Один из способов спасти базу после вируса-шифратора

08.10.15

Задачи пользователя - Корректировка данных

К неудаче, на сервер пробралась программа шифратор, которая, как известно, все файлы зашифровала, добавив к наименованию в моем случае 1Cv8.1CD.id-{MVWMFZIOCVZRDVZDEIAESWASEIMESTYCDIMQ-07.10.2015 3@59@345085745}-email-vernutfiles@gmail.com-ver-4.0.0.0.cbf. У других id и почта могут быть другими, но суть в том, что расширение у фалов становится .cbf.

Архивирование баз осуществлялось, но, увы, архивы, учитывая, что хранились на том же сервере на другом жестком диске, также пострадали. В таких случаях в интернете советуют либо связываться с автором-вымогателем, либо смириться и начать ведение базы 1С заново.

Данный способ не панацея, т.к. кому-то помогает, а кому-то нет, судя по редким записям на форумах. Но, может, эта последняя надежда для кого-то окажется спасительной.

Мне помогло зашифрованный файл базы .1CD до расширения .cbf расшифровать утилитой chdbfl.exe. Удалил в наименовании все лишнее у зашифрованного файла, оставив родное расширение.

Т.е. было 1Cv8.1CD.id-{MVWMFZIOCVZRDVZDEIAESWASEIMESTYCDIMQ-07.10.2015 3@59@345085745}-email-vernutfiles@gmail.com-ver-4.0.0.0.cbf.

Переименовал, удалив лишнее: 1Cv8.1CD

Обработал утилитой chdbfl.exe для восстановления файла базы с бывшим расширением .cbf.

Проверка нашла кучу ошибок в записях, но отчиталась, что их исправила.

Дополнительно выполнил тестирование и исправление базы - база стала рабочей. В сети заметил такую статистику, что может и не помочь - вероятность 50 на 50.

Надеюсь, что кого-то спасет. А в целом не забывайте не только регулярно создавать архивные копии. Но и раз в неделю, а можно и чаще, копию(и) баз копировать не внешний носитель и храните вне помещения офиса или рабочего пространство. А то мало-ли что бывает еще - кражи, пожары. Хорошо, если все будет хорошо. Но вдруг если что, то даже база недельной давности очень будет радовать в подобной плачевной ситуации.

расшифровка файла базы с расширением .cbf восстановление 8 после шифровки вирусом дешифровка

См. также

Исправление в 1С:ЗУП/ЗКГУ ошибок по НДФЛ и взаиморасчетам с сотрудниками на начало расчетного года.

Корректировка данных Зарплата Платформа 1С v8.3 Сложные периодические расчеты 1С:Зарплата и кадры бюджетного учреждения 1С:Зарплата и Управление Персоналом 3.x Россия Бухгалтерский учет НДФЛ Платные (руб)

Обработка исправляет технические ошибки по НДФЛ, взаиморасчетам с сотрудниками в 1С:ЗУП (1С:ЗКГУ) на начало года. Фактически все ошибки, которые проявляются в ведомостях на выплату, расчетных листках, при заполнении ведомостей на выплату и отчетах 6-НДФЛ и т.д. нужно начинать исправлять с начала расчетного года. Это позволит быть уверенными, что после завершения расчетов предыдущего года, начали работать с «чистого листа» без ошибочных остатков.

4800 руб.

06.10.2023    2315    29    15    

33

Тестирование и исправление ключей аналитики ERP, УТ11, КА

Корректировка данных Платформа 1С v8.3 1С:ERP Управление предприятием 2 1С:Управление торговлей 11 1С:Комплексная автоматизация 2.х Платные (руб)

Незаменимая обработка для сопровождения конфигураций: ERP, УТ, КА. Позволяет вычистить многие ошибки в ключах аналитики, в ключевых справочниках конфигурации.

3600 руб.

10.02.2017    106798    633    173    

676

Ускоренное проведение документов (x4), устранение ошибок 60/62 счетов и зачет авансов (Бухгалтерия 3.0)

Закрытие периода Инструменты администратора БД Корректировка данных Бухгалтерский учет 1С:Бухгалтерия 3.0 Россия Бухгалтерский учет Платные (руб)

Расширение «Оперативное проведение» в 4 раза уменьшает время проведения документов и закрытия месяца. Является комплексным решением проблем 62 и 60 счетов. Оптимизирует проведение при включенной функциональной опции «Раздельный учет НДС». Используется в более 10 организациях уже 2 года. Совместимо с конфигурацией Бухгалтерия 3.0 (+КОРП).

14400 руб.

