Нашу базу 1с зашифровали хакеры, есть ли шанс разблокировать?
Есть возможность как либо расшифровать наш архиф. Есть ли программы дешифраторы. Или сколько это стоит.
- Вопрос задан более трёх лет назад
- 2264 просмотра
2 комментария
Простой 2 комментария
часто люди пишут, что можно договориться с создателями вируса. и они могут снизить цену. и это выйдет дешевле, чем другие способы. даже статьи на хабре были по типу таких https://habrahabr.ru/post/256573/
Многие недо-вирусы даже сами не могут расшифровать то, что зашифровали, потому что криво написаны.
Решения вопроса 0
Ответы на вопрос 4
программист, архитектор, аналитик
Подобные темы периодически возникают на форумах пользователей Касперского, Др.Веба и Нода32 — сотрудники соответствующих антивирусов пытаются помочь решить такую проблему; на форумах уже лежат десятки средств, которые могут помочь в попытке дешифровки.
Как вариант, если вы так хотите заплатить, свяжитесь с вымогателями, которые зашифровали вам базу.
P.S. Добро пожаловать в сообщество людей, которые «УЖЕ делают бэкапы».
Ответ написан более трёх лет назад
Комментировать
Нравится 4 Комментировать
Системный администратор со стажем.
Нашу базу 1с зашифровали хакеры, есть ли шанс разблокировать?
Нет, расшифровать не имея ключа шифрования практически невозможно.
Вытаскивайте базу из бэкапа и работайте дальше — только так.
Ответ написан более трёх лет назад
Комментировать
Нравится 1 Комментировать
Внимание! Изменился адрес почты!
На такие вопросы есть злорадный и грустный (для Вас) но очень правильный ответ:
Все админы делятся на:
— тех, кто еще не делает бэкапы
— тех, кто уже их делает
— тех, кто уже их делает и периодически проверяет, как они восстанавливаются
Я конечно понимаю, что Вам не до шуток, но увы — думать надо было раньше.
World Wild Web.
Ответ написан более трёх лет назад
Комментировать
Нравится 1 Комментировать
Еда — это святое
Может быть и невозможным, если ключ шифрования рандомно сгенерировался в памяти компьютера и после шифрования был удалён. Либо если шифрование было произведено по ассиметричному публичному ключу, а приватный к нему отсутствует.
Ответ написан более трёх лет назад
Антон Кудаев @antonkudaevpro Автор вопроса
Не совсем понял но совсем маленькие куски базы разшифровали с помощью Касперского. А большие он не тенет. Я есть очень большие. Мы расшифровали через Касперского файлы до 100 мб, а 500 мб он не берет. А есть ещё 2 по 1.5 Гб файлов.
Антон Кудаев, ну тогда в техподдержку Касперского и обращайтесь
Антон Кудаев @antonkudaevpro Автор вопроса
SagePtr, не могут большие файлы раскрыть они
Ваш ответ на вопрос
Войдите, чтобы написать ответ
- 1С
- +1 ещё
Как в табличной части увеличивать число на 0.15 в строке или в форме элементов с наименованием 52 в справочнике?
- 1 подписчик
- 18 часов назад
- 11 просмотров
Помогите! Вирус зашифровал базы
Добрый вечер! Помогите советом, по неосторожности открыл электронное письмо с счетом заказчика, которое в итоге оказалось подделкой и теперь все файлы включая базы 1С зашифрованы в формате Widows10. Антивирус Нод32 даже не пискнул, на рабочем столе поменялись обои — появилось предупреждение что файлы зашифрованы и надо платить выкуп за расшифровку. Пробовал разные антивирусы Др.Веб и Касперский — ничего не помогло и не нашло, также вручную менял расширение — тоже не помогло. На этом сайте нашел программу ShadowExplorer которая каким-то непостижимым образом помогла вернуть часть файлов ( в основоном фотографии и музыку), но вот базы 1С остались зашифрованы. Подскажите, что мне делать? Есть ли способ вернуть файлы за бесплатно? Так как я уже успел связаться с злоумишлениками и они за расшифровку просят 900 уе, а это 3 зарплаты. и то не факт что не кинут#wall#
Симпа Светоч Мысли
Повідомлень: 1430 З нами з: 04 січня 2012, 03:21 Дякував (ла): 1946 разів Подякували: 560 разів
Повідомлення Симпа » 22 липня 2016, 09:02
