Добрый день.
Нужна квалифицированная помощь!
На днях взломали сервер и за архивировали базы 1с 8 и 7 в архив вин рар под пароль оставили сообщение о выкупе пароля также тщательно были собраны бекапы .dt тоже в архивы под пароль.
Во становление удаленных файлов вернуло файлы .dt и .1CD объемы похожи на те что в архивах редакторы показали почти во всех восстановленных файлах исковерканные заголовки .
ПРОБЛЕММУ решить необходимо в кратчайшие сроки оплата по факту.
diana-budzar@mail.ru
(1) Есть также программы работающие с 1CD и позволяющие из него выкачать много полезной информации. Например состав таблиц и их наименование. Есть обработки по которым в текущих базах можно узнать идентификационные наименования таблиц внутри 1CD и посмотреть их наименования ваших архивных копиях.
(1) 1. могу предложить вариант подбора пароля генератором на майнинг фермах. Есть смысл если длина пароля не больше 7 знаков.
2. Вариант. Попытка восстановить битые файлы. Как правило перед удалением - вирусня удаляет/шифрует первые 1-2 мегабайта заголовков. Для восстановления необходима копия базы с тем же релизом (для 8.0-8.3). Далее файл склеиваются hex-editirom. Нудно и долго.
для 1С 7.7. там чуть по другому
3. вариант заплатить хакерам.
Необходимо привести пример заголовка, и вы ничего не сказали о дате создания и изменения, по ним тоже можно определить, что за базы. У нас все группы архивов делаются в разное время и это помогает точно определить базу которая испорчена в случае не уникального заголовка.
Tool 1CD прекрасная утилита для 1СD файлов. Можно узнать из например имя таблицы реализации и посмотреть в Tool 1CD какая дата была последней по данной таблице. Вы получаете примерную дату архива с точностью до дня и точное наименование базы.
(12) Я так понимаю автор подразумевает наименование архива файла или базы.
Но даже, если не прокатит, то:
1) Tool CD очень полезная утилита и работать с ней надо уметь.
2) Вполне возможно, что автор научится какие-то данные восстанавливать и захочет, кого-то этому научить.
3) Надо всегда упираться вымогателям и шантажистам и не грех с порядочными людьми познакомиться, которые подскажут как использовать утилиты. В конце концов создатели утилит очень умные и грамотные люди.
Я так понимаю автор подразумевает наименование архива файла или базы.
Но даже, если не прокатит, то:
1) Tool CD очень полезная утилита и работать с ней надо уметь.
2) Вполне возможно, что автор научится какие-то данные восстанавливать и захочет, кого-то этому научить.
3) Надо всегда упираться вымогателям и шантажистам и не грех с порядочными людьми познакомиться, которые подскажут как использовать утилиты. В конце концов создатели утилит очень умные и грамотные люди.
Еще раз желаю всем удачи!
Вымогатели тоже не шиком шиты, все эти годы они живут и чувствуют себя безнаказанными и развиваются не по дням, а по часам.
Если файл подкачки с памятью не успели продампить (с целью вытащить ключ для расшифровки архива) - то как правило что то восстановить не реально.
Те кто это понимает - обычно сразу пишут плати вымогателям.
Попытка конечно хорошо, но надо быть реалистом, так как восстановление базы как правило стоит дороже выкупа.
К тому же авто предлагает пост оплату. Никакой майнер нахаляву гонять свои фермы подбирая пароль к архиву, оплачивая счета мосэнергосбыту не будет.
Хотя последнее время аренда ферм для майнинга - стоит дешего. пароль к winRar - 7 символов - в районе 500$, 8 символов -3000$ 9 символов -15К$(при условии доказательсв что данные ваши)... итп
Плчюс как правило после токих случаев админов увольняют и им нечем платить... А склеить битые файлы - если у вас есть желания то пожалуйста. Все эти утилиты вам не помогут. Так как они работают на условно живых базах. А судя по инфе - hex editor в помощь.
К сожалению с DT файлом рекомендации приведенные выше не пройдут. Тут нужен будет подход другой. Подход вам не понравиться, так как нужно каждую базу раскрывать. Понадобиться что-то такое, https://infostart.ru/public/16067/. Попробуйте связаться с автором статьи у него наверняка есть положительное решение вашей проблемы.
А выкуп традиционно в биткоинах хотят? А то мож "отечественные" деятели. Как вариант заявление в отдел "К" и заплатить, а полиция пущай платеж отслеживает.
http://zzizz.ru/tool-1cd/ вот вроде полезный релиз проверенный попробуйте скачать. Должен помочь, сам не помню где скачивал, пол года назад.
Схема такая
1) Во всех текущих базах находим наименование таблицы РеализацияТорваровИУслуг и списываем номера. Для разных баз они скорее всего будут разные.
2) Отыскиваем в каждом 1CD при помощи утилиты приведенной выше таблицу и смотрим дату последней записи.
3) Так устанавливаем дату архива и базу.
(7) И как они по вашему отследят эти платежи? даже если нанять супер детектива то увидите что ваши Bitcoin-ы дошли до какой нибудь китайской биржи, дадее обменялись на Monero coin - а далее все концы шифруются... и все.. Даже если запросят Киви платеж - то потом эти средства через комбайнеры переводятся на биткоины, этериумы - и так далее. Так что оплатив вымогателям средства, шансов отследить платежи - ноль. Люди до сих пор не могут концы найти со взломанных крипто-кошельков с тысячами биткоинов на счету.
Я же не зря упомянул про "отечественных" деятелей, они же понимают, что с биткоинами напряг и могут деньгами выкуп потребовать. А там все легко и просто, зависит только от адекватности СБ банков.
Я же не зря упомянул про "отечественных" деятелей, они же понимают, что с биткоинами напряг и могут деньгами выкуп потребовать. А там все легко и просто, зависит только от адекватности СБ банков.
даже если деньгами потребуют, то по факту вы перечислите через Киви какому нибудь авшорному криптовалютному брокеру - то далее ваши средства сконвертируются в крипту.. итп.
Ну и управление МВД по преступлениям в сфере компьютерной информации. Телефон 102.
Но сначала набросать подробно текст и описание проблемы отдельно на бумаге. Потому что, как правило слушать не захотят, если информация будет представлена сумбурно. И посоветуйтесь с руководителем, а то может он совсем не хочет все базы передавать в ведомство столь многофункциональное, что может посадить совсем не тех.
Ну и управление МВД по преступлениям в сфере компьютерной информации. Телефон 102.
Но сначала набросать подробно текст и описание проблемы отдельно на бумаге. Потому что, как правило слушать не захотят, если информация будет представлена сумбурно. И посоветуйтесь с руководителем, а то может он совсем не хочет все базы передавать в ведомство столь многофункциональное, что может посадить совсем не тех.
Главное переде тем как вызвать отдать сервер - необходимо забрать все копии с сервера, а то в вещ. доках техника может долго пролежать.
Это да, наверное единственная панацея. У нас филиал как-то шифровальщика поймал (привет корпоративному Нортону). Зашифровал все, до чего дотянулся. Два часа простоя, восстановление ночного бэкапа с ленты и банк работает в нормальном режиме.