29.04.2020    27369    79    146    

59

Исправление ошибки закрытия месяца "Обнаружены ненулевые остатки по суммам при нулевом остатке по количеству в регистре себестоимости по организации". УТ 11.4,УТ 11.5, КА 2.4,КА 2.5, ERP 2.4, ERP 2.5, КА 2 Казахстан, Управление торговлей 3 для Казахстана

Закрытие периода Корректировка данных Платформа 1С v8.3 Оперативный учет 1С:Управление торговлей 11 Управленческий учет Платные (руб)

Закрытие месяца - важный процесс в современных конфигурациях, таких как УТ 11.4, УТ 11.5, КА 2.4, КА 2.5 ERP 2.4,ERP 2.5, КА 2 Казахстан, УТ 3 Казахстан регламентные операции влияют на расчет себестоимости, и ошибки в данном расчете не дают картины деятельности организации.

2400 руб.

27.10.2021    22317    299    35    

71

SALE! 20%

Заполнение документа "Корректировка регистров" произвольными данными

Закрытие периода Корректировка данных Платформа 1С v8.3 Система компоновки данных 1С:Управление нашей фирмой 1.6 1С:ERP Управление предприятием 2 1С:Управление торговлей 11 Управленческий учет Платные (руб)

Внешняя обработка, позволяющая произвольным образом заполнять документ "Корректировка регистров" Предназначена для использования в конфигурациях "Управление торговлей 11", "Управление небольшой фирмой", "ERP Управление предприятием", а также в других конфигурациях, в состав которых входит библиотека стандартных подсистем (БСП) версии 2.2+ и указанный выше документ.

2400 1920 руб.

13.07.2015    50162    171    29    

121
Комментарии
В избранное Подписаться на ответы Сортировка: Древо развёрнутое
Свернуть все
1. ya.Avoronov 115 08.10.15 18:15 Сейчас в теме
Однажды в 2014 году DrWeb, точнее его служба поддержки, спасла нашу фирму от подобного шифратора, за 5 часов нам подогнали дешифратор.
А вот в следующем году вирус - шифровальщик был новее, DrWeb не помог, пришлось попрощаться с некоторыми данными (((
Кто-то платил злоумышленникам и сколько денег отдал?
2. zhuravlev_as 392 08.10.15 22:11 Сейчас в теме
(1) ya.Avoronov, только Вы забыли упомянуть, что они помогают лицензированным пользователям. NOD32 тоже вроде готов помогать пользователям с лицензией, у кого беда произошла. Но в случае, когда уже вариантов нет - кто-то мирится с ситуацией, кто-то нет. Бесспорно печально, что такое происходит.
3. catv 09.10.15 08:45 Сейчас в теме
Банально, но тут мог быть описан случай со сдохшим диском. И тогда, возможно (но не факт), помогли бы только танцы с бубном
Без правильного резервирования делать нечего, особенно жестоко с этим у большой части домашних пользователей - "А-а-а,спасите мои фотки и видео за NN лет..."
4. WKBAPKA 214 09.10.15 09:27 Сейчас в теме
у меня двое клиентов от этого пострадали. в первом случае спасло то, что основная база 1С была SQL, пострадали только 7-очные базы, во втором случае все было гораздо серьезнее.
Я не брался за решение данной задачи, но прошерстил инет. Нашел интересную статью на Хабрахабре где расписано как можно спокойно решить эту проблему. Спокойно, условно конечно же, автор статьи явно очень хорошо дружит с ассемблером и очень не плохо разбирается в этом деле.
5. herfis 498 09.10.15 09:28 Сейчас в теме
Повезло. Попался халтурный шифратор, который только заголовки шифровал.
snami_ru; bulpi; +2 Ответить
6. Bukaska 140 09.10.15 09:34 Сейчас в теме
Диск с копиями вообще лучше отключать после того, как сделали бекапы)
7. andybs 09.10.15 11:38 Сейчас в теме
Отключать диск от сервера после бэкапа - достаточно проблематично. Баз много. Бэкапы в автомате.
Мы делаем так. В домен заведен специальный пользователь. Доступ в папку бэкап имеет только он. Даже стандартный админ винды не имеет. Процедура бэкапа запускается под его именем. Соответственно, доступ к бэкапам закрыт от всяких шифраторов.
Есть еще способы.
Для серверных баз шифраторы не страшны, ибо не могут удалить файл с данными SQL. Для файловых, как вариант держать на сервере запущенную 1с. У одного клиента это спасло. А база была запущена постоянно для того, что бы выполнялись фоновые задачи.
Еще из опыта: У одного клиента файлы восстановили через 4 дня. ДрВЭБ прислал дешифратор.
a.zenin; manu; Motor24; _Маша; adhocprog; dj_serega; AlexInqMetal; +7 Ответить
8. Bukaska 140 09.10.15 16:07 Сейчас в теме
(7) andybs, Может можно как-то настроить папку с базами на запись, чтобы был запрет на чтение.. В итоге шифратор - не прочитал- не зашифровал)))
9. AlexInqMetal 77 09.10.15 17:16 Сейчас в теме
(8) Bukaska, запись с запретом на чтение это примерно как писать в тетрадку с закрытыми глазами, можно такого понаписать) в общем создатели ОС такого добра не допускают.
13. andybs 09.10.15 20:59 Сейчас в теме
(8) Bukaska, Не думаю, что можно настроить на запись и запретить чтение...
Заблокировать базу еще раз говорю можно просто держать запущенный экземпляр базы.
14. Cooler 22 09.10.15 21:06 Сейчас в теме
(13) andybs,
Не думаю, что можно настроить на запись и запретить чтение...
Можно, можно, проверено лично.
Сейчас у меня на диске D есть папка Test, куда я под обычным пользователем даже зайти не могу. Но команда системы:
copy backup.zip D:\Test

проходит на ура, и под администратором я убеждаюсь, что файл записался.