АлексейС писав: Добрый вечер! Помогите советом, по неосторожности открыл электронное письмо с счетом заказчика, которое в итоге оказалось подделкой и теперь все файлы включая базы 1С зашифрованы в формате Widows10. Антивирус Нод32 даже не пискнул, на рабочем столе поменялись обои — появилось предупреждение что файлы зашифрованы и надо платить выкуп за расшифровку. Пробовал разные антивирусы Др.Веб и Касперский — ничего не помогло и не нашло, также вручную менял расширение — тоже не помогло. На этом сайте нашел программу ShadowExplorer которая каким-то непостижимым образом помогла вернуть часть файлов ( в основоном фотографии и музыку), но вот базы 1С остались зашифрованы. Подскажите, что мне делать? Есть ли способ вернуть файлы за бесплатно? Так как я уже успел связаться с злоумишлениками и они за расшифровку просят 900 уе, а это 3 зарплаты. и то не факт что не кинут#wall#
Нам ничего не помогло,платили
Tatyana777 Гений
Повідомлень: 464 З нами з: 26 лютого 2012, 01:12 Дякував (ла): 324 рази Подякували: 148 разів
Повідомлення Tatyana777 » 22 липня 2016, 09:04
У меня та же проблема. Я уже поплатилась за свою доверчивость.#cray# Открыла в почте письмо, которое якобы предупреждало, что в моей отчетности обнаружена ошибка и надо отправить отчет снова. И всё капец. Все прогаммы полетели. Хорошо я каким-то чудом сохранила базу 1С на флешку. Наш программист сказал, что это новый вирус, причем направленный на бухгалтеров. Будьте осторожны. Не открывайте не знакомые письма в почте и сделайте копии всех важных баз на флешки.
Wasdik Высший разум
Повідомлень: 660 З нами з: 03 грудня 2013, 20:36 Дякував (ла): 50 разів Подякували: 240 разів
Повідомлення Wasdik » 22 липня 2016, 09:07
АлексейС писав: Добрый вечер! Помогите советом, по неосторожности открыл электронное письмо с счетом заказчика, которое в итоге оказалось подделкой и теперь все файлы включая базы 1С зашифрованы в формате Widows10. Антивирус Нод32 даже не пискнул, на рабочем столе поменялись обои — появилось предупреждение что файлы зашифрованы и надо платить выкуп за расшифровку. Пробовал разные антивирусы Др.Веб и Касперский — ничего не помогло и не нашло, также вручную менял расширение — тоже не помогло. На этом сайте нашел программу ShadowExplorer которая каким-то непостижимым образом помогла вернуть часть файлов ( в основоном фотографии и музыку), но вот базы 1С остались зашифрованы. Подскажите, что мне делать? Есть ли способ вернуть файлы за бесплатно? Так как я уже успел связаться с злоумишлениками и они за расшифровку просят 900 уе, а это 3 зарплаты. и то не факт что не кинут#wall#
Расшифровать редко удаётся, злоумышленники совершенствуют алгоритмы шифрования. Для некоторых шифровальщиков антивирусные фирмы вылаживают программы для расшифровки, но большую часть пока расшифровать не удаётся. По поводу кинут: в случае не с 1С — обычно кидают. Здесь наверное тоже кинут. Врядли они дадут какие-то гарантии.
Как можно чаще нужно делать копии баз, чтобы сократить количество потерянной информации. И по возможности размещать базы на серверах, где за ними присматривают специалисты, которые настроят и автоматическое создание копий, и вопросу безопасности и доступа уделят достаточно внимания.
Кому нужен сервер или место на сервере с круглосуточным доступом и набором бухгалтерских программ (1С, Медок, Соната) — пишите в личку.
Shim Гений
Повідомлень: 356 З нами з: 17 лютого 2016, 17:35 Дякував (ла): 76 разів Подякували: 111 разів
Повідомлення Shim » 22 липня 2016, 09:22
Была такая рассылка от наших партнеров:
Уважаемые клиенты, пользователи 1С!
Внимание! Опасно!
Появился новый опасный вирус-шифровальщик, который распространяется через электронные письма среди пользователей 1С. Будьте бдительны и не запускайте внешние обработки из неизвестных Вам писем. Антивирусная компания «Доктор Веб» сообщила о том, что выявлен опасный вирус для 1С:Предприятия – троянец, запускающий шифровальщика-вымогателя, который распространяется через электронные письма.
Даже если письмо с внешней обработкой пришло к вам от обслуживающего вас партнера 1С или другого хорошо вам знакомого контрагента – сначала свяжитесь с ним, проверьте, что он действительно направлял вам такую обработку, выясните, какие функции она выполняет до того, как ее запустить.
