Вход | Регистрация

  1  2   
Информационные технологии :: Администрирование

Вирус-шифровальщик зашифровал базу и бэкапы

Вирус-шифровальщик зашифровал базу и бэкапы
Я
   Andrey400
 
31.10.16 - 09:17
Помогите расшифровать базу 1С 8.2
в субботу вирус зашифровал базу управление торговлей 10.3 и много файлов Word Excel
к имени файлов приписано
!____ELIZABETH7@PROTONMAIL.COM____.c400

зашифровалась даже база 1С файл 1cv8.1cd
теперь называется
1cv8.1cd1Cv8.cf!____ELIZABETH7@PROTONMAIL.COM____.c400
переименование не помогает

обидно что вирус зашифровал и основной сервер Windows Server2008 и второй сервер, куда каждый день снимались архивы, на втором сервере 580 архивов за каждый день - тоже все зашифрованы.

сервера я восстановил программой Acronis backup recovery  из образа с внешнего HDD (сделанного 1,5 года назад) сервера работают
А что делать с базой (и её архивами) ?
 
 
   vde69
 
1 - 31.10.16 - 09:19
если админы дебилы - пусть платят из личных денег...


зы
бекапы должны быть недоступны !!!
   vde69
 
2 - 31.10.16 - 09:21
сколько раз говорил - файловая база 1с только для тестов и демок !!!


даже простенький минисервер 1с спасает от напасти....

или работа через веб сервер...
   DrZombi
 
3 - 31.10.16 - 09:23
Есть те, кто не делает бекапы.
А есть те, кто уже начал делать :)
   DrZombi
 
4 - 31.10.16 - 09:23
(1) Поддерживаю... Админа расстрелять :)
   Alexor
 
5 - 31.10.16 - 09:24
>>>куда каждый день снимались архивы,

Вот тут у вас ошибка.
Архивы должны создаваться под отдельной учетной записью, даже не в домене.
   ELEA26
 
6 - 31.10.16 - 09:24
Черный понедельник у кого-то...
   Alexor
 
7 - 31.10.16 - 09:25
(1) Да тут еще и права пользователей походу полные.
   Asaqura
 
8 - 31.10.16 - 09:40
(0) а чем помочь то? кто вирус цепанул?
   aka AMIGO
 
9 - 31.10.16 - 10:02
(8) Обычный путь №1 - через засвеченную корпоративную почту.
№2 - флешка с зипом с домашнего компа
   ifso
 
10 - 31.10.16 - 10:03
(1) если в должностных админа регламентов на бэкапы нет (а значит нет ни нормативов, ни обеспечения, ни контроля), то с чего на исполнителей пинять?
 
 Рекламное место пустует
   shadow_sw
 
11 - 31.10.16 - 10:05
(0) буквально недели 2 назад, знакомые заплатили в биткоинах за расшифровальщик порядка 200к рублев
   aka AMIGO
 
12 - 31.10.16 - 10:05
Работал я в одной из фирм.. Там ребята-админы были с ушками на макушке: звонок по местному телефону: в ваш mail проскочил файл с подозрением на вирус. Не открывайте, пока мы не посмотрим.
   sapravka
 
13 - 31.10.16 - 10:16
(0) Теневое копирование тома - предыдущие версии тоже зашифрованы?

А пробовали - удаленные файлы  восстановить поблочно разными альтернативными методами – преимущественно из потоков ($DATA, $MFT и др.) файловой системы NTFS?
   elCust
 
14 - 31.10.16 - 10:22
(0) У моей клиентки шифровальщик поработал, у нее каспер стоял, но был выключен непонятно по каким причинам. Сразу к ним позвонили, они подключились забрали несколько файлов и через 8 дней расшифровали все.