Надо только убедиться, чтобы программа-бэкапер, создающая архивы, создавала готовый архив где-то во временных файлах, а потом просто копировала его в такую папку.
23. andybs 13.10.15 21:52 Сейчас в теме
(14) Cooler, "а потом просто копировала его в такую папку"
Ну это близко к моему методу. У меня доступ к папке только от особого пользователя. Даже админу вход в папку запрещен. Т.е., если даже я войду админом и запущу шифратор - бэкап будет цел.
Бэкапер у меня запускается от этого пользователя.
10. MarryJane 31 09.10.15 17:55 Сейчас в теме
Так вообще то шифратор (может я не встречал шифраторов которые шифруют внутренности) шифрует заголовок и шифрует конец файла добавляет в конец еще чего нить. Но так файл 1C 8 имеет стандартную струкутру (заголовок легко востановить в каком нить HEX редакторе) и конец файла можно рассчитать потому как идет блоками (помогла вот эта статья http://infostart.ru/public/19734/ ) и еще воспользовался вот этим http://infostart.ru/public/187832/ .
11. 09.10.15 18:04 Сейчас в теме
(10) MarryJane, ребята не мудрите. практически любой шифратор не будет шифровать весь файл, обычно начало середину и конец по 255 байт. Мне то-же попался такой шифратор в 2014 году. И не было не у DRWEB не у касперыча дешифратора именно под этот, потому как он свежий и сигнатуры другие. Те которые могли имели дыру в методе шифрования и их легко дешифровали поэтому) А новые так просто у фирм антивирусов не получится уже. А лечатся такие файлы легко и без дешифраторов только у 8-й версии, с помощью стандартной утилиты chdbfl)) Вот 7-ные dbf сами понимаете не как)

(7) andybs, пришлет только тому у кого есть лицензия на их продукт. Новые шифраторы избавились от дыры в методах шифрования и теперь нужен хотя-бы один оригинальный чистый файл из тех что зашифровали. Иначе филькин кафтан)

(6) Bukaska, Шифровальщик работает по определенному алгоритму с списком определенных типов файлов у каждого свой. Поэтому вывод однозначный меняй расширение у файла бекапа на очень нестандартное свое выдуманное и нечистая пронесет) А если разграничивать права доступа к диску или каталогу с базой то как ты будешь стучаться сама к базе так как шифровальщик работает под правами того кто имеет доступ к базе.

Аффтор Не знаю я не платил так как метод описал выше, а 7-ые базы были на 8-ке успел перевести так что не важно. Но насколько слышал на разных ресурсах кто платил, обычно отчет идет по минимуму от 10-ки рублев.
12. andybs 09.10.15 20:58 Сейчас в теме
(11) trade70, " пришлет только тому у кого есть лицензия на их продукт"
Ну когда зашифровано что-то важное - купить лицензию необременительно.
И да нужны файлы исходные. Но это почти всегда можно найти в исходящей почте например.
Именно так все и было. Купили лицензию. Закинули пяток файлов зашифрованных и исходных и получили дешифратор.
15. anig99 2843 11.10.15 20:56 Сейчас в теме
Последняя серия шифраторов не подвергается дешифровке в разумные сроки ПРИНЦИПИАЛЬНО. На форумах веба и нода разводят руки без денег и с деньгами. Одно хорошо, что процесс шифровки больших файлов занимает слишком много времени, поэтому шифруются только документы и картинки. Те шифровальщики, которые шифруют базы, действительно шифруют, только часть базы.
16. 11.10.15 21:02 Сейчас в теме
(15) anig99, этого и следовало ожидать, в свое время были вирусы полиморфики еще та напасть от которой было практически невозможно избавиться даже с антивирусами. То есть меняется метод шифрования по ключу для каждого файла и даже если есть у вас оригинал файла одного из зараженных не факт уже что это вам поможет расшифровать остальные. Если честно не удивлен, шифровальщики матереют))
19. AnryMc 849 13.10.15 13:23 Сейчас в теме
(16) trade70,
То есть меняется метод шифрования по ключу для каждого файла и даже если есть у вас оригинал файла одного из зараженных не факт уже что это вам поможет расшифровать остальные.


