Всем добрый день.
Плохие люди взломали компьютер (сервер 1С) и испортили все важные файлы путем "шифрования"
В сети много сейчас на эту тему разговоров, но ответа как такового не найдено.
Бекам тоже был поврежден полностью
Файлы бекапа более старые, те что автоматически удаляются, тоже не получилось восстановить не одной из доступных утилит по восстановлению удаленных файлов.
В общем ситуация просто ужасная и на сегодня утрачено 3-и БД
Платить выкуп за восстановление считаем не правильным, по нескольким причинам, но сейчас разговор не об этом.
В сети есть люди (дай Бог им конечно здоровья), которые предлагают восстановить БД (.mdf) за в общем то тоже не скромные деньги (получается за 3-и БД больше чем выкуп у вымогателей примерно в ДВА раза )
Я все понимаю, что работа и надо ценить свой труд, но .....
В общем мой вопрос такой, возможно ли как то восстановить и что-то сделать в моем случае?
Зависит от свойств вируса: если он использует при шифровании стандартный (одинаковый для всех пострадавших) ключ, то теоретически можно расшифровать ваши файлы.
А вот если для каждого "клиента" генерируется уникальный ключ шифрования, который известен только хозяину вируса - тогда и расшифровать может только он, никакие "добрые люди" не смогут вам помочь.
что-то сделать в моем случае?
Гарантированно - только восстанавливать учет по бумажным документам. Все остальное - игра в рулетку: сделать ставку (заплатить) придется, а вот получится ли выиграть - ХЗ.
Спасибо за ответ!
Ну вот случилось так как случилось.
Понятно, что одно только то что я пишу на данном форуме о своей проблеме, то уже что-то сделано не правильно. И конечно мы сделаем теперь выводы. Но и тему я запустил не с вопросом "как мне правильно организовать резервное копирование"
Понятно, что для других тоже это будет полезным почитать.
Но сейчас речь о другом уже ((
Написал про "добрых людей" потому что они мне заявили, что гарантировано восстановят мою БД но за ** ***рупий
БД - 3и, и получается уже *** ***рупий
Вот я и не могу понять, они то что будут с вымогателем общаться и просто посредниками (такое тоже описывается)
Потому что вроде про кидалово тут речь НЕ идет так как деньги по факту работы и готовы удаленно продемонстрировать что БД исправна
Или есть какой то волшебный способ все починить? Но про него знают только избранные.
Я понимаю, что в этом мире все выживают как могут, но я за месяц не зарабатываю сколько они просят за пару дней и пару баз (говорить, про то что кто на что учился, мне не надо)
Мне 49 лет и в "Деда Мороза" я не верю, как и в честного "Милиционера"
То что я пишу такие слова не говорит о моей наивности или не адекватности... (Вы перепутали)
К данным "специалистам" я обратился в первый же день (так-как у нас установлен их антивирус)
На что получил ответ:
Здравствуйте. Файлы зашифрованы Trojan.Encoder.35400 Расшифровка нашими силами невозможна. Единственный способ восстановления данных - из резервных копий, если они имеются.
Далее по тексту я написал, что люди восстанавливают но за килобаксы, и причем тут моя вера в Деда Мороза?
Возможно есть способ или порядочные люди, которые не будут просто наживаться на проблему других.
Да я вот тоже понимаю, что платить это еще та лотерея, и как тут упрекнули меня в излишней наивности, то ее как раз нет и веры в чудо тоже нет.
Хотелось понять, есть смысл биться за данные или расслабится и получать "удовольствие" ((
(13)практически на каждом форуме есть такой вот как Вы диванный теоретик.
Начитается и вроде говорит умные вещи, а послушаешь так и человек так себе и пользы от его знаний не много.
Ну специалисты они для меня или нет - я сам решу !
Хорошо?
Где мне искать специалистов и получать опыт и знания я тоже решу для себя сам, тут или на других ресурсах.
Какие сопли? Какие вопли?
Я задал вопрос и сопли с желанием поумничать только от Вас и слышно.
Не одного в общем полезного совета
"Биться о стену"
"Верить в Деда Мороза"
"Взломать RSA-2048"
И прочая ерунда...
Видно форумам выгодно, держать таких клоунов, чтобы разбавлять серьёзный вопрос шутовством.
Если Вас так напрягает общаться и отвечать - не проще пройти мимо?
Ну нечего сказать кроме как поумничать и по паясничать, ну идите с Богом.
Про удары о кирпичную стену - явных признаков полезности у Вас на лице не наблюдается, наверно тоже не стану )))))
Разберусь без Вас.
(14)БД хранятся на локальной машине за последние 5 дней.
Думал, что если попробовать восстановить данные созданные 6-ть дней назад, то было бы круто.
Прогнал программами типа Magic Partition Recovery или Hetman Partition Recovery думал что может след от старой БД останется (хранились на другом диске в .zip), но удача не посетила. ((
(19) БД то есть, но она зашифрована
Также есть бекапы за последние 5-ть дней (они тоже зашифрованы)
Вот и думал, что если попробовать восстановить тот самый старый 6-ой бекап, который затирается, то он то был бы не зашифрован (ну по моей логике)
А все оказалось страшнее, потому что программа восстановления удалённых файлов, вообще не показала не одной копии старой (на затертых участках диска)
Ну и программы типа DataNumen SQL Recovery тоже сказали, что не могу ничего восстановить (видимо все хуже в этот раз для многих)
Чувствую, что нужно готовить всех, что будем начинать с "чистого листа" =)
(22) данный компьютер уже давно не в сети даже, не то что не в интернете.