А эти подонки, чей контакт был во всех директориях требовали 40 тыщ изначально за расшифровку.
   _stay true_
 
15 - 31.10.16 - 10:37
Сочувствую. Но помочь здесь вряд ли чем можно - либо платите, либо забейте и начните жизнь с чистого листа. Либо поизголяйтесь как советовал (13)

Админам или "безопасникам" строгий выговор и - 25% премии в этом месяце
   aka AMIGO
 
16 - 31.10.16 - 10:39
(15) За всеми юзерами не уследишь..
   _stay true_
 
17 - 31.10.16 - 10:45
(16) согласен, но за IT-инфраструктурой в целом - можно, дабы избегать таких ситуаций в будущем. У нас, например, были несколько случаев, когда шифровались данные на локальных машинах клиентов, но не более. Про "вирусные" вещи автоматом делается рассылка дважды в день, а так же предусмотрен штраф за нарушение полученной инструкции.
   opus70
 
18 - 31.10.16 - 10:53
только бэкапы спасают от этой напасти
к несчастью мелкие конторы не защищены полностью от шифровальщиков
   Сержант 1С
 
19 - 31.10.16 - 11:14
(18) Любые конторы защищены где админ нормальный строит систему. Для бекапов и теневого не надо лишних ресурсов.
   Yrii-ay
 
20 - 31.10.16 - 11:17
Нужно админам нормальную зарплату платить,тогда можно избегать этих шифровальщиков и даже после шифрования!
   Yrii-ay
 
21 - 31.10.16 - 11:18
Бывает и такое когда админы сами шифруют все базы)
   Yrii-ay
 
22 - 31.10.16 - 11:20
Если базы зашифрованы, то шифровальщик не сможет их повторно зашифровать, у меня напр вообще все локалка зашифрована!
   MM
 
23 - 31.10.16 - 11:26
(22) Да, что вы говорите.
Похоже на анекдот, в котором владелец бахчи, повесил записку, что 1 из арбузов отравлен, а на утро обнаружил приписку, что уже 2 арбуза отравлены.
   Сержант 1С
 
24 - 31.10.16 - 11:28
(22) подробнее плз
   DrZombi
 
25 - 31.10.16 - 11:29
(22) Конкуренты по шифрованию... ;)
   Jump
 
26 - 31.10.16 - 11:30
(0) Единственный вариант - заплатить вымогателям.
Иначе - набивать с нуля.
А вообще бэкапы для этого делают.
   Jump
 
27 - 31.10.16 - 11:30
(22) С чего бы это? Какая разница что шифровать?
   vde69
 
28 - 31.10.16 - 11:32
(22) не пори чушь, никто не мешает зашифровать твою базу как пофайлово, так и весь образ целиком.....
   Jump
 
29 - 31.10.16 - 11:34
(2) >>сколько раз говорил - файловая база 1с только для тестов и демок !!!

Сколько можно повторять этот бред?
Файловая база самый популярный и самый быстрый рабочий вариант.
На ней работает большинство.
SQL используется очень редко, ее имеет смысл использовать только при 5 и более пользователях одновременно работающих в базе.
Поднимать сервер ради одного- двух пользователей это абсурд.
   Yrii-ay
 
30 - 31.10.16 - 11:34
Большая.Если база зашифрована зарытым ключом  не один шифровальщик не сможет зашифровать повторно!
   Jump
 
31 - 31.10.16 - 11:35
(30) Что за бред?
Какая разница чем зашифрована база и как? База это файл!
Шифровальщик видит файл, и шифрует.
Все.
А что внутри файла - ему фиолетово.
   Yrii-ay
 
32 - 31.10.16 - 11:38
Видимо тебе фиолетово. Вирус не сможет зашифровать базу пока не узнает её ключ!  А ключ он никогда не узнает, нет ещё пока таких троянов!
   Jump
 
33 - 31.10.16 - 11:38
(32) Нафига ему ключ?
 
 
   Jump
 
34 - 31.10.16 - 11:40
Ключ нужен чтобы расшифровать и прочитать зашифрованное содержимое зашифрованного файла.
Шифровальщику читать содержимое файла не надо.
   Yrii-ay
 
35 - 31.10.16 - 11:41
Реализация алгоритма шифрования RSA при известных параметрах p и q.
   Yrii-ay
 
36 - 31.10.16 - 11:42
Построение модели протокола согласования ключей
   Yrii-ay
 
37 - 31.10.16 - 11:42
Почитай
   Jump
 
38 - 31.10.16 - 11:42
(30) А про закрытый ключ - вообще смешно.
Сразу видно что с шифрованием вы не знакомы.
Закрытым ключь это термин из ассиметричного шифрования.
И им никогда ничего не шифруют!
Шифруют открытым(публичным) ключом.
А закрытым расшифровывают.
   Yrii-ay
 
39 - 31.10.16 - 11:46
Троян не сможет зашифровать повторна без закрытого ключа
   Yrii-ay
 
40 - 31.10.16 - 11:46
повторно
   Jump
 
41 - 31.10.16 - 11:48
(35) Какая нафиг реализация, нафига тут вообще алгоритмы?

