Вирус-шифровальщик - устранить последствия и обезопаситься на будущее

1. Looking Кречетов (Looking) 81 15.02.15 19:46 Сейчас в теме
Сегодня в 5 утра произошла такая беда.
Теперь имена файлов БД имеют следующий вид 1SACCSEL.DBF.id-{VEOQGICFZBOUIOMSGFLJXDCIVBAGTZYESYWC-15.02.2015 5@07@416114300}-email-base1c1c1c@gma...er-4.0.0.0.cbf

Можно-ли с этим что-то поделать сейчас? И как обезопаситься в будущем?
Ответы
5. Александр (AlexInqMetal) 45 15.02.15 22:38 Сейчас в теме
(1) Looking, только недавно такой приносили ноут. Это вирус Cryakl, dr web и каспер умеет расшифровывать его первые модификации, но в вашем случае 4 версия, уже больше полугода не могут дешифровать, говорят что скорее всего и не расшифруют. В данном случае можно только предотвращать а не устранять последствия.

И как обезопаситься в будущем?
Учитывая человеческий фактор, антивирусы не всегда спасают, только копии в недоступные для юзера каталоги, внешнее хранилище (с авторизацией), другие устройства в сети.
6. Looking Кречетов (Looking) 81 15.02.15 22:52 Сейчас в теме
(5) AlexInqMetal,
внешнее хранилище (с авторизацией)


в смысле облако? или речь о внешнем накопителе? как на нем авторизация обеспечивается? каким-то ПО?
7. Александр (AlexInqMetal) 45 15.02.15 23:29 Сейчас в теме
(6) Looking, неправильно написал [QUOT5 E]внешнее хранилище , другие устройства в сети (с авторизацией)[/IS-QUOTE] вот так, внешнее устройство имел ввиду нечто извлекаемое из ПК -флешка, ж. диск, CD.

Облако - вариант, но я пока не придумал как можно копировать в бесплатные облака без онлайн синхронизации. Если только профессиональные облака типа акрониса куда можно класть копии по расписанию.
8. Looking Кречетов (Looking) 81 15.02.15 23:32 Сейчас в теме
(7) AlexInqMetal,
внешнее устройство имел ввиду нечто извлекаемое из ПК -флешка, ж. диск, CD


в смысле извлекать его каждый день? или есть такие флешки, для записи на которые каждый раз нужно пароль вводить?
9. Cooler Silent (Cooler) 20 15.02.15 23:35 Сейчас в теме
(7) AlexInqMetal,
Облако - вариант, но я пока не придумал как можно копировать в бесплатные облака без онлайн синхронизации.
Я как-то поэкспериментировал с таким вариантом: папка (локальная или сетевая), на которую у рабочей учетки есть права на запись, но нет прав на просмотр и чтение содержимого. Соответственно, чистка этой папки и, случись, восстановление бэкапа - под другой учетной записью, с полными правами.

Остается подобрать программу для архивации, которая умеет создавать бекап где скажут, а потом готовый файл копировать в эту защищенную папку вслепую.
10. Максим Биенко (Bienko) 160 16.02.15 09:07 Сейчас в теме
(9) Cooler, я пользуюсь кобиан бекам http://sonikelf.ru/cobian-backup-kak-instrument-dlya-sozdaniya-rezervnyx-kopij/ и яндекс диском. Сначала по сети копирую в папку с полным доступом, которая является папкой яндекс диска. Потом на другом компьютере (не в этой сети) происходит синхронизация с яндекс диском и файлы оказываются в папке этого компьютера. Далее я переношу файлы с тем же кобианом на этом компьютере в другую папку. Папка яндекс диска при этом очищается. Вирус, даже если и повредит файлы на исходном компьютере, то никак не сможет дотянуться до другой папки конечного компьютера. А копирование настроено на ежедневное, еженедельное и месячное. Так что у меня лежит достаточно копий на все случае жизни, в том числе и на "глупые" действия пользователей. Уже несколько раз приходилось восстанавливать часть данных из копии через стандартную обработку обмен хмл. Если же нет возможности выделить отдельный комп в другой сети на это дело, то можно тогда копировать все это на комп уже в этой сети (без яндекс диска), но комп этот сделать на линуксе. Далее уже средствами линукса переносить в другую папку (что не составит никаких сложностей), а исходную очищать. Эти вирусы идут под конкретные операционные системы и заразить сразу и линукс и виндовс для них будет невозможно. Да и вообще, число вирусов под линукс намного меньше и если исключить работу этого компьютера в интернете, то и вероятность его заражения будет близка к нулю. Ну и, разумеется, периодически нужно инфу скидывать на двд диски, - мало ли что (вот дадут вам не 220 вольт в розетках, а значительно больше и выгорят все включенные компьютеры). Слышал случаи и затоплений серверной (трубу прорвало, крышу сорвало). Береженого, как говориться, бог бережет.
11. Cooler Silent (Cooler) 20 16.02.15 10:00 Сейчас в теме
(10) Bienko,
Слышал случаи и затоплений серверной (трубу прорвало, крышу сорвало)
Я такие случаи видел, и не раз. И это были не только серверные, а первые этажи всех зданий, построенных недалеко от речки. Кому особенно "повезло" - под крышу.

С тех пор сделал дополнительный вывод: SSD рулит! Все HDD из затопленных компов сдохли максимум в течение недели, а SSD разобрал, промыл под краном, просушил бытовым феном - пашет уже 2 года!
24. c3421920 (atomsk84) 18.04.15 08:10 Сейчас в теме
(9) Cooler, Хороший способ кстати. Где-то с полгода мониторил темы про шифровальщиков и пришёл к следующему выводу:

1. Через административный ресурс(указ директора) - хранить все свои документы в сети. Каждому юзеру ярлык на рабочий стол вида \\server\profiles\%username%. Не примонтированный сетевой диск. В случае шифрования рабочей станции все данные пользователя \\server\profiles\%username% останутся нетронутыми.

