Здравствуйте.
Случилась беда - вирус зашифровал БД, все копии, выгрузки, сохранения - практический все файлы на компьютере (А КОПИЙ БОЛЬШЕ НИГДЕ НЕТ).
С помощью лечащей утилиты от Касперского удалось расшифровать файл 1Cv8.1CD, НО
Он все равно не открывается.
Пробовали:
1. Проверку на физическую целостность файла БД - выдает ошибку:
И соответственно вывод - БД полностью разрушена, восстановлению не подлежит.
2. Попробовал открыть с помощью Tool_1CD:
Выдает ошибку:
Файл не является базой 1С (сигнатура не равна "1CDBMSV")
3. Нашел конфигурацию
Установил:
1Cv8_0_2_3
Вот тут и возникли вопросы...
Ну обо всем по порядку:
Что я там сделал:
1. Обновил компоненту.
2. Открыл файл
3. Загрузил список внутренних файлов
4. Загрузил структуру внутренних файлов
И тут при выполнении последнего пункта (загрузка структуры внутренних файлов) вышли ошибки:
Убедительно прошу - подскажите что дальше делать с этими ошибками?
Как их исправить?
Есть ли еще вариант восстановления БД после зашифровки вирусом?
Случилась беда - вирус зашифровал БД, все копии, выгрузки, сохранения - практический все файлы на компьютере (А КОПИЙ БОЛЬШЕ НИГДЕ НЕТ).
С помощью лечащей утилиты от Касперского удалось расшифровать файл 1Cv8.1CD, НО
Он все равно не открывается.
Пробовали:
1. Проверку на физическую целостность файла БД - выдает ошибку:
Поврежден заголовок файла базы данных
Поврежден заголовок внутреннего файла <Описание базы данных>
Поврежден заголовок внутреннего файла <Описание базы данных>
И соответственно вывод - БД полностью разрушена, восстановлению не подлежит.
2. Попробовал открыть с помощью Tool_1CD:
Выдает ошибку:
Файл не является базой 1С (сигнатура не равна "1CDBMSV")
3. Нашел конфигурацию
Установил:
1Cv8_0_2_3
Вот тут и возникли вопросы...
Ну обо всем по порядку:
Что я там сделал:
1. Обновил компоненту.
2. Открыл файл
3. Загрузил список внутренних файлов
4. Загрузил структуру внутренних файлов
И тут при выполнении последнего пункта (загрузка структуры внутренних файлов) вышли ошибки:
Убедительно прошу - подскажите что дальше делать с этими ошибками?
Как их исправить?
Есть ли еще вариант восстановления БД после зашифровки вирусом?
По теме из базы знаний
Ответы
Подписаться на ответы
Инфостарт бот
Сортировка:
Древо развёрнутое
Свернуть все
(1) sapravka, вирусы не шифруют, а заражают файлы, отчасти затирая информацию в них.
В классическом варианте, увеличивают запускаемые файлы, добавляя в исполняемые части куски кода вызова тела вируса, а само тело вируса дописывает в иное место файла.
В общем портит файл.
А антивирусы, берут и вырезают куски программы, которые считает зараженными.
Что там после всех этих эксгумаций осталось живого - никто не знает.
Пробуйте, есть разные утилиты, может и получится что-то выдернуть.
Хотя восстановить именно этот файл, в том виде как было, уже вряд ли получится.
В классическом варианте, увеличивают запускаемые файлы, добавляя в исполняемые части куски кода вызова тела вируса, а само тело вируса дописывает в иное место файла.
В общем портит файл.
А антивирусы, берут и вырезают куски программы, которые считает зараженными.
Что там после всех этих эксгумаций осталось живого - никто не знает.
Пробуйте, есть разные утилиты, может и получится что-то выдернуть.
Хотя восстановить именно этот файл, в том виде как было, уже вряд ли получится.
(2) Boneman,
например
Это не шифрует?