Смысла в нем уже нет.
Не работает не 1С ничего другое, что было на нем развернуто.
Я понимаю что в противном случае, то что Вы сказали про кран с водой.
Но шифровальщика у меня нет.
Есть куча зашифрованных файлов и попытки что-то вытащить (данные хоть за месяц, хоть за два...)
Но весь компьютер и все диски и все файлы зашифрованы ((
Спасибо всем!
Я понял, что как то все немного странно.
Одни ломают все и шифруют, вторые говорят, что смогут за килобаксы все восстановить, а в итоге решения то и нет оказывается в такой вот ситуации.
И решить этот вопрос смог бы наверно только тот кто это все напакостил, и то если вдруг захотел бы (а не факт)
(23) Да вот так вот вышло.
Понимаю, что не очень хорошо вышло. (((
ломанули так ломанули.
И весь мой вопрос возник исключительно только от того, что есть люди которые берутся гарантированно (это же не могут быть те самые вредители, что зашифровали) восстановить БД
Поэтому и спросил.
Но как показали тесты, программ типа STELLAR REPAIR FOR MS SQL и DataNumen SQL Recovery - все не так просто.
(25) Почему не так все просто? Если сможете во становить в копию, то немного придется повозится, например индексы нужно будет брать с аналогичной копии. Главное это данные, остальное можно собрать.
(27) да в том и дело, что не могу восстановить.
Не один из обсуждаемых способов пока не сработал.
Пытаюсь еще пробовать.
Хоть и сравнили это все с ударами головой об стену, но что-то делать и возможно когда не получится, сказать что "я пробовал", это лучше чем ничего не делать и рассуждать о том, что все наивные дураки, только я один Д`Артаньян =)
(26)скорее всего так и было.
Пока не поняли, что происходит была одна не понятная никому произвольная перезагрузка.
Но все подумали, что может Windows обновился и решил сам себя без спроса перегрузить.
Самое простое все же дешифровать, у drweb огромный опыт в этом направлении... ссылку уже давали.
Остальные варианты похоже вам не помогут (теневые копии скорее всего отключены, служба SQL была прибита если уж до баз смогли добраться).
Ищите вектор атаки, возможно был кто-то из своих, а там уже можно нежно взять за яйца.
Никто (кроме самих шифраторов) вам гарантированно базу не востановит, а эти *3 вообще похоже на очередных мошенниках. Берите что есть откуда нибудь, какие нибудь внутренние архивы, у програмистов и пошло поехало.
если сумма восстановления злодеев вменяемая и они реально выходят на связь попробуйте убедится и пусть пришлют расшифрованное чтонибудь что бы убедится что деньги не улетят в трубу
(31) Большое спасибо за совет и то, что уделили моему вопросу время.
Сумма как сказать вменяемая или нет (1500 американских енотов, ну конечно в "биткоинах") (((
Гарантий нет никаких и это понятно.
В сети конечно лагерь поделился на две категории людей, где одни говорят, что не в коем случае не платите потому что все одно кинут и что мотивируете их делать так дальше (что безусловная истина), а вторая половина говорит, что если подтвердят возможность расшифровать то конечно соглашайтесь скорее, пока не передумали или не подняли цену.
Руководитель компании сомневается и колеблется, просит попытаться собрать как можно больше информации и возможных и даже не возможных вариантов. С этим и пришел конечно сюда к вам.
Спасибо, что отвечаете, и даете советы!!!
(32) В 2015-2016 было 2 случая в конторе, которая 30+ организаций по бухгалтерии вела. Один раз получилось утилитой от дрвеба спасти. Второй раз платили. Ключ прислали. Восстановили. А еще как-то обращался частник с шифровальщиком через пару недель после шифровки, а злодей сказал, что ключи хранятся только 5 дней. Не восстановили, хотя человег готов был заплатить. Если в описании что-то подобное есть, то лучше не тянуть.
Если бекапов совсем нет и злодеи выходят на связь, то в принципе можно заплатить за этот горький опыт. ИМХО конечно...
(1)кидай свой мдф зашифрованный на файлопомойку и ссылку сюда, погоняю на тех восстановилках что есть под рукой. Шифровщики, обычно меняют заголовок и хвост файла, ну могут еще кусок в середине затереть. Так-то он "целый".
Если есть базы 1С, обычно их обслуживают программисты. Как правило программисты ведут разработку на копиях баз 1С или даже на других серверах 1С.. Спросите программистов, может у кого-нибудь завалялась копия хоть какой-нибудь базы с данными месячной давности или двухмесячной. Если такие копии остались восстановите хотя бы эти копии, а дальше просто ручками бухгалтера забьют недостающие документы.
(37)Дело в том, что был сперва один человек в этой организации, потом второй, потом кого-то с Авито просили что-то делать.
И выходов на них всех конечно же нет.
В общем нет такой возможности ((
Печаль..