2. В реестре, в параметрах расширений *.vbs,*.hta,*.js проставить ассоциацию на открытие обычным виндовым блокнотом(notepad.exe). Спорный вариант, но вот уже таким образом 3 организации избежали шифрования данных. Их заранее предупредил, что если при открытии письма открывается блокнот с непонятными символами - звонить мне, зайду удалённо, посмотрю, что дальше с этим делать.

3. Если станции Win7(Home,Pro) - однозначно, политика запуска программ(Applocker). Первые два пункта будут наиболее подходящими для станций с ОС WinXP на борту.

4. Конечно же, бэкап(robocopy)! Ежедневный, еженедельный, ежемесячный. И в три места:
а) на самом файл-сервере хранятся БД 1с(файловая), профили пользователей.
б) на второй резервный сервер копируется ежедневно информация с первого. Можно сказать, второй сервер - копия первого.
в) раз в неделю/месяц скриптом подключается буква диска прицепленного USB-винта и туда сливаются измененные данные.
Бэкап идёт типа зеркало(robocopy /MIR). Расшаренные сетевые ресурсы для бэкапа имеют ограничение на просмотр самой папки, но во внутренние зайти можно.
Т.е. \\server\backup$ - нельзя просмотреть, а \\server\backup$\%computername% - можно.

По крайней мере по поводу шифровальщиков обращений практически не было. А в поддержке с такими настройками 8 организаций(от 3 до 38 сотрудников)
v3rter; maza111; +2 Ответить
52. Роберт В е р т и н с к и й (v3rter) 30.11.16 13:34 Сейчас в теме
В некоторых случаях с системного диска можно спасти инфу через Shadow Explorer.

(24) Если заблокировать *.hta , перестанут автоматически обновляться базы 1С, хотя ручное обновление - небольшая цена за защиту.
12. Елена Пименова (Bukaska) 125 16.02.15 10:11 Сейчас в теме
(1) Looking,
1. Как шифровальщик к вам попал? Что-нить открывали? Какое-нить письмецо? Похоже по расширению на фантомаса.
Можно пробовать обратиться на Вирусинфо.инфо - они сейчас за небольшую плату(вроде 500р) тренируются делать дешифраторы и вроде как уже не раз спасали. Хотя конечно не всегда получается. Если тип шифрования RSA 1024 - то с таким числом разрядов практически нереально расшифровать.
Статейка для познания

Помощь в расшифровке
35. nick perel (nickperel) 2 28.04.15 00:45 Сейчас в теме
(12) Bukaska,
1. Как шифровальщик к вам попал? Что-нить открывали? Какое-нить письмецо? Похоже по расширению на фантомаса.
Можно пробовать обратиться на Вирусинфо.инфо - они сейчас за небольшую плату(вроде 500р) тренируются делать дешифраторы и вроде как уже не раз спасали. Хотя конечно не всегда получается. Если тип шифрования RSA 1024 - то с таким числом разрядов практически нереально расшифровать.


Человек разбирающий RSA ключи может сразу переходить на уровень максимальной зарплаты в государственную внешнюю разведку.
Он заменит собой такое образование анб сша как "форт мид".
Заодно автоматически решит штук стопятьсот проблем прикладной математики.
70. c+ + (ture) 231 16.01.17 15:16 Сейчас в теме
(1) вы открывали файлы на просмотр?
2. Looking Кречетов (Looking) 81 15.02.15 20:19 Сейчас в теме
а вот это не поможет?

http://forum.drweb.com/index.php?showtopic=317016

"Шифрует он не весь файл - а первые 255 байт. Поэтому декриптор можно написать - в dbf там как раз заголовки со структурой."


каким ПО можно отредактировать зашифрованную часть файла dbf?
32. nick perel (nickperel) 2 27.04.15 23:59 Сейчас в теме
(2) Looking,

Любой шестнадцатеричный редактор пойдет.
3. Looking Кречетов (Looking) 81 15.02.15 21:33 Сейчас в теме
а если в "отдел К" обратиться? ведь он-же с какого-то мыла пишет? его вычислить нельзя?
4. Колабашкин Иван (kolabashkin) 15.02.15 21:37 Сейчас в теме
Была аналогичная ситуация. Спасло наличие архивов на другом компьютере.
13. Александр Иванин (gringoman) 8 16.02.15 11:30 Сейчас в теме
Сталкивался у клиента. Выводы следующие:
1) Проникает скорее всего через стандартные порты терминальных сессий, хотя вариации вируса различны
2) Расшифровка своими силами практически нереальна
3) Связываться по адресу на который предлагает заплатить за дешифровку практически бесполезно. После долгих торгов могут и кинуть.
4) Спасают только архивы на какое-нибудь отдельное хранилище, точно не на сервере.
5) Нет архивов, с большой долей вероятности Вы потеряли данные.
14. Алексей Белоусов (AllexSoft) 16.02.15 11:36 Сейчас в теме
уже озвучивал идею, и еще раз озвучу.. можно написать программу которая будет ограничивать доступ к определенным файлам только определенным приложениям, ну например .1cd и .dt разрешить доступ только 1С.. для всех остальных приложений файлы с этими расширениями просто будут недоступны.. написать такую программу при соответствущем навыке написания rootkit или перехватов системных вызовов на уровне NativeAPI дело пару дней + день на отладку и доводку.. может есть что то готовое, кто знает ?
15. Максим Биенко (Bienko) 160 16.02.15 11:41 Сейчас в теме
(14) AllexSoft, такая программа будет работать поверх операционки и если операционка заражена, то она тебе ничем не поможет, т.к. запись и чтения осуществляются средствами ос.
16. Алексей Белоусов (AllexSoft) 16.02.15 11:46 Сейчас в теме
(15) Bienko, поверьте, я знаю что говорю.. чтобы обойти перехват функции в NativeAPI вирусу шифровальщику прийдется иметь свой драйвер работы с жестким диском ;) что разумеется никто из вирусописальщиков делать не будет.. это слишком дорого, для того чтобы шифровать файлы у юзеров ;) да и написать такой драйвер смогут единицы.
ПС: у антивирусов кстати как раз свои драйвера работы с файловой системой
такая программа будет работать поверх операционки и если операционка заражена