вирусы не шифруют, а заражают файлы,
например
Вредоносная программа семейства Trojan-Ransom.Win32.Xorist предназначена для несанкционированной пользователем модификации данных на компьютере-жертве таким образом, чтобы сделать невозможным работу с ними
Это не шифрует?
(1) "С помощью лечащей утилиты от Касперского удалось расшифровать файл 1Cv8.1CD"
А как же другие антивирусы?! Помню как-то раз словил вирусов пачку. И надо было восстановить несколько документов (вылечить). Так вот. Касперский починил часть документов, а часть - не смог. А Dr.Web -наоборот, часть тех, что Каспер вылечил - не мог починить, зато вылечил те, с которыми Каспер не справился.
А если взять еще один антивирус - шансы еще больше растут.
Думаю, и с шифровщиками то же самое.
А как же другие антивирусы?! Помню как-то раз словил вирусов пачку. И надо было восстановить несколько документов (вылечить). Так вот. Касперский починил часть документов, а часть - не смог. А Dr.Web -наоборот, часть тех, что Каспер вылечил - не мог починить, зато вылечил те, с которыми Каспер не справился.
А если взять еще один антивирус - шансы еще больше растут.
Думаю, и с шифровщиками то же самое.
Скорее всего вирус не зашифровал файл базы а посчитал, что это архивный файл и встроил свои коды в файлы "архива"
Всё просто.
В HEX редакторе анализируете файл, находите паразитные последовательности и удаляете их.
Вполне возможно, что на эту работу удастся потратить несколько лет.
Но самый реальный выход из этой ситуации это взыскать деньги с сотрудника ответственного за ежедневное архивирование данных.
На эти деньги нанять штук 100 бухгалтеров, которые набьют все данные по сохранившимся бумажным документам.
Изучайте основы информационной безопасности.
Всё просто.
В HEX редакторе анализируете файл, находите паразитные последовательности и удаляете их.
Вполне возможно, что на эту работу удастся потратить несколько лет.
Но самый реальный выход из этой ситуации это взыскать деньги с сотрудника ответственного за ежедневное архивирование данных.
На эти деньги нанять штук 100 бухгалтеров, которые набьют все данные по сохранившимся бумажным документам.
Изучайте основы информационной безопасности.
по опыту работы случалась такая вещь один раз за десятилетие опыта работы. Шеф про защиту даже слышать не хотел(все торчало жопой в инет - даже на антивирь нормальный разориться не хотел). Когда прижало потратил на защиту сети пол ляма.
Но увы базу спасти не удалось( как показывает практика практически невозможно). Неделю пришлось бить руками с последнего архива.
Но увы базу спасти не удалось( как показывает практика практически невозможно). Неделю пришлось бить руками с последнего архива.
антивирусы прекрасно находят вирус при проверке полной но не находят при первичном попадании. Причем по опыту скажу что Dr.Web с поставленой задачей не справился, а NOD и Kaspersky прекрасно нашли но когда было уже поздно. Ставить надо ли железные шлюзы либо программные ИМХО Kerio и тому подобные
добрый день!
Антивирусы определяют вирусы только тогда когда данные по этому вирусу добавленны в базу данных самого антивируса.
Как к вам попал вирус?
Если через интернет то настройте доступ в интернет своим сотрудникам используя элементарные файерволы. в том числе стандартные правила на роутерах.
Если вирус попал к вам с внешнего носителя типа USB рекомендую вам для начала установить программу .
Если вы имеете корпоративные флеш накопители то целесообразно былобы защитить их от файла autoran.ini который используют вирусы на шлешках путем создания аналогично файла в корне флешки с защитой от записи (тоесть антивирус попав на флешку не сможет создать на ней фил autoran.ini чтобы использовать его в своих целях, так как этот файл мы с вами создали самолично и запретили перезапись его), такой способностью обладает программа USBProtect или иная другая программа с аналогичным функционалом.
Конечно от всех угроз защититься очень тяжело, но эти элементарные советы во многом помогут вам повысить безопасность.
И еще если вам тяжело делать выгрузки информационных баз вручную, то вы можете автоматизировать данный процесс с помощью программы
Надеюсь мои советы будут вам полезны!!!