В таком случае в шифровальщике должен присутствовать "словарь" ключей, либо должен быть чёткий алгоритм их смены...
И в том и в другом случае только вопрос техники (времени/денег) его "поймать"...
20. 13.10.15 15:25 Сейчас в теме
(19) AnryMc, все бы ничего но уже давно ключи состоят из двух частей одним шифруют который в паблике! и открыт всем, а расшифровать можно только вторым ключом который у хазяина шифровальщика)
Так что это действительно вопрос времени, огромного времени, которое некто тратить не будет как раз из-за вопроса малых денег за это. Разведут руками просто в конторе антивируса. А вот денег дать хазяину шифровальщика да согласен)
17. ixijixi 1775 12.10.15 17:06 Сейчас в теме
После завершения архивации кидаю архив в облако. Думаю, это поможет избежать подобной проблемы)
24. andybs 13.10.15 21:55 Сейчас в теме
(17) the1, " кидаю архив в облако". Если облако типа Яндекс.Диск, то архив зашифруется в локальной папке Яндекс.Диск, то радостно замениться и в облаке.
Т.е., тут надо как то обходить это.
26. Bukaska 140 14.10.15 09:55 Сейчас в теме
(24) andybs, А если программу яндекс-диска не держать на компе, а сразу грузить в облако?
Локальная папка, это если программа сервиса установлена
37. andybs 15.10.15 21:50 Сейчас в теме
(26) Bukaska,
"а сразу грузить в облако" - удобство облака в том, что достаточно положить файл в папочку, а прожка все сделает сама, даже если будет прерываться и восстанавливаться инет. При этом не требуется ничего делать "ручками"

"архивирую базу
шифрую архив (точнее, zip с паролем)
переименовываю с левым расширением
кидаю в облако"
Думаю, что нет. Теперешние шифраторы шифруют все подряд, не смотрят на расширение, и паковано или нет.

Итак мое предложение (если нужно облако):
1. Заводим нового пользователя Winows "1cbackup"
2. Удаляем прогу Облака из автозапуска
3. Настраиваем автозапуск этой прожки от пользователя "1cbackup"
4. После этого запуска прожка создаст локальную папку для Облака (обычно в папке C:\users\1cbackup).
5. Настраиваем на этой папке доступ ТОЛЬКО для пользователя Winows "1cbackup"
6. Настраиваем бэкапер на запуск от пользователя Winows "1cbackup"

Все. шифратор не доберется ни до папки, ни до Облака.
Бэкапится как локально, так и на случай ядерной войны - в облако.

Если есть вопросы КАК сделать тот или иной пункт - с удовольствием отвечу.
53. ixijixi 1775 02.11.15 17:01 Сейчас в теме
andybs, спасибо за советы, сделал как Вы указали в (37), за исключением того, что облачная прога (да и все прочие юзеры) имеет доступ на чтение к папке с бэкапами. По идее, этого должно быть достаточно, чтобы обезопаситься от шифровальщика)
28. Papilion 14.10.15 11:54 Сейчас в теме
(24) andybs, Поддерживаю, работает если кидать бэкап в облако через браузер, потому что если стоит клиент с папочкой на компе, то все в этой папочке также шифруется и синхронизируется с облаком. А это как то совсем не автоматизированно получается. На днях у клиентов все файлы заархивировали с паролем, а оригиналы потерли без возможности восстановления. Ничего не надо придумывать с шифрованием, все уже продумал RAR )
33. ixijixi 1775 15.10.15 10:21 Сейчас в теме
(24) andybs, блин, об этом я не подумал ((
35. ixijixi 1775 15.10.15 12:43 Сейчас в теме
(24) andybs, Вы меня озадачили)) Немного изменил подход
Короче, алгоритм такой:
архивирую базу
шифрую архив (точнее, zip с паролем)
переименовываю с левым расширением
кидаю в облако

Как считаете, этого достаточно?
62. пользователь 25.01.21 12:19
Сообщение было скрыто модератором.
...
18. Taxes 13.10.15 12:44 Сейчас в теме
Пару раз сталкивался с такой ситуацией у знакомых бизнесменов еще год назад - ситуацию поправил стандартной проверкой - chdbfl.exe.... На тот момент помогло. Франчи попросили по 5к за каждую базу и месяц требовали дешифратора от DrWeb-а, но, похоже так и не дождались
21. asup61 13.10.15 15:37 Сейчас в теме
Один знакомый поймал шифратор, который пошифровал имена файлов, зашифровано ли внутри я не стал разбираться, но по-видимому это дохлый номер, чтобы подобрать ключ надо иметь оригинал и зашифрованный файл, а оригиналов нет, а подбором можно и сто лет ключ подбирать.
22. 13.10.15 15:45 Сейчас в теме
(21) asup61, да они так и делают шифровальщики меняют расширение и имя файла. И в специальной своей папке создают файлы с сигнатурами и отсылают на сервер хозяина шифровальщика. После этого ждут когда придет письмо от зараженного, если в течение месяца не приходит, грохают ключ в своей базе и потом при желании даже не кому не восстановить.
Да похоже методы борьбы с ними сдают позиции)
Самое эффективное это бэкапы и распределение доступа к бэкапу.
25. Aleskey_K 32 14.10.15 09:14 Сейчас в теме
двое знакомых в один день столкнулись с шифровальщиком, в одном случае помог Касперский, прислали дешифратор. В другом случае сказали, что расшифровать невозможно.
Лучший способ: бекапиться под отдельным пользователем, чтобы у других не было доступа к бекапам.
27. jaroslav.h 180 14.10.15 10:05 Сейчас в теме
Свои 5 копеек вставлю. Делаю бекапы как локально так и на фтп одновременно
29. Бывалый балбес 14.10.15 12:03 Сейчас в теме
(27) myr4ik07, 5 копеек нету, но есть алтын! Просто предположение - если шифровальщик шарится по расширениям файлов, то может просто после архивирования менять расширения?
30. 14.10.15 15:53 Сейчас в теме
(29) Бывалый балбес, я уже писал это. Шифровальщик работает по определенному алгоритму расширений файлов, поменяешь его и шифровальщик пройдет мимо)