по моему вы не понимаете как работает операционная система ) я знаю же изнутри ;)
20. Максим Биенко (Bienko) 160 18.02.15 08:26 Сейчас в теме
(16) AllexSoft, не надо "свой драйвер" писать, - уже есть драйверы, которые можно взять из GPL. Так что не надо даже сильно заморачиваться! А на счет никто из вирусописальщиков делать это не будет, так вот большая часть загрузочных вирусов (boot) работают с диском напрямую.
21. Алексей Белоусов (AllexSoft) 18.02.15 09:53 Сейчас в теме
(20) Bienko, это разумеется все так, но у шифровальщиков совсем другая система, им не надо писаться в boot-область диска, им достаточно одного раза выполниться и удалиться) для этого и Autorun пойдет =) пока не видел я вирусов-шифровальщиков которые с собой бы таскали драйвер жесткого диска =)
+ чтобы этим драйвером из GPL воспользоваться нужно его как минимум изучить и смочь использовать, что тоже знаете-ли еще та задачка, гораздо проще использовать WinAPI что и делают разрабы этих шифровальщиков )

ПС: кстати, можно пойти от обратного, функции шифрования (не xor-ом ведь они файлы шифруют))) ведь наверняка используются тоже Win API-шные, наврядли кто из разрабов вирусов будет такскать с собой вагон dll-ок своих модулей шифрования ) можно попробовать ограничить использование этих модулей определенными программами (их благо не так много) +сделать что то типа обучалки, если неизвестное приложение хочет использовать модуль шифрования чтобы спрашивало типа дать доступ или нет
33. nick perel (nickperel) 2 28.04.15 00:10 Сейчас в теме
(21) AllexSoft,
сделать что то типа обучалки, если неизвестное приложение хочет использовать модуль шифрования чтобы спрашивало типа дать доступ или нет


Самое оно. Уже год ходят разные шифровальщики. Почему в антивирусе не вставить какую-то опцию, типа "спрашивать разрешение при запуске шифровки файлов изо всех приложений кроме системного драйвера NTFS"?

К тому же программы подписей и банк-клиентов имеют сертификаты.
миша сербинов на своего коня его никогда не получит.
Как бэ. Проблемы то и нет никакой с тем, что делать.
Но почему то с этим пока никак.
80. Илья Сергеевич (onlyOneAss) 25.01.17 15:24 Сейчас в теме
(33)

К тому же программы подписей и банк-клиентов имеют сертификаты.
миша сербинов на своего коня его никогда не получит.


Уже достаточно было случаев, когда у крупных контор,
входящих в списки доверенных,
воровали ключи (сертификаты) для подписи файлов программ.
31. nick perel (nickperel) 2 27.04.15 23:56 Сейчас в теме
(16) AllexSoft,

Да вы парни совсем не в теме что ли..

Шифрование файлов - нормальная функция прикладной программы пользователя.
Все что нужно - не запускать скрипты и другое неподписанное сертификатом активное содержимое из почты и браузера.
Политику поставить групповую на запрет в зоне инет.
Открывать неподписанное из зоны доверенных.
Все.

На компе, с которым я разбирался, стоял nod32.
Стояла и безопасность на уровне "спросить у пользователя".
Пользователь напугался мессаги от судебных приставов и все равно запустил этот тухлый троян.
В течении получаса он прошифровал все базы 1С и все их бакапы. В т.ч. и на переносном диске.
nod32 его потом пролечил, но все это допустил делать.

Сам троян внутри - фигня. Какие там драйверы?
Трудно было антивиру вызов к rsa - шифрованию файлов на hdd в ос отловить от простенького скрипта, запущенного из браузера? Вне всяких групповых политик и настроек - безусловно.
И просто засаспендить его как подозрительный и запросить вручную с ним разобраться.
Пусть даже это и оверхэд.

А ведь все антивирщики давно в курсе проблемы с этими мишами сербиновыми.
Строчат разъяснения про несимметричное шифрование.
Конкретно на этом компе 1cv8.1cd - был главный файл.
А шифрануло его под срок сдачи отчетности бухгалтером. О чем упомянутый миша, конечно, в курсе.
Все остальное, что было на компе - ерунда восстанавливаемая и без бакапов.
34. nick perel (nickperel) 2 28.04.15 00:38 Сейчас в теме
(16) Allex15) Bienko, поверьте, я знаю что говорю.. чтобы обойти перехват функции в NativeAPI вирусу шифровальщику прийдется иметь свой драйвер работы с жестким диском ;) что разумеется никто из вирусописальщиков делать не будет.. это слишком дорого, для того чтобы шифровать файлы у юзеров ;) да и написать такой драйвер смогут единицы.
ПС: у антивирусов кстати как раз свои драйвера работы с файловой системой



такая программа будет работать поверх операционки и если операционка заражена


по моему вы не понимаете как работает операционная система ) я знаю же изнутри ;) Soft,


А помоему нет.
У антивируса не драйвер - а фильтр-подписчик. Он выше уровнем.
Современный трэш-софт не работает на уровне ос.
Граждане вирусописатели чуть менее, чем все не в состоянии продираться через BSOD'ы windows.