Антивирусы определяют вирусы только тогда когда данные по этому вирусу добавленны в базу данных самого антивируса.
Как к вам попал вирус?
Если через интернет то настройте доступ в интернет своим сотрудникам используя элементарные файерволы. в том числе стандартные правила на роутерах.
Если вирус попал к вам с внешнего носителя типа USB рекомендую вам для начала установить программу .
Если вы имеете корпоративные флеш накопители то целесообразно былобы защитить их от файла autoran.ini который используют вирусы на шлешках путем создания аналогично файла в корне флешки с защитой от записи (тоесть антивирус попав на флешку не сможет создать на ней фил autoran.ini чтобы использовать его в своих целях, так как этот файл мы с вами создали самолично и запретили перезапись его), такой способностью обладает программа USBProtect или иная другая программа с аналогичным функционалом.
Конечно от всех угроз защититься очень тяжело, но эти элементарные советы во многом помогут вам повысить безопасность.
И еще если вам тяжело делать выгрузки информационных баз вручную, то вы можете автоматизировать данный процесс с помощью программы
Надеюсь мои советы будут вам полезны!!!
Сомневаюсь, что это вирус.Это умельцы вымогатели. У одного моего клиента залезли такие ребята на терминальный сервер (логины и пароли были детские, и адрес сервера за 2 года где-то засветился) и за шифровали все папки и файлы, которые посчитали важными для владельца. И оставили повсюду текстовый файл с описью, куда обращаться для расшифровки и сколько это будет стоить. Благо, это был новый сервер, на котором успели поставить только чистые базы 1С. Просто удалили все зашифрованные объекты, изменили адрес сервера, логины и пароли. Насколько я разузнал, пробывать расшифровать - бесполезно. Или заплатить, или искать архивные копии вне взломанного компьютера (ребята все резервные копии тоже зашифровали).
У пары клиентов было то же самое, причем файловые БД зашифровались, а SQL не отдал свои базы и они остались рабочими. Файловые потом расшифровали через тех вымогателей, связались с ними и они за определенную денежку помогли расшифровать. Деньги совсем небольшие по сравнению с тем, сколько времени и сил уйдет на восстановление БД. У кого такое же случиться, нужно быстро реагировать, т.к. вымогатели постоянно меняют адреса и можете не успеть связаться с ними. На будущее, надо делать архивы на разные компьютеры, но лучше на отдельный жесткий, который не будет постоянно подключен, т.е. сделали бэкап, отключили диск. Еще мысль попробовать хранить бэкапы на зашифрованном разделе жесткого, но не знаю поможет это защитить инфу или нет, лучше использовать оба метода и в случае заражения уже будет ясно точно поможет ли шифрование дисков или нет.
(25) Ой, я вас умоляю! У моего клиента увели несколько сотен тысяч с расчетного счета: при помощи вируса сграббили пароли от Интернет-банка и стырили файлы ключей ЭЦП. И что? Никого не нашли и ничего не вернули, хотя в наличии был российский IP, с которого была отправлена платежка. И не сказать, чтобы "желания" не было - у дира пострадавшей фирмы оказались какие-то завязки в милиции (тогда еще). Не помогло, глухо.
А тут окажется, что похитители, например, украинцы - и вообще сливай воду, особенно в нынешних политических реалиях.
А тут окажется, что похитители, например, украинцы - и вообще сливай воду, особенно в нынешних политических реалиях.
было такое. пришло письмо с предложением выслать средство расшифровки за 7000 рублев. так как на этом компьютере ничего важного не было - никому ничего не платили. подцепили вирус, открыв вложение в почте.
если соответствующего преложения не прислали - прогноз плохой. хотя на хабре была статья про удачную расшифровку, но в том случае просто зашифровали по-детски
если соответствующего преложения не прислали - прогноз плохой. хотя на хабре была статья про удачную расшифровку, но в том случае просто зашифровали по-детски
Для получения уведомлений об ответах подключите телеграм бот:
Инфостарт бот