У тебя есть зашифрованный файл.
Прочитать что там за информация ты не можешь.
Но ты можешь скопировать этот файл - он так и скопируется зашифрованным.
Или зашифровать его.


Берешь текстовый документ. Документ.doc
Шифруешь его с помощь архиватора WinRAR с ключом A%(Js,gytr6t6jh, получается зашифрованный архив Документ.rar

Так вот чтобы зашифровать зашифрованынй архиво Документ.doc не нужно знать ключ шифрования, и не нужно его расшифровывать.
Просто берешь файл  Документ.rar шифруешь его архиватором WinRAR.
В итоге у тебя получится зашифрованный архив Документ.rar внутри которго находится зашифрованный архив Документ.rar внутри которого находится документ Документ.doc
   MaxS
 
42 - 31.10.16 - 11:48
(30) повторюсь, бред. ))
Если файл доступен для изменения, то содержимое файла и его назначение шифровальщику фиолетово. Он берет файл и делает из него другой файл. Всё.
   Yrii-ay
 
43 - 31.10.16 - 11:49
Троян сперва читает инвормацию, а потом уже шифрует
   Сергиус
 
44 - 31.10.16 - 11:49
Неужели подобные проблемы с письмами нельзя решать на уровне какого-ть "АнтиСПАМБезопасногоФильтра" на почтовом хостинге? Ну или накрайняк локально установленного?
   Yrii-ay
 
45 - 31.10.16 - 11:49
И как он может быть доступен для изменения если он зашифрован?
   MaxS
 
46 - 31.10.16 - 11:50
(43) (45) Не доходит. Жаль. Значит (3)
   Jump
 
47 - 31.10.16 - 11:51
(43) Ты зашифровал текстовый документ - без ключа текст прочитать нельзя.
Но зашифрованный файл прочитать можно без проблем - это просто будет бессмысленный набор информации.

Шифроальщик читает этот бессмысленный набор информации и шифрует.
   Jump
 
48 - 31.10.16 - 11:52
(45) Т.е ты считаешь что зашифрованный файл нельзя удалить?
И нельзя считать с диска?
   Salimbek
 
49 - 31.10.16 - 11:52
(45) Ответь на простой вопрос. После шифрования твой файл останется файлом или нет?
 
 Рекламное место пустует
   Yrii-ay
 
50 - 31.10.16 - 11:53
Ну шифруйте тогда rarom и дальше, больше вам сказать ничего не могу!
   Demon_MSK
 
51 - 31.10.16 - 11:55
(40) Ему фиолетово что в файле.
Или думаешь что он умеет читать и понимать все 100500 форматов что есть?
   craxx
 
52 - 31.10.16 - 11:56
(39) мдя... тяжелый случай...
   Jump
 
53 - 31.10.16 - 11:57
(50) А чем тебе не нравится шифрование в WinRAR и чем оно отличается от шифрования другими средствами?
Вы чем предлагаете шифровать?
В WinRAR - AES банальный.
   Dotoshin
 
54 - 31.10.16 - 11:58
(45) Если ты возьмешь буковки и выложишь из них какой-то текст, а потом перемешаешь их, что тебе помешает перемешать их еще раз? То же самое с шифрованием, не путай доступ к файлу с чтением.
Образно говоря, если ты перемешанные буковки спрячешь в ящик и закроешь его на ключ, то тогда да, никто их второй раз не перемешает, а вот если они перемешанные лежат на столе, то перемешивай их хоть до посинения.
   DrZombi
 
55 - 31.10.16 - 12:01
(54) Перемешать 20-ть раз и всем успеть оплатить денежку :)
   Salimbek
 
56 - 31.10.16 - 12:01
(47)-(48) Сдается мне, что этот чудак гордится тем, что у него раздел диска зашифрован. И тогда действительно, без пароля доступа к диску не получишь. Но такая схема все равно не защищена от проникновеня вируса в сеанс с введенным паролем.
   Yrii-ay
 
57 - 31.10.16 - 12:01
А если например ты сам написал прогу для шифровки и дешифровки тогда что получается?
   Salimbek
 
58 - 31.10.16 - 12:03
(57) Зашифруй свой файл, а потом удали его. И расскажи, как твое шифрование поможет вернуть удаленный файл.
   DrZombi
 
59 - 31.10.16 - 12:04
(57) Получается: Суд, Срок, Тюрьма... и далее по жизни ты поэтапно повторяешь этот процесс, т.к. вор должен сидеть в тюрьме :)
   Jump
 
60 - 31.10.16 - 12:04
(57) Какая разница кто написал программу?
Шифрование это перемешивание информации по определенному алгоритму.
После шифрования нельзя прочитать зашифрованный текст без ключа.
А само шифрованное сообщение может читать кто угодно - просто он не поймет какой в нем смысл.