Этот червяк выдирает и шифрует своим ключом несколько кусков из файла и заменяет ими правильные.
Весь файл не шифрует - торопиться. В конце оставляет таблицу, где что искать.
Свой ключ сразу угоняет к себе на сервер.
С чем иногда не справляется из за кривых рук, как докладывают следящие за его творчеством люди.

Шифрование же в ос работает с системным ключом или ключами. Он к нему не обращается за результатом, а
пользуется только общими функциями. И не ставит свой ключ в системный контейнер и не пишет в файл (иногда). Все "на лету".
Работает в целом, как любая другая программа с функционалом шифрования. Только те предоставляют ключ пользователю и делают их бакапы, имееют прозрачную процедуру смены и т.д. и т.п.
17. Александр (AlexInqMetal) 45 16.02.15 11:51 Сейчас в теме
(14) AllexSoft, идея хорошая, интересно почему ее еще не реализовали в антивирусах? видимо причины есть
18. Алексей Белоусов (AllexSoft) 16.02.15 12:18 Сейчас в теме
(17) AlexInqMetal, а антивирусам то это зачем?) они ищат вирусы по сигнатурам, поведенческому анализу и тд.. могут заблокировать доступ в интернет если есть файрволл.. но они не занимаются ограничением доступа к файлам ) откуда антивирус знает что 1cd это файлы от 1С ))

ПС: предлагаю вариант для Win 7, 8 и тд.. создаем нового юзера, с паролем, создайте гостевую запись еще одну, назовем ее 1c. Далее в интересующем нашем файле 1cd заходим в свойствах и в безопасности изменяем владельца файла ставим юзера 1С, которого мы создали.. для всех остальных юзеров доступ ставим только для чтения.. теперь остается только запускать 1С Предприятие от имени пользователя 1С ) и всего делов в принципе. Вирусы-шифровальщики в большинстве своем не смогут обойти ограничение доступа, хотя конечно не все)
Dnki; Bukaska; +2 Ответить
19. Зинаида Рубероид (maza111) 17.02.15 17:39 Сейчас в теме
хоть тема и мало отностится к администрированию баз данных, но я тоже сталкивался с вирусом шифровщиком, потеряли все документы на одном пользовательском ПК и частично испортил часть документов на сетевом диске.
С компа данные были потерянны, с сетевой папки восстановленны из бекапа, "зараза" пришла по почте в виде ZIP архива.
После этого тоже серьезно задумался над хранением бекапов, ведь если "зараза" попадет на сервер с правами админа, то и все бекапы будут потерянны.
В данный момент думаю над офф-лайн бекапами. Винт есть Transcend StoreJet 25M3 на нем вроде есть кнопка с технологией One Touch Backup, которое запускает бекап. Вот думаю как то так придумать, чтобы воткнул винт нажал кнопку и все бекапы (уже готовые) скопировались на винт. После чего его в шкаф на полку.
Но метод ручной, зато надежный, можно раз в неделю делать бекап так.
В инет закачивать, на ядиск или еще куда, как то стремно, да и медленно будет с нашим инетом, а данных каждый день 7,9+5,2+1,3 = почти 15 гиг

Прделагаю перенести тему в раздел Windows систем.
22. Cthutq Иванов (ewqewqewq) 15.04.15 15:58 Сейчас в теме
Думаю ограниче список запуска программ поможет.
Узучать ограниченый список GPO


астройка групповых политик ограниченного использования программ в Windows 7
Системное администрирование*

Прочитав статью Windows-компьютер без антивирусов, я загорелся такой идеей обеспечения безопасности и решил попробовать сделать у себя так же.

Поскольку у меня стоит Windows 7 Professional, первой идеей оказалось использование AppLocker'a, однако быстро выяснилось, что работать в моей редакции винды он не хочет, и требует Ultimate или Enterprise. В силу лицензионности моей винды и пустоты моего кошелька, вариант с AppLocker'ом отпал.

Следующей попыткой стала настройка групповых политик ограниченного использования программ. Поскольку AppLocker является «прокачанной» версией данного механизма, логично попробовать именно политики, тем более они бесплатны для пользователей Windows :)

Заходим в настройки:
gpedit.msc -> Конфигурация компьютера -> Конфигурация Windows -> Параметры безопасности -> Политики ограниченного использования программ



В случае, если правил нет, система предложит сгенерировать автоматические правила, разрешающие запуск программ из папки Windows и Program Files. Так же добавим запрещающее правило для пути * (любой путь). В результате мы хотим получить возможность запуска программ только из защищенных системных папок. И что же?
Да, это мы и получим, но вот только маленькая незадача — не работают ярлыки и http ссылки. На ссылки еще можно забить, а без ярлыков жить плоховато.
Если разрешить запуск файлов по маске *.lnk — мы получим возможность создать ярлык для любого исполняемого файла, и по ярлыку запустить его, даже если он лежит не в системной папке. Паршиво.
Запрос в гугл приводит к таким решениям: или разрешить запуск ярлыков из пользовательской папки, либо пользовать сторонние бары с ярлычками. Иначе никак. Лично мне такой вариант не нравится.

В итоге мы сталкиваемся с ситуацией, что *.lnk является с точки зрения винды не ссылкой на исполняемый файл, а исполняемым файлом. Бредово, но что ж поделать… Хотелось бы, чтобы винда проверяла не местонахождение ярлычка, а местонахождение файла, на который он ссылается.

