|
1С. Файл 1Cv8.1CD.ARRESTED | ||
|---|---|---|---|
|
0
Evgen54
02.07.13
✎
08:31
|
Взломали сервак на предприятии. Фал БД терперь имеет вид 1Cv8.1CD.ARRESTED при открытии пошет что файл не является файлом БД. Какие есть мысли по данному поводу. Основная БД бекапилась восстановил, а вторая не бекапилась т.к. редко к ней обращались она как архивная была. Последний архив мартовский и как назло очень много работали в мае на этой базе. Помогите кто сталкивался пж.
|
||
|
1
1Сергей
02.07.13
✎
08:32
|
теперь будете делать архивы чаще
|
||
|
2
Evgen54
02.07.13
✎
08:33
|
ну а по существу?
|
||
|
3
SanGvin
02.07.13
✎
08:33
|
(0) да чем тут поможешь... бекапить надо было.
|
||
|
4
Волшебник
02.07.13
✎
08:33
|
(2) Надо было бэкапить вторую базу
|
||
|
5
shuhard_серый
02.07.13
✎
08:33
|
(0) поскольку 1С здесь не при чем, ищи ответ на антивирусных сайтах или плати
|
||
|
6
1Сукпун
02.07.13
✎
08:34
|
так посмотри что в этом файле 1Cv8.1CD.ARRESTED и каков его размер , скорее всего он действительно не является базой данных и его просто переписали .
|
||
|
7
Evgen54
02.07.13
✎
08:35
|
Посмотрел уже. Заголовок файла похерен.
|
||
|
8
Evgen54
02.07.13
✎
08:36
|
объем не изменен.
|
||
|
9
Ёпрст
02.07.13
✎
08:39
|
|||
|
10
shuhard_серый
02.07.13
✎
08:41
|
(7) ещё раз - это вирус, хакеры тут не при чём,
путей два - декодировать или платить |
||
|
11
Smallrat
02.07.13
✎
08:43
|
вопрос вот: "взломали сервер" - как, чем ?
|
||
|
12
Ёпрст
02.07.13
✎
08:44
|
(11) письмо с вложением и привет.
|
||
|
13
shuhard_серый
02.07.13
✎
08:48
|
(11) это фантазии ТС-а, вирус-шифровальщик:
http://virusinfo.info/showthread.php?t=141301 |
||
|
14
Kashey
02.07.13
✎
08:51
|
Вот ещё с вирусинфо:
Шифрование происходит следующим образом: 1) на компьютер пользователя попадает бэкдор, который открывает удаленный доступ к компьютеру через RDP 2) злоумышленник в удобное для него время заходит на компьютер, вручную запускает шифрование с произвольным ключом Вывод: расшифровать файлы, не зная ключ, НЕВОЗМОЖНО. |
||
|
15
shuhard_серый
02.07.13
✎
08:53
|
(14) +1
т.е. ни какого "взлома" нет, есть беспечные админы не использующие VPN и не ограничивающие RDP брандмауэрами |
||
|
16
Lionee
02.07.13
✎
09:22
|
(15) а они тут и не причем админы
|
||
|
17
Kashey
02.07.13
✎
09:27
|
(16) Если (11) прав, то админы причём. Позволять на серваке почту читать и тем более открывать вложения - плохая идея.
|
||
|
18
Kashey
02.07.13
✎
09:28
|
*Если (12) прав...
|
||
|
19
YF
02.07.13
✎
09:28
|
(14) Типа злоумышленник вручную, т.е. сам, а не каккая-то вирусная программа заходит и шифрует? Прикольно
|
||
|
20
Lionee
02.07.13
✎
09:30
|
(17) почта на серваке 1С ком , нонсенс, это не есть айс, у каждого юзверга на своей тачке должно быть почтовик, похерелась машина юзверга не беда.