Вот берем это шифрованное сообщение и шифруем его еще раз - т.е еще раз перемешиваем.
   mehfk
 
61 - 31.10.16 - 12:05
   Yrii-ay
 
62 - 31.10.16 - 12:05
А попробуй зашифровать файл и удалить, а потом восстановить этот файл что получится?
   Dotoshin
 
63 - 31.10.16 - 12:06
(62) Проделай такой эксперимент, узнаешь что получится.
Думаю ты будешь удивлен.
   Jump
 
64 - 31.10.16 - 12:07
(62) Если нормально удалишь - то восстановить не получится.
А если просто удалишь штатными средствами а потом восстановишь - получится тот же самый зашифрованный файл.
   DrZombi
 
65 - 31.10.16 - 12:07
(60) >>> После шифрования нельзя прочитать зашифрованный текст без ключа.

Вы малыша путаете словом "Нельзя прочитать".
Правильно бы выразиться: Прочитать содержимое фала можно, но оно не будет содержать смысловой нагрузки. Т.к. Буковки там будут вперемежку и хаотично :)
   Yrii-ay
 
66 - 31.10.16 - 12:08
Не правильно
   DrZombi
 
67 - 31.10.16 - 12:08
(62) С больше степени вероятности, система частично затрет твой файл, своим мусором.
И при дешифровании вы будете очень огорчены :)
   DrZombi
 
68 - 31.10.16 - 12:09
(66) Что правильно? :)
   Dotoshin
 
69 - 31.10.16 - 12:09
(66) Что именно не правильно?
   Yrii-ay
 
70 - 31.10.16 - 12:11
Файл восстановится в первоначальном виде, сам проверял на примере vaultа
   Yrii-ay
 
71 - 31.10.16 - 12:12
Хриптографы
   Jump
 
72 - 31.10.16 - 12:12
(70) Зашифруй свою базу данных, и пришли мне на почту.
Я ее зашифрую и вышлю тебе.
   Yrii-ay
 
73 - 31.10.16 - 12:15
Давай почту?
   Dotoshin
 
74 - 31.10.16 - 12:15
(70) Расскажи как проверял, если не секрет конечно.
   DrZombi
 
75 - 31.10.16 - 12:16
(74) Он побитово, на глазок :)
   Jump
 
76 - 31.10.16 - 12:17
(73)Почта в личном кабинете.
Защищена капчей.
   Dotoshin
 
77 - 31.10.16 - 12:17
(73) Нафига почту? Выложи куда-нить, хоть на яндекс, хоть в гугл и опубликуй ссылку.
   DrZombi
 
78 - 31.10.16 - 12:18
(76) (77) Вы правда верите в магию юного падавана? :)
   Джо-джо
 
79 - 31.10.16 - 12:19
(78) нет, хотят проверить, обойдёт ли он капчу
   Yrii-ay
 
80 - 31.10.16 - 12:21
что именно провярял?
   Yrii-ay
 
81 - 31.10.16 - 12:21
проверял
   Dotoshin
 
82 - 31.10.16 - 12:23
(81) Давай уже рассказывай, как файл в первоначальном виде восстановил, на примере vaultа?
   бегинер
 
83 - 31.10.16 - 12:23
Yrii-ay имелл ввиду быть может что шифровальщик не шифрует уже шифрованный файлы потому - что как он подразумевает: перед шифровкой вирус проверяет контент файла на предмет принадлежности к типу: эксель, 1с и т.д. по структуре заголовка, а так как файло уже зашифровано - то вирус его не трогает и идет к след. файлу.