И тут я нечаянно натолкнулся на настройки списка расширений, являщихся исполняемыми с точки зрения винды (gpedit.msc -> Конфигурация компьютера -> Конфигурация Windows -> Параметры безопасности -> Назначенные типы файлов). Удаляем оттуда LNK и заодно HTTP и релогинимся. Получаем полностью рабочие ярлычки и проверку на местонахождение исполняемого файла.
Было сомнение, можно ли будет передавать через ярлыки параметры — можно, так что все ок.



В результате мы получили реализацию идеи, описанной в статье «Windows-компьютер без антивирусов» без каких либо неудобств для пользователя.

Также для любителей стрелять себе в ногу, можно создать папку в Program Files и кинуть ярлык для нее на рабочий стол, назвав, например «Песочницей». Это позволит запускать оттуда программы без отключения политик, пользуясь защищенным хранилищем (защита через UAC).

Надеюсь описанный метод окажется для кого-то полезным и новым. По крайней мере я о таком ни от кого не слышал и нигде не видел
frogo; v3rter; besica; Dnki; AllexSoft; +5 Ответить
23. Алексей Белоусов (AllexSoft) 15.04.15 16:50 Сейчас в теме
(22) ewqewqewq, спасибо) интересный метод!
25. Aleks Dbs (aleksdbs) 23.04.15 14:55 Сейчас в теме
Частный случай из практики: пользователю пришло письмо, как заказ от клиента пользователя (т.е. адрес отправителя совпадал с адресом клиента). В письме - архив, в этом архиве еще один архив. Внутри архива - файл scr, который пользователь добросовестно запустил, считая, что это заказ от клиента. В итоге - зашифровало все документы на рабочей станции и документы на сетевых ресурсах в папках, которые были подключены, как сетевые диски. Причем, процесс шифрования длился несколько дней, прежде, чем обнаружили это патологичность...
26. Aleksey (Aleksey58) 23.04.15 15:03 Сейчас в теме
(25) aleksdbs, обращайся в dr-web, только они смогут помочь и то не факт что помогут, у себя сотрудники 3 раза ловили такие вирусы, спасло только резервная копия.
27. Aleks Dbs (aleksdbs) 23.04.15 16:23 Сейчас в теме
спасибо, решилось все банально просто: все что было забекаплено ранее - восстановлено, все остальное - в мусор
28. Алекс Бойцов (KontoraB) 27.04.15 08:32 Сейчас в теме
Вирус шифровальщик - наилучшая таблетка от жадности для жадных директоров
29. nick perel (nickperel) 2 27.04.15 14:03 Сейчас в теме
Вот с этим имел дело:

Это вот базой было 1Cv8.1CD:

svzbegjl.psv.id-{KNOQSUWXYABDFGHJKLNOQRTUWXYACCEGHIKL-12.01.2015 12@54@234833151}-email-mserbinov@aol.com-ver-6.1.0.0.b.cbf

Шифрование - несимметричное. Дешифровщиков нет. Ключ длиной 1024 байта.

В этот раз был некий Миша Сербинов (всегда разные я смотрю). Якобы ключ вышлет. Шлет письма от имени судебных приставов со скриптом внутри. Просит недорого, но причастные люди сообщают, что у него в процессе шифровки есть ошибка. Он может просто не получить ключ во время работы своего мутного трояна. Однако торгует ими.

Восстановил обе базы (там две было - бухгалтерия и общепит) - 1CD.
Делается бинарными патчами и лечением в конфигураторе.
dt, docx, xlsx, jpg - все это не поддалось лечению.
Правда недолго и добивался - сняли с меня задачу с ними разбираться.

Надо бы, конечно, в отдел "К". Но они изымают комп сразу. Заказчик отказался.

Работа нудная и ручная, но могу попробовать помочь, если в Питере.
30. Елена Пименова (Bukaska) 125 27.04.15 14:50 Сейчас в теме
Сейчас уже ещё новее появились расширения.. жесть...
36. Алексей Штенников (Leshka_Papka) 28.04.15 05:44 Сейчас в теме
Доброго времени. У нас на работе вирус пришел в виде письма со счетом от самих 1С. Адрес полностью совпадал с реальным. А учитывая то что мы франч - наши незамедлительно его открыли. Аналогично зашифровал все документы и базы 1С, стали выглядеть как 1.CD.vault. Спасли облачные бэкапы. А вообще слышал, что у нас в городе (Пермь) есть один сервис центр, который сумел таки расшифровать такие базы. Правда берут они по 3000 руб. за базу.
37. Елена Пименова (Bukaska) 125 28.04.15 10:25 Сейчас в теме
(36) Leshka_Papka, уже кроме того, появились *xtbl, *nzxuydn, *dlzeokh
39. nick perel (nickperel) 2 28.04.15 14:21 Сейчас в теме
(36) Leshka_Papka,
А вообще слышал, что у нас в городе (Пермь) есть один сервис центр, который сумел таки расшифровать такие базы. Правда берут они по 3000 руб. за базу.


Они не расшифровали, а восстановили структуру файлового варианта базы 1С.
Метод годиться для любого шифровальщика, если файл не зашифрован полностью.
Я тоже делал такое.
Много обсуждаются бакапы. Но это не всегда поможет.
А если в момент сдачи отчетности по НДС, как сейчас, бухгалтер обработками нагенерит сотни документов ОтчетКомитенту. Все сведет и построит книги покупок-продаж.
А потом вечером, до того как отправить декларацию глянет на "письмо от судебных приставов" в почте.
Сроки сдачи будут провалены. Дельта от бакапа потеряна.
Кстати, выгрузки dt шифровальные червяки шифровать тоже не забывают.
Шифруется все, что доступно с компа где он запущен, по сети, в папках синхронизации с облаками, везде короче.
38. Елена Пименова (Bukaska) 125 28.04.15 13:46 Сейчас в теме
Новый шифровальщик *.Lqroqia
40. nick perel (nickperel) 2 28.04.15 14:42 Сейчас в теме
Я смотрю, упыри рассылающие эти письма с червями, всегда в курсе, кому идет письмо.
И сколько надо запросить.

