Цитата (Dmitry1971 @ 29.11.2021 - 11:10)

1с то халявная небось? Еще и "семерка" поди с БД на dbf? Не?

Если куплена официально, то как бы сам Бог велел обратиться к тем спецам, кто ее по договору должен обслуживать.

Короче, версия какая?
Хотя... бэкапы наше все!

Вы простите херню сказали.
Лицензионнность 1ски тут ниначто не влияет.

Если там файловая база, то похеру лицензионная она или нет, шифровальщик зашифрует.
И 1с фирма пошлет КЕМ. потмоу что это внутренняя проблема юзеров

Это сообщение отредактировал JohnDow - 29.11.2021 - 09:12

[^]

4ALEXAN

29.11.2021 - 09:12

Статус: Offline

Ярила

Регистрация: 31.05.13
Сообщений: 2363

Цитата (JohnDow @ 29.11.2021 - 09:11)

Цитата (4ALEXAN @ 29.11.2021 - 11:06)

Пользователи компуктеров делятся на два типа:
1 делают резервные копии
2 пока еще не делают резервные копии.

Неа..есть еще подвид: делают резеврную копию , хранят её на той же машине:)))

это все та же вторая категория...

у меня чел был знакомый, - он бекапил ярлыки с рабочего стола на флешку, и думал что все ок. Я помню оч угарал, когда SSD его крякнула, открыли флешку а там ярлычки ))))

Это сообщение отредактировал 4ALEXAN - 29.11.2021 - 09:15

[^]

sein	29.11.2021 - 09:13 [ показать ] 6
Статус: Offline Хохмач Регистрация: 21.08.19 Сообщений: 753	ловил, все базы 1с оказались зашифрованы. Так как просили относительно мало (5 тыс руб) было принято решение отдать их. Хотите ругайте хотите нет - но рисковать за 5 тыс не было желание. После восстновления была пересмотрена политика безопасности.
	[^]

JohnDow

29.11.2021 - 09:15

-1

Статус: Offline

просто хороший человек

Регистрация: 1.10.12
Сообщений: 22885

Цитата (4ALEXAN @ 29.11.2021 - 11:12)

Цитата (JohnDow @ 29.11.2021 - 09:11)

Цитата (4ALEXAN @ 29.11.2021 - 11:06)

Пользователи компуктеров делятся на два типа:
1 делают резервные копии
2 пока еще не делают резервные копии.

Неа..есть еще подвид: делают резеврную копию , хранят её на той же машине:)))

это все та же вторая категория...

А так же еще есть те кто делают, но не вериыицируют... бакап Шредингера так сказать

[^]

i13th

29.11.2021 - 09:16

Статус: Offline

бячивро авпм

Регистрация: 24.06.14
Сообщений: 2003

Цитата (niteWolf @ 29.11.2021 - 09:02)

Собственно, нужно восстановить базы 1с, это возможно? Есть спецы?

так вам вирус же выдаёт путь решения

[^]

Milly	29.11.2021 - 09:16 [ показать ] 1
Статус: Offline Ярила Регистрация: 16.12.10 Сообщений: 1537	Хреново! Пару раз у меня пробивало антивирус. Защифровывалось всё. Только копии спасли. И то получил пиздюлей в виде лишения премии, за то что какой то супер важный файл эксель на расшаренной файлопомойке не был забекаплен. Базы забекаплены, файлопомойка нет. А вообще на будущее тебе ТС 1. копии баз и важных файлов на сервере каждый день, а то и пару раз в день. 2. бекапы сразу оправлять в облако что бы они так же не защифровались. Как это всё автоматизировать - вопрос творческий уже Это сообщение отредактировал Milly - 29.11.2021 - 09:19
	[^]

VolgaPM	29.11.2021 - 09:17 [ показать ] 3
Статус: Offline Весельчак Регистрация: 2.08.15 Сообщений: 158	ТС, отключи хард с базами от машины. Если было включено теневое копирование, то есть возможность восстановить из этих копий, второй вариант - при помощи рекавери попробовать восстановить удаленные файлы. Когда вирус зашифровал файлы, он удаляет старые, т.е. помечает как удаленные. есть шанс, что они не перезаписаны и их можно восстановить. Это сообщение отредактировал VolgaPM - 29.11.2021 - 09:19
	[^]

niteWolf	29.11.2021 - 09:30 [ показать ] -1
Статус: Offline Шутник Регистрация: 28.09.18 Сообщений: 73	бэкапы были на этой же машине, но на другом диске, контора небольшая - компов мало. nomoreransom.org результатов не принес...
	[^]

niteWolf

29.11.2021 - 09:31

-1

Статус: Offline

Шутник

Регистрация: 28.09.18
Сообщений: 73

Цитата (VolgaPM @ 29.11.2021 - 12:17)

ТС, отключи хард с базами от машины.
Если было включено теневое копирование, то есть возможность восстановить из этих копий, второй вариант - при помощи рекавери попробовать восстановить удаленные файлы.