Троянец 1C.Drop.1, исследованный специалистами компании «Доктор Веб», самостоятельно распространяется по электронной почте среди зарегистрированных в базе контрагентов, заражает компьютеры с установленными бухгалтерскими приложениями 1С и запускает на них опасного троянца-шифровальщика. Вредоносные программы, при создании которых вирусописатели использовали какую-либо новую технологию или редкий язык программирования, появляются нечасто, и это – тот самый случай.
1C.Drop.1 сохраняет на диск и запускает троянца-шифровальщика Trojan.Encoder.567. Он шифрует хранящиеся на дисках зараженного компьютера файлы и требует выкуп за их расшифровку. К сожалению, в настоящее время специалисты компании «Доктор Веб» не располагают инструментарием для расшифровки файлов, поврежденных этой версией Trojan.Encoder.567, поэтому пользователям следует проявлять особую бдительность и не открывать полученные по электронной почте файлы в приложении «1С:Предприятие», даже если в качестве адреса отправителя значится адрес одного из известных получателю контрагентов.
Что значит: «. самостоятельно распространяется по электронной почте среди зарегистрированных в базе контрагентов«? Мы можем получить такой «подарочек» если наш эл.адрес есть в списке контрагентов наших бизнес-партнеров, запустивших себе такого «трояна»?
Зашифровали базу 1с что делать
У клиента такая вот хрень зашифровала все базы. Я файл бегло глянул — в начале до адреса 0x40000 сплошные нули, а далее типа такого:
,
,
>
Т.е. файл где-то целенький.
Собственно вопрос, можно ли выцарапать данные из такого вот файла?
Это база ЗУП-а,
другая, бухгалтерская с вот таким содержимым с того же адреса:
(0) архивов нема ?
И..там врят ли тока заголовок, нынче модно мусор и в середину/конец пихать
(2) Угуг, нема. Точнее архивы делались, но только в соседнюю папочку. А потому — они тоже превратились в тыкву. 🙁
Если типовая, то hex редактором тупо вырежи кусок из демо-базы и вставь, потом через toolcd пробовать распаковать
(5) Что-то я поискал это самое «toolcd» у себя и не нашел 🙁 Можешь прислать, пожалуйста, на мыло в личке?
(5) не пройдет, две одинаковые базы будут иметь кучу различий в области начала
(0) >>> в начале до адреса 0x40000 сплошные нули
это точно НЕ шифрование, когда шифруют то там не нули.
это или кто-то пытался востановление с диска файла делать или преднамеренно ЗАТЕРЛИ часть базы, если копии нет — пиши пропало.
(0) В свойствах файла «1Cv8.1CD» случайно предыдущей версии нет? Если есть — то скопировать папки с базами на внешний носитель и восстановить.
(8) файла «1Cv8.1CD» — самого уже нет, вместо него «1Cv8.1CD.id-_____.[openpgp@foxmail.com].pgp»
Обратись к местному расшифровщику. У него недавно платная тема была. Заодно отпишешься о результате
(0) Это не зашифровали, это испортили
(0) Попробуй обратиться сюда https://market-gg.ru/
(13) Спасибо, конечно, но это не «герои моего романа». Просто баз будет несколько, и если с ними разобраться и нащупать методику восстановления, то значит все их можно будет поднять. Если же нет, то, возможно, выгоднее будет заплатить хацкерам, чтобы тогда расшифровать все, вместе с прочими, довольно важными документами. А через товарищей — только базы вернуть, это хоть и нужно, но не столь выгодно.
Собственно говоря, руководство сейчас склоняется к варианту — посадить кучку бухов и забивать все данные заново.
З.Ы. Делайте бэкапы!
(14) Есть маленький ньюнс, Делайте бэкапы в недоступном для шифровальщика месте, накрайняк в папку винды с расширением dll ))))
(15) В 3 местах: на локальном диске (если сломалась база и надо быстро восстановить), на другом сервере без доступа извне в этом здании (для защиты от вирусов), в другом здании (на случай пожара и потопа).
(16) » на другом сервере без доступа извне в этом здании» и как это сделать если бэкап формируется на родной машине? бэкап сформировался на родной машине, тут его злой вирус пожрал и пожранное закинули как нормальный бэкап на другой сервер?
(17) Будет хотя бы вчерашний бэкап.
(16) + В другой стране на случай революции, запрета интернета и т.п.