|
||
|
21
Kashey
02.07.13
✎
09:36
|
(20) Если не ошибаюсь в (9) как раз такой подход к почте
|
||
|
22
Lionee
02.07.13
✎
09:38
|
ну бэкапы наше все, надеюсь у него есть образ системы и бэкап базы, делов на пол часа
|
||
|
23
Evgen54
02.07.13
✎
09:41
|
да бекапы все есть все восстановил за 5 минут. Вот ттока 1 файлик не бекапился.
|
||
|
24
Lionee
02.07.13
✎
09:43
|
(23) ищи в удаленных или в темпах его , просто так исчезнуть исходник не мог
|
||
|
25
Evgen54
02.07.13
✎
09:45
|
кстати на всякий случай для информации все бекапы которыые DT тоже были зашифрованы. Повезло что я хранил бекапы в RAR архиве они остались нетронуты ну и соответственно бекап сервера стандартный.
|
||
|
26
Ёпрст
02.07.13
✎
10:08
|
(25) почту на этом серваке смотрютъ?
|
||
|
27
Lionee
02.07.13
✎
10:13
|
(26) видимо да
|
||
|
28
adminsznro
02.07.13
✎
23:28
|
Сообщите, зловред просматривали через веб-почту, или по почтовым протоколам? Если второе, то через какие почтовые клиенты?
|
||
|
29
DrLekter
03.07.13
✎
01:43
|
Поздравляю, блин! Сам только что получил ключ от супостатов ))
(я не админ, если чо, а тупой и жадный 1Сник ;) Просто у потерпевших никого больше под рукой не оказалось) Вернуть файлы без денег реально только если поймать процесс шифрования в работе, когда на машине есть еще он сам и сгенеренные им ключи. После завершения он самоликвидируется. Почему и запускают его враги глубокой ночью или в выходные, когда все спят или бухают, и некому обратить внимание на внезапную активность. После удаления ключ для расшифровки остается только у автора атаки. Спасут бэкапы или готовность заплатить за ключ. В отличие от простейших XOR-методик последнее время "шифровальщики" используют принципиально неломаемые алгоритмы типа BLOWFISH и непредказуемым образом: может шифроваться только часть файла, например (для скорости), файлы могут шифроваться поблочно и т.д. Я целую ночь потратил на изучение вопроса, а ответ все равно был озвучен Касперским (официально): если данные дороги - придется платить :( |
||
|
30
1Сергей
03.07.13
✎
11:50
|
(29) Ну, получил ты ключ. Дешифровать чем будешь?
|
||
|
31
Жирафка
03.07.13
✎
11:55
|
вот одного не пойму, как, что спросишь здесь, так все неипать какие умные, а как дело доходить до (0) так лохи полные.
Хоть кто-нибудь писал заявление в полицию? |
||
|
32
vde69
03.07.13
✎
11:58
|
интересно почему нельзя написать заявление в полицию, заплатить и пусть они ловят на обналичке. отследить известный платеж внутри страны - реально, не думаю что там морочатся с выводом в афшеры...
|
||
|
33
Ranger_83
03.07.13
✎
11:59
|
(32) не будут они ловить,какой им от этого профит?
|
||
|
34
1Сергей
03.07.13
✎
11:59
|
(31) если ты думаешь, что в полиции сидят "неипать какие умные", то полный лох это ты :)
Ну, это шутка. А вообще, в интернетах пишут, что обращались. Ни одного хацкера не поймали |
||
|
35
vde69
03.07.13
✎
12:00
|
(33) профит - это их обязанаость, они за это бабло получают.
а если им пофиг на обязаности - так уволят, сейчас с этим строго.... пяток обращений без реакциии - и точно будут проблеммы у начальства. |
||
|
36
Жирафка
03.07.13
✎
12:02
|
(34) когда им надо они преступника по чайнику отследят.
|
||
|
37
1Сергей
03.07.13
✎
12:02
|
(35) думаешь никто к ним не обратился? или думаешь хотя бы одного поймали?
|
| Форум | Правила | Описание | Объявления | Секции | Поиск | Книга знаний | Вики-миста |
|