Когда вирус зашифровал файлы, он удаляет старые, т.е. помечает как удаленные. есть шанс, что они не перезаписаны и их можно восстановить.

спасибо - попробую восстановить

[^]

krueger3	29.11.2021 - 09:34 [ показать ] 1
Статус: Offline Ярила Регистрация: 2.12.18 Сообщений: 1148	У касперского были бесплатные программы для востановления, там попробовать посмотреть
	[^]

bf1648	29.11.2021 - 09:40 [ показать ] -1
Статус: Offline Ярила Регистрация: 27.05.11 Сообщений: 2483	Весной тож поймали. Отдали 400к за расшифровку (за два ключа) одной конторе - приезжал хер из Москвы, отдали в руки после расшифровки. До этого пытались неделю сами. Знакомые переводили деньги непосредственно по контактам в файлике - их кинули. Вообще, в этом году очень много контор попало, даже очень крупных. Как потом выяснилось, был заранее спарсен пароль админской учетки домена и на машины в домене через RDP все это делалось под этой учеткой. В выходной день. Машины не в домене не пострадали. Это сообщение отредактировал bf1648 - 29.11.2021 - 09:48
	[^]

JohnDow	29.11.2021 - 10:00 [ показать ] -1
Статус: Offline просто хороший человек Регистрация: 1.10.12 Сообщений: 22885	скажем так у меня одна знакома контора шифровальшика ловила 3 раза..ну да да мышки плакали кололись но продолжали етсь кактус. ЕМНИП: платили 2 раза, ключ для расшифровки получали, на 3й раз спасли бакапами
	[^]

amdx	29.11.2021 - 10:04 [ показать ] 1
Статус: Offline Программер Регистрация: 20.05.11 Сообщений: 2516	Я бы не ставил крест. Шифровальщики, как правило, шифруют файл не целиком, а блоками. Обязательно шифруется самые первые байты, которые в многих типах являются заголовком и определяют структуру файла. И еще несколько первых мегабайт по 32 порченных байта на каждый блок из 1024-8192 байт. То есть, в принципе, это не много. Вирус не портит файл целиком, это очень долго, а ему нужно быстро сделать файл неработоспособным. Поэтому с файлами 1С достаточно бывает из другого нормального файла 1CD вытащить первые несколько килобайт и сделать проверку в конфигураторе.
	[^]

JohnDow

29.11.2021 - 10:09

-2

Статус: Offline

просто хороший человек

Регистрация: 1.10.12
Сообщений: 22885

Цитата (amdx @ 29.11.2021 - 12:04)

Я бы не ставил крест. Шифровальщики, как правило, шифруют файл не целиком, а блоками. Обязательно шифруется самые первые байты, которые в многих типах являются заголовком и определяют структуру файла. И еще несколько первых мегабайт по 32 порченных байта на каждый блок из 1024-8192 байт. То есть, в принципе, это не много.
Вирус не портит файл целиком, это очень долго, а ему нужно быстро сделать файл неработоспособным. Поэтому с файлами 1С достаточно бывает из другого нормального файла 1CD вытащить первые несколько килобайт и сделать проверку в конфигураторе.

Да на хабре можно поискать, там читал истории что человек находил собственно ключ, парся программу, откуда что он берет. Но там нужно много знаний, и думаю это не вариант автора, раз он с такой проблемой сам на ЯП прибежал

Вроде вот эта статья

[^]

niteWolf	29.11.2021 - 13:13 [ показать ] 0
Статус: Offline Шутник Регистрация: 28.09.18 Сообщений: 73	Дело ясное, что дело темное... В итоге было принято волевое решение восстанавливать базу из бэкапа двухнедельной давности, пошел искать амулет от проклятий бухгалтера...
	[^]

amdx

29.11.2021 - 13:50

Статус: Offline

Программер

Регистрация: 20.05.11
Сообщений: 2516

Цитата

В итоге было принято волевое решение восстанавливать базу из бэкапа двухнедельной давности

А что не попробовали сделать как я говорил?

[^]

Понравился пост? Еще больше интересного в Телеграм-канале ЯПлакалъ!

Только зарегистрированные и авторизованные пользователи могут оставлять комментарии. Авторизуйтесь, пожалуйста, или зарегистрируйтесь, если не зарегистрированы.

1 Пользователей читают эту тему (1 Гостей и 0 Скрытых Пользователей)	Просмотры темы: 3444
0 Пользователей:

Страницы: (2) [1] 2

[ ОТВЕТИТЬ ] [ НОВАЯ ТЕМА ]