(18) Злоп плохо понимает понятие стек бекапов, и если файл пожрал вирус, бекапер его не заберет, потому что надо настраивать маску забираемого бекапа и не все подряд тянуть
(17) Ну для начала, правильный бэкапсофт, пока не отправит файл его не отпустит, соответственно и вирус ничего сделать не сможет.
(17) я делаю просто. есть линуксовый сервачок, на который бэкапится в конкретную папку архивы. Ежедневно по крону архив копируется в папку с конкретной датой, и ставится read-only на эту папку. Никакой шифровальшик, не зная пароля рута, ничего оттуда удалить, или записать туда не может. Папка доступна, но только на чтение.
(22) Ага, у меня примерно также: https://i.imgur.com/idc0Mx5.png
(20) Злоп нормально понимает стек бэкапов и в отличие от некоторых оптимистов рассматривает пессимистические сценарии когда зловреды тупо даже файл не переименуют. потому что зловреды.
(21) если бы все у всех было зашибись то и проблем бы не было.
Вот у меня бэкапы на 2-х машинах.
Одна локально, рядом с базой, второй на другой машине на другом этаже, копируется по локалке. Копирование только в одну сторону, без удаления. Маску спасибо подсказали, сделал только .bak. Теперь если вирус к примеру сделает «17062020.bak-_____.[openpgp@foxmail.com].pgp», то файл просто не пройдет.
Вопрос к знающим людям. Шифровальщик же только шифрует файлы на текущем компе или еще шифрует всё в сетевых папках?
(26) к чему доступ будет
(26) Бывает и сетевые шпарит только в путь. У нас копирование без расширения, но по маске. Любое расширение не пройдет.
(26) По линкам не ходит, пока по крайней мере не встречал, а вот если будет подключен сетевой диск как диск, то и там все за шифруется
А чё в облако никто не льет? )
(30) У меня сжатый архив основной базы 10 Гб. Никаких облаков не хватит. 2Тб уже архивами забил
(26) по сетевым папкам ходит. Надо 2 раза бекапы копировать, сначала на другой комп, а потом на этом компе еще и в несетевую папку.
(31) это стоит копейки, если уж пару тыщ в год это много, то в чем ценность ваших данных?
(31) Зачем тебе 200 бэкапов?
(34) у него наверно не одна база. А так вообще-то если оставлять один архив, то за 10 лет накапливается 120 архивов. Ну и в текущем году нужно явно больше архивов, чем один в месяц. В последний месяц желательно ежедневные хранить — это еще 30 архивов.
Правильная защита от шифрования — это клиент-сервер, когда доступ к базе блокирован СУБД.
(36) А потом появляется хитрый шифровальщик, который стопит службу и.
(37) Я не стал это писать 🙂 Кстати, сейчас они так умеют? Ну и права админа шифровальщику надо получить, а они часто без этих прав гадят.
+(37) Да и шифровальщик тогда будет вычислен мгновенно, при отвале СУБД.
(38) да лично столкнулся в прошлом году умеют стопить SQL MS на 100%
(39) тут речь не о базах, а о бэкапах. Базы-то легко защитить. Даже файловые. Просто оставлять пользователей в базе круглосуточно и всё.
(39) Выберет время, посмотрит пользователей. )))
Докладуваю последние новости с фронтов.
Руководство конторы решило, все же, заплатить. После этого прислали какую-то софтину, которая пробежалась по дискам и собрала ключи, с помощью которых происходила шифровка. Примерно 30-40 штук разных ключей нашлось. Эти ключи скинули хацкерам, те запросили еще платеж. И в письме прислали список e-mail с которыми они, типа, работали. Смогли найти из них несколько контор в России, связаться с ними и уточнить, на сколько можно доверять и не «кидают» ли. И хотя учредители были против, их все же убедили и вторая сумма тоже ушла. После этого почти через сутки прислали длинную портянку с ключами для дешифровки. Ее скормили той же самой софтине, которая собирала инфу и за пару часов все расшифровало. Около 300 тыс. файлов.
Отсель советы: Делайте бэкапы. Не выводите сервер с паролем «123» в свободное подключение по РДП из интернета. Меняйте имена пользователей на более сложное, чем просто «Администратор», «Admin» или, в данном случае, «marina».
А конкретно на счет данного вида шифровщиков и общения с вымогателями:
1) Можно готовить систему для расшифровки, в которой сложить только самые необходимые файлы. Старинные бэкапы — можно выкинуть. Быстрее будет.
2) Если зашифровано несколько компов, то можно все самое ценное и зашифрованное с них собрать на одной машине для дешифровки. Чтобы софтина для них для всех вынула ключи. Иначе придется несколько раз платить.
