Имя: Пароль:
1C
1С v8
 Зашифровали типовую базу 1С Бух Базовая 2.0
, , , , ,
0 NONstop
 
14.05.14
11:10
"Вторглись" на сервак, сбрутили пароль походу.
Шифровальщик зашифровал пару папок, одна из которых была с базами 1С и архивами. Ну еще папку с доками, но там не очень критично.
Из баз чудом выжило 2 базы, т.к. они были запущены и в файлы не могли вноситься изменения. С реди зашифрованных баз важная только одна - типовая Бух Базовая 2.0 последнего или предпоследнего релиза.
База стала вида - "1Cv8.1CD.nalog@qq_com".
Сможет кто-нить помочь в восстановлении ?
Жду предложений. Спасибо !
1 shuhard
 
14.05.14
11:11
(0) если нет дешифратора от Каспера или Веба, то придётся башлять
2 NONstop
 
14.05.14
11:13
Есть только похожее, именно такого нет.
Башлять некому, т.к. никаких файликов с требованиями не оставлено...
3 Liova
 
14.05.14
11:13
Тебе же здесь http://virusinfo.info/showthread.php?t=159528
уже всё ответили.
4 Godofsin
 
14.05.14
11:14
(2) плати, хуле... за счет сисадмина
5 Godofsin
 
14.05.14
11:15
+(4) сам напиши на почту с вопросом: "какого куя?!"
6 NONstop
 
14.05.14
11:24
(3) А не надо подглядывать ;)
(4) Некому платить, говорю же...
(5) Если только на эту [email protected], только мне кажется нет такой почты...но попробую.
7 NONstop
 
14.05.14
11:26
(3) Вроде находил темы тут старые похожие, что могут помочь восстановить данные. Т.к. база типовая - как мне кажется это чуть облегчает задачу...
8 vis_tmp
 
14.05.14
11:28
(7) Никак не влияет...
9 shuhard
 
14.05.14
11:28
(7) бред
10 timurhv
 
14.05.14
11:30
(0) Восстановление системы включено? Если да - правой кнопкой по файлу 1CD - свойства - Предыдущие версии)
Мне так помогло клиенту восстановить зануленный файл.
11 NONstop
 
14.05.14
11:30
(7) это было предположение и только...
12 BuHu
 
14.05.14
11:31
(2) должен быть файлик с картинкой , там реквизиты для связи должны быть
13 NONstop
 
14.05.14
11:36
на серваке Windows 2003.
Архивирование не включено (
Никаких картинок и текстовиков не смог найти.
Такое впечатление, что шифратор не все успел защифровать, поэтому в конце работы, возможно, никакого файлика с требованиями и не создалось.
14 Godofsin
 
14.05.14
11:37
(13) Спугнул его кто-то))) нас в 5 утра воскресенья шифровали. Зашифровали вообще все, даже бэкапы на сетевом хранилище
15 Godofsin
 
14.05.14
11:38
в автозагрузку текстовичек бросили с ценой и реквизитами оплаты. Заплатили. Прислал ключ дешифровки.
16 BuHu
 
14.05.14
11:40
(14) сетевое хранилище без пароля? О_о
(13) подождите может он еще работает
17 Godofsin
 
14.05.14
11:41
(16) с паролем, ессесно
18 BuHu
 
14.05.14
11:42
(17) фигасе , такой умный вирус , что подобрал \ выдернул от куда то пароль?
19 Godofsin
 
14.05.14
11:44
(18) Да там мутная история. Изначально работал вирус, потом он походу лично наш сервер разобрал. Я как бэ далек от админских штучек, а наш админ не смог внятно объяснить как такое произошло.
20 hhhh
 
14.05.14
11:45
(18) он же файл зашифровал. Для этого пароль не нужен.
21 Godofsin
 
14.05.14
11:45
(20) Но доступ то к хранилищу по паролю. Хотя у нас там DHCP, проблем видимо не составило
22 NONstop
 
14.05.14
11:53
вот в событиях-Безопастность
нашел:
Адрес сети источника: 176.ххх.ххх.ххх
Порт источника:    1448

Я правильно понимаю - это айпишник того кто заходил ?
23 Godofsin
 
14.05.14
11:54
(22) Так а событие то какое?
24 NONstop
 
14.05.14
11:56
Попытка входа с явным указанием учетных данных:
Вошедший пользователь:
    Пользователь:    SERVER$
    Домен:        ХХХХХХХХХ
    Код входа:        (0x0,0x3E7)
    Код GUID:    -
Были использованы учетные данные пользоваиеля:
    Целевой пользователь:    ХХХХ
    Целевой домен:    SERVER
    Целевой код GUID: -

Имя целевого сервера:    localhost
Данные целевого сервера:    localhost
Код процесса вызывающего:    4060
Адрес сети источника:    176.ХХХ.ХХХ.ХХХ
Порт источника:    1448


Дополнительные сведения можно найти в центре справки и поддержки, в "http://go.microsoft.com/fwlink/events.asp";.
25 Godofsin
 
14.05.14
11:57
(24) похоже
26 NONstop
 
14.05.14
11:58
Тип: Аудит успехов
Категория: Вход/выход
27 Patrio_
O_Muerte
 
14.05.14
11:58
На в такой же ситуации  ДрВеб помог.
Прислали нам дешифровщик, но мы недели две ждали пока они сделают.
Бабки мы кстати отправляли, там 1500 р было требование, в отчет пришло письмо, но дешифратор был не тот.
А вот админа вашего надо без вазелина.
28 NONstop
 
14.05.14
11:59
ну тогда можно попробовать его найти )
Если не прокси использовали или впн...
29 NONstop
 
14.05.14
12:00
да я два в одном, даже не два а много в одном )
Так что если только самому себя )))
(27) Можно поподробнее ?
30 Godofsin
 
14.05.14
12:02
(28) да вряд ли вы его найдете... Если только он не дилетант и вы у него первые =)
31 Borometr
 
14.05.14
12:05
Был похожий случай, знакомые айтишники как-то расшифровали. Спрашивал - "Как?", в ответ хитро улыбались и молчали.
32 hhhh
 
14.05.14
12:10
у нас было такое, но сохранился бэкап трехдневной давности. В общем занесли вручную 3 дня и на этом успокоились.
33 NONstop
 
14.05.14
12:16
(32) т.к. бэкапы лежали рядом - они тоже все зашифрованы.
И как на зло никаких копий базы нет ни на флэшке ни дома.
34 hhhh
 
14.05.14
12:26
(33) на другом компе вдруг оказался бекап.
35 Patrio_
O_Muerte
 
14.05.14
12:47
А что подробнее?
Стырили пароли, пробрались на сервак, зашифровали все файлы.
Прислали яндекс кошель, куда бабки присылать.
Бабки мы отослали, но получили совсем не то.
Сообщили в ДрВеб, там две недели ломали эту ерундовину. В итоге мы запустили дешифровщик на серваке. Все файлы раскодировались. Мы перекрестились.
36 awa15
 
14.05.14
13:39
(0) Предлагаю. 5000 руб, оплата только в случае успешного восстановления. Если интересует, напиши мне на почту (свою ты не указал). Восстановление базы возможно только если зашифрован не весь файл, а только начало, как часто делают шифровальщики-вымогатели.
37 NONstop
 
14.05.14
15:28
(36) Спасибо за предложение. Еще несколько вариантов попробую ,если результата не будет - обязательно обращусь.