Франчайзи получает письмо с отправителем, похожим на ООО "1С". Бухгалтер хозрасчетного предприятия - письмо от "судебных приставов", школа получает письмо от гос.структур образования.

Вопрос ими явно прорабатывается. Живут они явно поблизости, а не под Будапештом. Сроки и размер выкупа назначают соответственно ценности данных и фин. возможностям пострадавшего, срочности решения и трудоемкости ручного восстановления в каждом конкретном случае.
Судя по словам, которые упоминал в переписке тот вымогатель с которым я столкнулся, это студент 20-25 лет.
По ментальности - асоциальный "ботаник".
Что трудного с возможностями полиции вычислять таких предпринимателей?
Они проявляются везде, широко, в масштабе страны, в течении месяцев и лет.
Может мало кто пишет заявления, но от этого вымогательство не перестает быть вымогательством.
41. Юрий Залевский (YrikZ) 05.06.15 11:24 Сейчас в теме
У нас на работе один компьютер подорвался на таком скрипте (миши сербинова) после открытия письма от "Службы судебных приставов".
Вымогателю платить не стали. Большую часть информации восстановили после сканирования программой по восстановлению удаленных файлов на носителе. Однако имена файлов пришлось восстанавливать вручную.
Попутно написал заяву в отдел "К" МВД РФ с приложением переписки с вымогателем.
Среди сотрудников провел инструктаж по предупреждению подрыва на аналогичных скриптах.
42. Павел Семенов (pavel06) 02.08.15 02:34 Сейчас в теме
(41) И как, ответ получили какой-нибудь из отдела "К"?
46. Юрий Залевский (YrikZ) 11.08.15 17:22 Сейчас в теме
(42) pavel06, Нет - отдел "К" не ответил. Молчит как рыба об лед.
43. Игорь Дайнеко (Dnki) 02.08.15 09:40 Сейчас в теме
Подскажите как решить такую задачку для маленькой фирмы, где ночью работает только сервер:
* Создал на диске раздел для архива (или подключил флэшку/ ЮСБ-диск)
* Но сделать его постоянно недоступным, в т.ч. для пользователя Администратор (на консоли).
* сделать BAT-ник, который:
- сначала "включает" диск
- копирует на него
- "выключает" диск

Если бы я пользовался сетевым диском, я бы использовал "net use"
Какими ср-ми вроде как размонтировать диск
Или другой вариант подключить к самомму себе, но как сетевой ресурс.

Пример команд прошу
44. Алекс Бойцов (KontoraB) 07.08.15 08:57 Сейчас в теме
(43) Dnki, как вариант - создать ftp сервер и туда закидывать архивы - не пойдет ?
45. Василь Апостол (alfasoft) 09.08.15 09:08 Сейчас в теме
решил проблему так:
1) запретил открытие всяких *.scr, *.bat, *.vb* (всего кроме документов і рисунков)
2) бекапы делаю с нестардартными расширениями- например BackUp_08082015.uka2015
3) провел инструктаж и подписание документов о личной ответствености за несоблюдение требований о информационной безопасности
47. Иван Лунякин (minor-50) 11.08.15 17:25 Сейчас в теме
Делай бэкап каждое утро))
48. Иван helpencoder.ru (ivan-helpencoder) 04.09.15 22:01 Сейчас в теме
(47) minor-50,
Обязательно потом залить на болванку или отключить диск/флешку,на которую записали.
Иначе, если повторится, архивы тоже зашифрует.
49. Иван Лунякин (minor-50) 15.09.15 15:11 Сейчас в теме
на магнитную ленту и в холодильник XD
50. Дмитрий Семенов (user648183_simbelmayne) 30.11.16 12:03 Сейчас в теме
Во-первых бэкапы надо делать на внешние носители, а во-вторых - не открывать всякую фигню) Есть специальные программы-песочницы, причем бесплатные, в которых можно любые файлы открывать, при этом не допуская их в систему. Да и в антивирусах есть такая функция. Ну а если информация не очень важная - то проще удалить сам вирус и забыть о файлах. Единственное что важно - по-настоящему удалить и трижды проверить, потому что если вирус останется в системе - все заново зашифрует нахрен. ВОт, кстати, простые инструкции по удалению вирусов-шифровальщиков.
51. Виктор Григоренко (JohnGalt) 2 30.11.16 13:25 Сейчас в теме
Еще вариант - виртуализация. В инет ходит только через виртуальную машину.
53. Дмитрий Кашин (don_k) 14.12.16 03:52 Сейчас в теме
На нашем предприятии периодически ловили подобную гадость. Потерянные данные восстановить не удалось ни разу. В качестве мер профилактики было предпринято следующее:
- на почтовых серверах запрещены вложения исполняемых файлов, а том числе и в архивах(штатными средствами Exchange+Kaspersky антиспам);
- на рабочих столах пользователей удалены ярлыки на общие папки для минимизации ущерба.
54. Федор Семченко (Азверин) 14.12.16 08:56 Сейчас в теме
(53) системный администратор до сих пор у вас не менялся?
55. Роберт В е р т и н с к и й (v3rter) 14.12.16 10:04 Сейчас в теме
(53)
исполняемых файлов
вирусняк чаще приходит в виде скринсейвер в архиве в архиве в архиве.
удалены ярлыки на общие папки
не ярлыки запускают вирусы на сетевые папки, а подключенные сетевые диски.
Включите на всех компах "Восстановление системы" на всех дисках, проследите, чтобы диски не были заполнены больше чем наполовину и у Shadow Explorer появятся хорошие шансы. Ещё больше шансов добавит дополнительная архивация пользовательских данных.
56. Андрей Шевченко (Shevon) 14.12.16 10:31 Сейчас в теме
(55) Плюс, хорошо бы было включить и настроить AppLocker.
57. Дмитрий Абсолямов (user656604_a03dmitriy) 16.12.16 00:15 Сейчас в теме
Лучше переустановки в борьбе с такими вирусом еще не чего не придумали, а на 100% ты себя не чем и не каким антивирусником не обезопасишь
58. Дмитрий Иванов (DarkDaemon) 28.12.16 13:04 Сейчас в теме
Можно еще отключить wscript и cscript - тоже защита почти от всех шифровальщиков. Вот reg-файл для автоматического отключения:

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\wscript.exe]
"Debugger"="ntsd -d"
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\cscript.exe]
"Debugger"="ntsd -d"

[HKEY_CLASSES_ROOT\JSFile\Shell\Open\Command]
@="C:\\Windows\\notepad.exe \"%1\" %*"
@="%SystemRoot%\notepad.exe" "%1" %*
 
[HKEY_CLASSES_ROOT\JSFile\Shell\Open2\Command]
@="C:\\Windows\\notepad.exe \"%1\" %*"
Показать
59. Дина (user641648_dsuhanova77) 30.12.16 18:55 Сейчас в теме
ИМХО только бекапы могут спасти от этой напасти.
Ну и работа с пользователями.
60. Алексей Куликов (leks88) 12 30.12.16 19:05 Сейчас в теме
Стандартное архивирование силами Серверной ОС на скрытый раздел, либо как у Доктора веб на локальный диск в защищенное хранилище...
61. Alister (Alister) 9 30.12.16 19:40 Сейчас в теме
(60)
как у Доктора веб на локальный диск в защищенное хранилище...

Может быть сейчас ситуация другая, а вот когда они эту возможность анонсировали больше года назад, работала она отвратно - чем дальше, тем больше тормозил комп, пришлось отключить.
62. Алексей Куликов (leks88) 12 04.01.17 12:59 Сейчас в теме
Вроде не тормозит, и на серваках и на обычных...
63. Alister (Alister) 9 04.01.17 13:32 Сейчас в теме
Надо попробовать опять, наверно довели до ума.
64. Alister (Alister) 9 04.01.17 13:38 Сейчас в теме
Мы же про "Защиту от потери данных" в 11-й версии говорим?
65. Alister (Alister) 9 05.01.17 18:40 Сейчас в теме
Включил вчера... вчера копию сделала, а вот сегодня вылет с ошибкой.(
66. Александр Жуков (AZhuk) 16.01.17 10:05 Сейчас в теме
Вот все удивляюсь, есть вирусы шифровальщики, есть антивирусные компании которые не могут его расшифровать, но есть еще ОФИциальные зарегистрированные по всем правилам фирмы к которым можно обратиться по поводу любого вируса, причем им даже не нужен сам вирус и ключ расшифровки (которые я отправлял в Нод32, Касперский), им нужен 2-3 зараженных файла и все. Ну как так они расшифровали а антивирусные компании ответили извините не можем???? Тогда вопрос: нахер они нужны или просто все в доле?
67. Олег Медведев (olgerd666) 49 16.01.17 10:19 Сейчас в теме
(66)
причем им даже не нужен сам вирус и ключ расшифровки (которые я отправлял в Нод32, Касперский), им нужен 2-3 зараженных файла и все.

что-то сомнительно, может эти фирмы и штампуют вредителей? потом рассылают их по базе "клиентов" с пометкой "Резюме", "Ваш долг составил.." и прочая, а потом "лечат" пострадавших?
68. drim87 - (drim87) 16.01.17 13:34 Сейчас в теме
(67) или спасают данные от старых модификаций этих шифровальщиков.
А вообще каким это волшебным образом они расшифровывают данные зашифрованные 256 битным ключом или 1024 битным?
69. Роберт В е р т и н с к и й (v3rter) 16.01.17 14:52 Сейчас в теме
(68) Возможно, выкупают у авторов троянов.
71. Alister (Alister) 9 16.01.17 16:27 Сейчас в теме
У клиента стояла 11 версия Веба, которая по уверениям разработчиков отслеживает шифровальщики по поведению, и что? Зашифровал все базы, все документы, все фотографии - антивирус и не хрюкнул.(((
72. Максим Сухов (MaxS) 1035 16.01.17 19:51 Сейчас в теме
А нет ли такой фичи у антивирусов? Например, указать, что файлы 1С может открывать на запись только софт 1С.
Файл из такой-то папки доступен только такому-то exe-шнику...
У оутпост было подобное, но его история как антивируса закончилась.
73. drim87 - (drim87) 16.01.17 22:41 Сейчас в теме
(72)
из такой-то папки доступен только такому-то exe-шнику...
У оутпост было подобное, но его история как антивируса закончилась


У каспера точно есть начиная с KIS'а "Контроль активности программ называется"
Он формирует список всего по на пк и раскидывает по группам доверенные, слабые ограничения, сильные ограничения и т.д.
Можно создать запись с расширением файла или группу и назначить ограничения вплоть до того что даже взаимодействие через explorer можно порезать т.е. нельзя будет ни скопировать ни переместить ни переименовать. Ну и т.д.....но
уже не актуально - ровно с того момента как шифровальщики добрались до обработок точнее распространяться стали через обработки. Больше для себя неудобств и проблем будет.