(28) Papilion, не понял про RAR, потеряли пароль? Архивы или по другому с расширением .rar тоже шифровальщиком шифруется.
А если потеряли пароль, все-же есть ломалки этих паролей, хоть и гемморно это.
32. Papilion 15.10.15 08:43 Сейчас в теме
(30) trade70, Просто все файлы не шифруются, а архивируются раром с паролем и в каждую папочку ридми ложится, пароль от архива стоит 18000. Архивы можно открыть, посмотреть что в них, но чтобы разархивироать нужен пароль. Пробовали восстановить оригиналы программами для восстановления удаленных файлов, ничего не вышло...
34. Cooler 22 15.10.15 10:52 Сейчас в теме
(32) Papilion,
файлы не шифруются, а архивируются раром с паролем
Ну, для баз 1С этот способ вряд ли страшен: размер файла 1CD велик и вряд ли вирус успеет нанести большой вред. А вот для картинок и всяких офисных DOC и XLS - да, не хуже шифровщика сработает.
38. andybs 15.10.15 21:53 Сейчас в теме
(30) trade70, "Шифровальщик работает по определенному алгоритму расширений файлов, поменяешь его и шифровальщик пройдет мимо"
Последний шифровальщик, который огреб один из клиентов шифровал ВСЕ, что смог. На расширения не смотрел. Смотрел на сигнатуры.
39. 16.10.15 04:44 Сейчас в теме
(38) andybs, что мешает написать программу которая добавляет или изменяет батничком первые 255 байт на мусор, а потом восстанавливать удалять этот мусор. Еще лучше, работа максимум для программиста новичка любого языка программирования) Ибо все сигнатуры в начале файла.
Зато гарантировано пройдет мимо.
40. andybs 16.10.15 16:36 Сейчас в теме
(39) trade70, "что мешает написать программу которая добавляет или изменяет батничком первые 255 байт на мусор"
наверно ничего, только, по моему - это резать гланды через задний проход :) и совершенно не гарантирует от новых шифровальщиков, которые будут шифровать все, что не приколочено системными процессами.
Есть, вполне себе, вменяемые способы защиты, гарантированно защищающие бэкапы от любого щифровальщика, сделанные стандартными средствами винды.
Есть совершенно безопасные и стандартные способы защиты самой базы 1с.
41. 17.10.15 03:24 Сейчас в теме
(40) andybs,
и совершенно не гарантирует от новых шифровальщиков, которые будут шифровать все

Хочешь сказать даже *.exe?) Это действительно задний проход - система просто не запуститься чтоб расшифровать саму себя) Мы кстати вычислили этого шифровальщика что он работает по тому как загружена была система. И выдергнули его из системы не все зашифровал в итоге. А это не все он шифрует, а только избранное.
Что так трудно написать такое? Правда модифицировать на запись в начало.
var t:file; 
 
assignfile(t,'1.1cd'); 
reset(t); 
write(t,code); 
 
closefile(t); 

Кажись задание для начинающего "первоклашке" в языках) Спрашивается нахера тогда программисты, если они привыкли "тырить" у всех, а не писать)

Есть совершенно безопасные и стандартные способы защиты самой базы 1с.

Вы наверно не в курсе, что существуют даже у самой винды стандартные программы по копированию файлов которые заняты чьим-то процессом и на "чтение не доступны" так как открыты другим процессом на запись. А так-же программы которые рубят процессы любые занявшие этот файл. Просто некому это не надо. Вся эта система рассчитана на откровенных лохов, кто не бэ не мэ в этом. Так что 1С вам не поможет точно. Просто у шифровальщиков еще руки не дошли до этого.