(81) так? :)
   Yrii-ay
 
84 - 31.10.16 - 12:28
Ты прав
   Yrii-ay
 
85 - 31.10.16 - 12:28
Вы
   Ёпрст
 
86 - 31.10.16 - 12:28
все известные шифровальщики, которые прилетают по почте не смотрят на содержимое, тупо по маске файла шифруют и привет, и то не всё, а часть, как правило - заголовок и хвост. Так быстрее. Никто там по структуре файла не проверяет, что это за файло. Да и зачем ?
   DrZombi
 
87 - 31.10.16 - 12:29
(83) Может, или нет... ясень пень, что у шифровальщика есть некая маска, которая проверяет расширение.
Но это ограничение чисто программное, и другой Злобный шифровальщик мог и не учесть этот момент ;)
   Yrii-ay
 
88 - 31.10.16 - 12:30
А почему же они тогда и системные файлы не шифруют?
   craxx
 
89 - 31.10.16 - 12:31
(0) вообще у нас бэкапы идут на юниксовый сервер, на котором не под рутом они только рид-онли. Ни один шифровальщик не зашифрует, как говорится, видит око да зуб неймет.
   Ёпрст
 
90 - 31.10.16 - 12:31
(88) доступа на изменение нет, це же очевидно
   DrZombi
 
91 - 31.10.16 - 12:31
(88) Потому, что системные файлы некому не нужны. За них не платят деньги... Шустрый Админ, системные файлы всегда подымет из копии Установки ОС ;)
   Ёпрст
 
92 - 31.10.16 - 12:32
аналогично, mdf/ldf не сможет зашифровать или дбф-ки, если их база 1с "держит"
   NikVars
 
93 - 31.10.16 - 12:32
(88) Их легко восстановить. Они не уникальные.
   ELEA26
 
94 - 31.10.16 - 12:32
А скоро уже будет: "Йа тибя по айпи вычеслю!" ?
   бегинер
 
95 - 31.10.16 - 12:33
в тему защиты: а может кто подскажет прогу в стиле cobian backup только чтоб еще была фича копирования в облако: гугл диск, яндекс диск, маил ру?

алгоритм:

делаем папочку с доступом только у одной учетки, и из под этой учетки бэкапим все в эту папку.
соотв. из под учетки пользователя - доступ у виря к бэкапам не будет.

можно конечно эту папку синхронизировать к облаку, но мало-ли вирусня доберется до бэкапов - они все шифрованные в облаке и синхронизируются.

вот и хочется чтоб в облако софт отсылал файлы и там они копились.
   Jump
 
96 - 31.10.16 - 12:33
(88)Причин этому много-
1)Зачем шифровать системные файлы? Кто за них деньги будет платить, если можно просто систему переставить?
2)Нельзя зашифровать открытый на запись файл - а системные файлы зачастую открыты.
3)Если их зашифровать - система упадет. А задача шифровальщика оставить пользователю рабочую систему, без ценных пользовательских данных
5)На шифрование нужно время - зачем тратить его на ненужные вещи?
   DrZombi
 
97 - 31.10.16 - 12:34
(94) Его Волшебник убил :)
   Jump
 
98 - 31.10.16 - 12:35
(90) Даже если есть доступ он шифровать не будет.
Любое изменение системных файлов -и нарвешься либо на антивирус, либо уронишь систему.
А это совсем не нужно. За это денег не платят.
   Jump
 
99 - 31.10.16 - 12:40
(95) Регишься на меге, получаешь своих бесплатных 50гб
Берешь консольную утилиту https://megatools.megous.com/
Кидаешь батник в планировщик задач и радуешься жизни.
   MM
 
100 - 31.10.16 - 12:40
Ну описанный им способ может дать очень слабенькую защиту, если пометить файлы так как их метит шифровальщик, чтобы их повторно не шифровать. Но от другой версии криптера это, конечно, не поможет.
Или изменить расширения файлов на нестандартные, но это глупая игра.
(98) Раньше же были локеры, которые не шифровали данные, а блокировали ОС, но это не перспективно.
  1  2   

Список тем форума
Рекламное место пустует  Рекламное место пустует
ВНИМАНИЕ! Если вы потеряли окно ввода сообщения, нажмите Ctrl-F5 или Ctrl-R или кнопку "Обновить" в браузере.
Тема не обновлялась длительное время, и была помечена как архивная. Добавление сообщений невозможно.
Но вы можете создать новую ветку и вам обязательно ответят!
Каждый час на Волшебном форуме бывает более 2000 человек.
Рекламное место пустует