А аутпост когда либо антивирусом был?) я всегда считал что это фаервол.
75. c+ + (ture) 231 17.01.17 12:56 Сейчас в теме
(73) Может тогда сразу 1С запускать под другим пользователем и права на файлы только ему выдавать? Зачем фильтр-драйвер нагружать чепухой?
76. drim87 - (drim87) 17.01.17 14:19 Сейчас в теме
(75) Вообще то я всего лишь ответил на вопрос, а не давал рекоммендация к действию

А нет ли такой фичи у антивирусов? Например, указать, что файлы 1С может открывать на запись только софт 1С.
Файл из такой-то папки доступен только такому-то exe-шнику...
У оутпост было подобное, но его история как антивируса закончилась.
77. Максим Сухов (MaxS) 1035 17.01.17 14:58 Сейчас в теме
(75) Оба варианта могут не помочь, если шифрование запущено обработкой из 1С. Но как минимум у 1С не должно быть прав редактировать бэкапы и другое.

Есть ещё Kaspersky Total Security. Он умеет из папок делать сейфы...
74. Максим Сухов (MaxS) 1035 17.01.17 05:28 Сейчас в теме
Спасибо, в KIS 2017 это называется "Режим безопасных программ" переход туда по кнопке "Больше функций".
"Многа букв"... Включил пока по умолчанию без тонкой настройки. ))

аутпост - антивирус и фаервол, несколько лет работал у меня и у родственников, три пожизненные лицензии было. Кто ж знал, что имелся ввиду срок жизни софта )) Касперский в те давние времена плохо дружил с 1С, а в аупост я специально отправлял какую-то статистику с компа, где был разный 1С софт. И через некоторое время этот антивирус стал совсем незаметным. А касперский тогда был наоборот слишком навязчивым, тормозным и главным приложением в системе.
78. Роберт В е р т и н с к и й (v3rter) 17.01.17 17:04 Сейчас в теме
Нет универсальных решений. И антивирусы пропускают (причем все), и "тёртые" пользователи ведутся. Сегодня, например, пришёл "подарок" со вложением в html с учётки яндекса, в которой не поленились заполнить данные и фото. Сам чуть не повёлся. Вирустотал показал 0. "Тестировать" не стал, выкинул в спам.
79. Александр Жуков (AZhuk) 20.01.17 16:31 Сейчас в теме
Просто почту надо держать на отдельном компьютере и вся проблема решена ))
81. Артем Горбачев (user680583_gorbachevtema) 28.01.17 21:23 Сейчас в теме
тяжело себя обезопасить от такого, только делать копии на флешку
82. Alister (Alister) 9 29.01.17 14:10 Сейчас в теме
(81)
только делать копии на флешку

а флешку отключать от компа после копирования.
Bukaska; v3rter; +2 Ответить
83. Виктор Захаров (ZVN) 114 29.01.17 19:11 Сейчас в теме
Я всегда говорю своим юзерам. Защищен только тот компьютер на котором нет информации и он выключен. А если поймал шифровальщика то как правило это хана всего кроме копий, что ты сохранил на съёмном диске.
84. Роберт В е р т и н с к и й (v3rter) 30.01.17 09:32 Сейчас в теме
(83) На отключенном в момент атаки съёмном диске. Подключенные общие сетевые диски тоже шифруются.
85. Иван Корочкин (user682482_kor1van) 31.01.17 17:22 Сейчас в теме
Astersoft DBF Manager попробуйте для редактирования
86. Елена Царева (citicat) 116 31.01.17 18:33 Сейчас в теме
Один из вариантов работы: база данных находится в локальной сети, в который ни один компьютер не имеет выхода в Интернет.
Для обновления 1С придётся использовать флеш-карты или съёмный диск (идеальный вариант - архивирование после работы, потом эту флеш-карту из разъёма удалить).
Банк-клиент тоже лучше использовать с переносом с помощью флеш-карты. На компьютере для выхода в Интернет антивирус обязательно нужен, возможно, какой-нибудь "родительский" контроль, В глубоко локальной сети антивирус ни к чему.
87. Кузнецов Василий (collider) 01.02.17 08:04 Сейчас в теме
Шифровальщик запускается от имени обычного пользователя и портит только то, что доступно этому пользователю. Поэтому вариантов для защиты масса:

1.1. Если операционка серверная, а база файловая, то можно использовать встроенный в ОС компонент "Система архивации данных Windows Server". Настроить копирование на диск, к которому у обычных пользователей нет NTFS'ных прав.

1.2 Если операционка бытовая, а база файловая, то можно использовать любой подручный бэкапер, который может работать как служба. Effector saver, например. Настроить этой службе вход из-под отдельного пользователя и только ему дать права на папку (или целый диск) с бэкапами.

2. Любой клиент-серверный режим 1С. Если клиент подключается к веб-серверу или серверу 1С безо всяких RDP, то прямого доступа к базе, опять же, нет.

3. RemoteApp. Как вы можете понимать, это, скажем так, эмуляция того, что 1С запущена прямо на компьютере пользователя. Соответственно, ничего кроме 1С пользователь в сервере запустить не сможет. Ни браузера, ни почтового клиента. Зашифрует только то, что есть на его компьютере и смонтированных сетевых дисках.


Кстати, если включен UAC, то даже у админов всё запускается с правами обычного пользователя, либо запрашивает разрешения на админство. В связи с этим у меня периодически начинается изжога, когда вижу, что люди в разных случаях предлагают его отключить.
88. Петр Цап (Inkasor) 25 01.02.17 09:16 Сейчас в теме
Есть очень простое решение для большинства частных случаев - настроить бекап базы в дропбокс, у него инкрементальный подход и в контролке хранится вся история изменений файла.
89. Всеволод Исаев (seva18isaev) 27.02.17 22:53 Сейчас в теме
программой для восстановления пользуюсь в таких ситуациях
Оставьте свое сообщение