Самое надежное это разграничение доступа и что нибудь самописное свое по своему типу. Как в свое время уникальные(персональные) системы защиты машин от угона более эффективны чем стандартные как у всех)
А так это все из разряда если бы како-бы) "Соревнование снаряда и брони"
42. andybs 17.10.15 22:06 Сейчас в теме
(41) trade70, "Хочешь сказать даже *.exe?) Это действительно задний проход - система просто не запуститься чтоб расшифровать саму себя)". Т.е., афффтар шифровальщика настолько туп, что бы не шифровать самого себя?
Не очень мне понятно, каким образом программа, которая "даже у самой винды стандартные программы по копированию файлов которые заняты" может помочь шифровальщику зашифровать заблокированный файл.
"А так-же программы которые рубят процессы любые занявшие этот файл" - что бы "рубить" процесс, требуются права админа. Нет?
Ты (извини, ты мне то тыкаешь, то выкаешь) на сервер пользователей под админом запускаешь? Да?
Тогда понятно зачем тебе требуется резать гланды через задний проход.
"Самое надежное это разграничение доступа" - о чем я и писал все время. Но ты, очевидно, под разграничением доступа имеешь ввиду что-то совсем другое, а не то, что все остальные.
Извини, дружище, не вижу смысла продолжать этот разговор далее, ибо с твоей стороны он уже перешел на хамство. Адьюс
43. 18.10.15 03:40 Сейчас в теме
(42) andybs,
Т.е., афффтар шифровальщика настолько туп, что бы не шифровать самого себя?

Скорее не аффтар...а что по твоему система не запускается dll и ехе файлами, если ты собрался шифровать прям ВСЕ)

Не очень мне понятно, каким образом программа, которая "даже у самой винды стандартные программы по копированию файлов которые заняты" может помочь шифровальщику зашифровать заблокированный файл.
"А так-же программы которые рубят процессы любые занявшие этот файл" - что бы "рубить" процесс, требуются права админа. Нет?

Свои процессы ты можешь рубить сам..разве нет? Вы сами заговорили о стандартных способах. А этот-же шифровальщик умеет спокойно создавать и убивать процессы собственные, сам открывал и видел, просмотреть содержимое процессов не возможно по этой-же причине список процессов благодаря шифровальщику постоянно обновляется, поэтому выкусить из системы простым убийством процесса вам вряд-ли удастся) Но он это может. Еще есть вопросы?

Ты (извини, ты мне то тыкаешь, то выкаешь) на сервер пользователей под админом запускаешь? Да?
Тогда понятно зачем тебе требуется резать гланды через задний проход.

А вы знаете как шифровальщик работает не понаслышке? Как оказалось судя по всему да. Если не знаете, что многие попались с этим и на серверах) Наверно то-же под пользователями работали)) Как с этим быть.
Ты мне еще указывать будешь?! Сходи туда куда посылаешь, если аргументы кончились хамло малолетнее.
physik_gumanitar; +1 1 Ответить
31. V.Nikonov 120 14.10.15 15:58 Сейчас в теме
Думаю, что самым эффективным способом будет Автоматический бекап на локальный комп, с последующим откидыванием копий в другое место (в т.ч. по сети).
За счет батников легко организовать 2-3 ежедневные копии, 3 месячные, и т.д. Я не сильно парясь просто прореживал Архивы.
Параллельно, исключительно в пользовательском режиме, пользователь подключает некий внешний носитель (мобильный диск, ФТП, DVDR или то что душе угодно) и откидывает дополнительную копию Архивов. При ручном копировании можно и проверку архивов организовать... Вручную откидывать копии можно по любому расписанию (ежедневно, еженедельно и т.д.)
36. Volny 15.10.15 19:12 Сейчас в теме
Еще можно использовать теневые копии.
44. Nigmatul 22.10.15 18:58 Сейчас в теме
В том году фин. дир открыл письмо "Решение суда блаблабла" и тем самым начался процесс шифрования . Благо постоянно мониторю состояние сервера и процесы.... вообщем не допустил полного заражения сервера. Зашифровалась 1 база с архивами, неделю бился сам , но понял что моих знаний не хватит обратился в доктор веб в течении 3 дней был написан дешефратор, который все шустро расшифровал. А так мой совет стпвьте на почтовик антивирус и на сервера где раблтают юзвери, а так же храните архивы как-минимум на изолированном от юзверей хранилище.

Писал злоумышленикам, но они не ответили.
45. 23.10.15 02:58 Сейчас в теме
(44) Nigmatul,
Писал злоумышленикам, но они не ответили.