3) По той же причине — не надо прятать от коллектора ключей(она же утилита для дешифровки) какие-либо из файлов. Иначе ключ может не попасть в список утилиты — и значит вам от этих файлов могут не прислать дешифровальный ключ. И потому придется платить снова.
4) На сколько меня просветили на счет внутренней кухни всего этого — общается с пострадавшими посредник, и потому платеж идет в два захода, первую сумму получает хацкер, вторую — сам посредник. Поэтому сейчас, чаще всего, нужно быть готовым ко второму платежу.
А потому — повторюсь снова и снова — делайте бэкапы в недоступное для шифровальщиков место.
(43) Фу! Покормили козлов!
(43) указанную сумму надо вычесть из личных ЗП ответственных.
(44) Ценник — забить все вручную заново, был раза в 2 больше. Но над таким способом выхода из ситуации тоже серьезно раздумывали. В итоге приняли вот такое вот решение.
(43) Такие как ВЫ и позволяют им жить и дальше развиваться.
Соблюдайте социальную дистанцию, носите маски и делайте бэкапы.
А вот распространять вирус и способствовать его развитию, не следует!
Восстановление базы 1С на MSSQL после шифровальщика
Попали на шифровальщика, который зашифровал SQL баз и бэкапы.
Удалось восстановить две поврежденные базы (одна типовая Бух 3, вторая — Альфа-Авто 5 с доработками в структуре и расширениями), Базы подключились к SQL, но при подключении к серверу 1С возникает ошибка «Ошибка считывания вторичной информации». После ошибки базы подключаются, при попытке доступа через конфигуратор и и предприятие возникает та же ошибка. Рецепты, найденные в интернет не помогли.
Если пути восстановления работоспособности?
- Дата
- Дата
- Рейтинг всех уровней
- Рейтинг 1-го уровня
- Древо развёрнутое
- Древо свернутое
Свернуть все
7. lefthander 08.02.24 15:55 Сейчас в теме
который зашифровал SQL баз и бэкапы.
А они что на одном диске хранятся? 😉
8. bananoed 18 08.02.24 18:04 Сейчас в теме
(7) Заражены все сервера
10. XAKEP 08.02.24 18:11 Сейчас в теме
(8)
вы забыли про офлайн бекап и сейф начальника
2. novohatko 08.02.24 06:45 Сейчас в теме
Это скорее всего «Картинки и файлы»
3. laperuz 46 08.02.24 07:41 Сейчас в теме
Попробуйте начать с восстановления таблицы config.
Загрузить в чистую базу cf того же релиза БП, что был у вас, средствами скуля скопировать таблицу в вашу базу.
С Альфой нужно бы сделать то же самое, но если она была нетиповая — нужен cf.
4. Bukaska 140 08.02.24 09:32 Сейчас в теме
Откуда вы его взяли? С какого нить письма типа от налоговой инспекции? Неужели еще такие есть?
lefthander; + 1 – Ответить
6. XAKEP 08.02.24 13:10 Сейчас в теме
(4)
не обязательно, например пароли доступа на рабочем столе
отсутствие мониторинга доступа и авторизации.
ну и классика — простой пароль и работа с админ правами через рдп
14. chg 09.02.24 04:21 Сейчас в теме
(6)классика, генеральный и другие с ним не могут сложнее 12345
15. XAKEP 09.02.24 12:22 Сейчас в теме
(14)
как же они еще не «залетели на бабки» 🙂 ?
5. XAKEP 08.02.24 13:08 Сейчас в теме
вы через скл студию посмотрите,
какие реальные данные там есть
9. bananoed 18 08.02.24 18:08 Сейчас в теме
Всем спасибо за участие.
Обнаружены целые бэкапы трехдневной давности. Сервера будут переформатированы, софт переустановлен, а недостающая информация будет восстановлена по бумажным копиям документов.
Bukaska; XAKEP; + 2 – Ответить
11. XAKEP 08.02.24 18:12 Сейчас в теме
(9)
возьмите под контроль права доступа,
пароли
их периодическую проверку и изменение
12. Bukaska 140 08.02.24 20:40 Сейчас в теме
Пароли конечно лучше в открытом доступе не оставлять
13. bananoed 18 08.02.24 23:26 Сейчас в теме
Для информации. Зашифровано начало файла. Проанализировал одним глазом восстановленную базу и базу найденного бэкапа — разница около120 таблиц, меньше в восстановленной базе. Каких — не стал выяснять. Основные таблицы описания конфигурации целы.
По безопасности админы озаботились, однако.