а им нечего тебе было просто ответить, он после окончания шифрования должен отправить ключ на сервер злоумышленика для расшифровки, а ты процесс прервал.
46. andybs 23.10.15 20:29 Сейчас в теме
(44) Nigmatul, "так мой совет стпвьте на почтовик антивирус"
Не поможет. Чаще всего там ссылка без тела. Да и тело, чаще всего, антивирусом не ловится.
Потому как это обычная программа, с точки зрения компа, мало чем отличающаяся, например, от 7zip
Не пускайте обычных пользователей к папкам с бэкапами (выше есть инструкции).
Не отключайте UAC, а еще лучше, вообще запретите пользователю запускать ЛЮБЫЕ программы, кроме разрешенных. Особенно на сервере под RDP... Ну, в общем, чем туже закручены гайки, тем меньше вероятность заражения.
А правильная настройка бэкапов - гарантирует минимальную потерю информации.
47. slawanix 9 24.10.15 01:50 Сейчас в теме
Поделюсь своим методом, раз о нем здесь ничего не написали. Не ради рекламы а пользы для. Для бэкапов всего и вся использую программу Acronis True Image. Перед созданием расписания архивирования средствами программы создается специальный раздел на жестком диске. В системе он не виден. Писать в него может только сама программа. Образ данных сжимается, можно его запоролить. Даже если вирус грохнет всю систему и перед этим зашифрует все файлы, раздел остается не тронутым и восстановить данные, будь то образ всей системы или просто папку с данными можно загрузившись с предварительно созданной в программе флешки. Главное правильно настроить расписание и режимы архивирования. Также можно найти бесплатные программы в сети, которые по такому же подобию создают шифрованную область на диске. Но тогда кидать бэкапы туда придется в ручную с помощью этой программы. Как-то так.
user855212; +1 Ответить
48. andybs 24.10.15 08:17 Сейчас в теме
(47) slawanix, "Поделюсь своим методом"
Отличный способ для бэкапа системного раздела (используем практически у всех клиентов), для бэкапа всего остального тоже хорошо, хотя есть свои особенности:
1. Большой размер бэкапа.
2. Иногда (нечасто) бывают проблемы с "восстановленными" базами sql или файлами зашифрованных дисков типа truecrypt
3. Бывают проблемы на рэйдах.
В принципе, как и любое, даже самое хорошее решение имеет свои ограничения
49. slawanix 9 24.10.15 21:40 Сейчас в теме
(48) andybs,
1. Большой размер бэкапа.

Если настроить инкреметное или, в случае с серверным вариантом, дифференциальное копирование, размер будет заметно меньше.IMHO
2. Иногда (нечасто) бывают проблемы с "восстановленными" базами sql или файлами зашифрованных дисков типа truecrypt

Не сталкивался, врать не буду.
3. Бывают проблемы на рэйдах.

Также врать не буду, на рэйдах эту программу не пробовал.
50. 25.10.15 01:43 Сейчас в теме
(49) slawanix,
Также врать не буду, на рэйдах эту программу не пробовал.


Рейды серьезные используются только на серверах, а для этого существует серверный вариант Acronis и он работать с рейдами умеет. А делать бэкап ты все равно будешь на другой диск и там рейда не будет. Ибо делать бэкап на тот-же диск где рейд тобишь данные по определению маразм как и вариант отдельные диски с рейдом для бэкапа) А маленькие компании рэйдами вовсе не пользуются.

Так что большая часть проблем использования Acronis просто надуманные.
51. slawanix 9 25.10.15 02:11 Сейчас в теме
(50) trade70, согласен. Добавить нечего.
52. andybs 25.10.15 22:15 Сейчас в теме
(49) slawanix, Ну вообще тема про базы 1с и "Если настроить инкреметное" не катит, ибо файл (хоть в файловой версии, хоть в сиквел" будет меняться и полностью бэкапиться, т.е. размер будет большой.
Вообще, проблема в защите от шифраторов не в самом бэкапере, как говорилось выше, а в запрете доступа обычных пользователей к папке с бэкапами.
Варианты выше.
54. starik-2005 3033 13.11.15 23:21 Сейчас в теме
Уже 10 лет ну Убунту - что-то не видел никаких шифраторов. ))
55. Cooler 22 14.11.15 01:07 Сейчас в теме
(54) starik-2005, теперь я понял - ваша самоуверенность в этой области основана, к сожалению, на некомпетентности. Как будто нарочно: http://www.3dnews.ru/923200 - весьма вероятно, что для Линукса все еще спереди.
56. starik-2005 3033 14.11.15 11:37 Сейчас в теме
(55) Cooler, вот сразу видно, что в линухе Вы слабенько разбираетесь. И если 99% юзверей винды на домашних (да и что греха таить - на корпоративных) компах сидят под правами локального админа, то в том же Убунту не каждый пользователь что-то запустит под админом, даже зная пароль.

[quote]После запуска с правами администратора троян загружает файлы с требованиями злоумышленников...[/quote]

Вот, допустим, открыл почту, а там sh-файлик болтается с именем "открой меня - я добрый нужный файлик". Ага, разбежался и открыл ))) Это, мля, на кого статья рассчитана? На полных идиотов? Да ни один уважающий себя линуховод на такое не поведется, с учетом того, что используют оную ОСь в основном специалисты.

Кстати, в нашей конторе уже два главных бухгалтера огребли шифровальщик. При чем одна даже на флешку все сохранила, как было написано - а все одно забыла вытащить ее из компа. И это с учетом предупреждений! Ну и, сами понимаете, все файлы на флешке зашифрованы. А вот у знакомых людей в конторе, где корпоративная политика запрещает юзать винду, все хорошо - никто не пострадал. А почему? А потому, что если при открытии файла вас просят ввести пароль, а вы его не знаете - ничего плохого не случится. Да, позвонит кто админу и спросит, что за нах - все, инцидент исчерпан.

Комент порадовал:
[quote]Artemy Voikhansky 6 дней назад 18:31
Представляю себе самое популярное письмо в "техподдержку" этого зловреда:
"Я скачал ваш вирус, но он не компилируется. Что я делаю не так?"[/quote]

Ну и далее:
[quote]Станислав Лапин6 дней назад 16:02
"После запуска с правами администратора троян загружает файлы"
Дальше не читал, но настроение подняли.))
Может его еще скомпилировать нужно и зависимости решить, если например Linux на ARM ?)[/quote]

И еще:
[quote]Дмитрий Позняков Станислав Лапин6 дней назад 18:35
"для получения доступа к огромной бесплатной коллекции музыки и фильмов без смс и регистрации, пожалуйста, запустите этот файл с правами администратора" (с) :)[/quote]
57. andybs 14.11.15 19:04 Сейчас в теме
(56) starik-2005, "Кстати, в нашей конторе уже два главных бухгалтера огребли шифровальщик"
У плохого админа всегда юзверь виноват. Сильно умиляет, что админ заставляет сохранять что-то ГБ на флэху. Смешно чесслово.
Админа в дворники
58. starik-2005 3033 14.11.15 20:32 Сейчас в теме
(57) andybs, ну не админы это предлагают, а специалисты группы техподдержки. Антивирус, кстати от мелкомягких, этот вирус не распознает. Видимо санкции ))) Все важные файлы на общих шарах защищены, а вот личные файлы юзверей - это зона ответственности самих юзверей. И если мне приходит вирь, то я пишу письмо админам, которые пытаются реагировать. Но если приходит письмо с расширением, например, gz, которое винрар открывает, а внутри файлик с некоторым образом безобидным названием и картинкой аля-ворд/эксель, а расширение, например, лнк или еще какое весьма безобидное. Юзаерь запускает файлик, он запускается как программка и начинает шифровать. Да, можно всем запретить запускать файлы, кроме списка - это даже в винде делается несложно, но на это нужно время. И если всем сразу гайки затянуть, то система может вообще перестать работать. А для бизнеса простой хоть из-за вируса, хоть из-за невозможности юзать корпоративную систему одинаково невозможен.
59. andybs 14.11.15 23:35 Сейчас в теме
(58) starik-2005,
1. Хоть компьютер и персональный, данные на нем корпоративные. Т.е. ЛИЧНЫХ файлов там не должно быть априори. А корпоративные папки на серверах обязаны быть защищены
2. Список разрешенных программ должен быть на каждое рабочее место и настроен на машине юзверя без возможности запуска любой программы не из списка.
3. Как раз соблюдение этих несложных правил позволяет закрыть "дыры" и снизить вероятность простоя юзверя до минимальных значений.

И да, у меня компания ИТ-аутсорсинга. И да, ловим попытки срабатывания "шифратора" чуть ли не каждый день. Особенно много было примерно месяц-два назад. И да, обучение пользователей на "подозрительные" вложения не работают. Им пофиг - пытаются запустить шифровальщики регулярно. Дома пусть запускают сколько угодно. В "конторе" - компьютер - собственность компании, предназначен для выполнения служебных заданий.
60. starik-2005 3033 15.11.15 10:23 Сейчас в теме
(59) andybs, ага, одно из служебных заданий - разгребать почту. Если там написано "запрошенная вами документация", то юзер по должностной инструкции обязан обработать такое письмо.

А вообще меня, например, последний раз винда выморозила тем, что на компе, на котором у нас мониторинг, невозможно отключить скринсейвер и выключение экрана под пользователем с ограниченными правами. Ну. мля, какой долбо.... из мелкософта додумался до этого? Так вот сколько мы ни просили админов снести к чертовой бабушке эти скринсейверы и отключения монитора - воз и ныне там. Вроде и недолго это делать, да как-то не делает никто. В линухе же таких проблем нет.
61. Модельер 08.12.15 22:43 Сейчас в теме
попробуйте найти дешифратор здесь http://nabzsoftware.com/types-of-threats/vvv-file - здесь речь об одной из разновидностей вируса шифровальщика TeslaCrypt, с бесплатным сканированием которое вроде универсальное для шифровальщиков, но на самом ресурсе по-моему есть варианты и другие варианты для других троянов, типа cryptowall, cryptolockerи т.д.
63. Оберон 16 26.03.23 18:52 Сейчас в теме
Коллеги, вот еще ресурс с дешифровщиками
kaspersky.com

и еще совместный ресус касперского
nomoreransom.org
Оставьте свое сообщение