|
Зашифровали типовую базу 1С Бух Базовая 2.0 | ☑ | ||
---|---|---|---|---|
0
NONstop
14.05.14
✎
11:10
|
"Вторглись" на сервак, сбрутили пароль походу.
Шифровальщик зашифровал пару папок, одна из которых была с базами 1С и архивами. Ну еще папку с доками, но там не очень критично. Из баз чудом выжило 2 базы, т.к. они были запущены и в файлы не могли вноситься изменения. С реди зашифрованных баз важная только одна - типовая Бух Базовая 2.0 последнего или предпоследнего релиза. База стала вида - "1Cv8.1CD.nalog@qq_com". Сможет кто-нить помочь в восстановлении ? Жду предложений. Спасибо ! |
|||
1
shuhard
14.05.14
✎
11:11
|
(0) если нет дешифратора от Каспера или Веба, то придётся башлять
|
|||
2
NONstop
14.05.14
✎
11:13
|
Есть только похожее, именно такого нет.
Башлять некому, т.к. никаких файликов с требованиями не оставлено... |
|||
3
Liova
14.05.14
✎
11:13
|
Тебе же здесь http://virusinfo.info/showthread.php?t=159528
уже всё ответили. |
|||
4
Godofsin
14.05.14
✎
11:14
|
(2) плати, хуле... за счет сисадмина
|
|||
5
Godofsin
14.05.14
✎
11:15
|
+(4) сам напиши на почту с вопросом: "какого куя?!"
|
|||
6
NONstop
14.05.14
✎
11:24
|
(3) А не надо подглядывать ;)
(4) Некому платить, говорю же... (5) Если только на эту [email protected], только мне кажется нет такой почты...но попробую. |
|||
7
NONstop
14.05.14
✎
11:26
|
(3) Вроде находил темы тут старые похожие, что могут помочь восстановить данные. Т.к. база типовая - как мне кажется это чуть облегчает задачу...
|
|||
8
vis_tmp
14.05.14
✎
11:28
|
(7) Никак не влияет...
|
|||
9
shuhard
14.05.14
✎
11:28
|
(7) бред
|
|||
10
timurhv
14.05.14
✎
11:30
|
(0) Восстановление системы включено? Если да - правой кнопкой по файлу 1CD - свойства - Предыдущие версии)
Мне так помогло клиенту восстановить зануленный файл. |
|||
11
NONstop
14.05.14
✎
11:30
|
(7) это было предположение и только...
|
|||
12
BuHu
14.05.14
✎
11:31
|
(2) должен быть файлик с картинкой , там реквизиты для связи должны быть
|
|||
13
NONstop
14.05.14
✎
11:36
|
на серваке Windows 2003.
Архивирование не включено ( Никаких картинок и текстовиков не смог найти. Такое впечатление, что шифратор не все успел защифровать, поэтому в конце работы, возможно, никакого файлика с требованиями и не создалось. |
|||
14
Godofsin
14.05.14
✎
11:37
|
(13) Спугнул его кто-то))) нас в 5 утра воскресенья шифровали. Зашифровали вообще все, даже бэкапы на сетевом хранилище
|
|||
15
Godofsin
14.05.14
✎
11:38
|
в автозагрузку текстовичек бросили с ценой и реквизитами оплаты. Заплатили. Прислал ключ дешифровки.
|
|||
16
BuHu
14.05.14
✎
11:40
|
(14) сетевое хранилище без пароля? О_о
(13) подождите может он еще работает |
|||
17
Godofsin
14.05.14
✎
11:41
|
(16) с паролем, ессесно
|
|||
18
BuHu
14.05.14
✎
11:42
|
(17) фигасе , такой умный вирус , что подобрал \ выдернул от куда то пароль?
|
|||
19
Godofsin
14.05.14
✎
11:44
|
(18) Да там мутная история. Изначально работал вирус, потом он походу лично наш сервер разобрал. Я как бэ далек от админских штучек, а наш админ не смог внятно объяснить как такое произошло.
|
|||
20
hhhh
14.05.14
✎
11:45
|
(18) он же файл зашифровал. Для этого пароль не нужен.
|
|||
21
Godofsin
14.05.14
✎
11:45
|
(20) Но доступ то к хранилищу по паролю. Хотя у нас там DHCP, проблем видимо не составило
|
|||
22
NONstop
14.05.14
✎
11:53
|
вот в событиях-Безопастность
нашел: Адрес сети источника: 176.ххх.ххх.ххх Порт источника: 1448 Я правильно понимаю - это айпишник того кто заходил ? |
|||
23
Godofsin
14.05.14
✎
11:54
|
(22) Так а событие то какое?
|
|||
24
NONstop
14.05.14
✎
11:56
|
Попытка входа с явным указанием учетных данных:
Вошедший пользователь: Пользователь: SERVER$ Домен: ХХХХХХХХХ Код входа: (0x0,0x3E7) Код GUID: - Были использованы учетные данные пользоваиеля: Целевой пользователь: ХХХХ Целевой домен: SERVER Целевой код GUID: - Имя целевого сервера: localhost Данные целевого сервера: localhost Код процесса вызывающего: 4060 Адрес сети источника: 176.ХХХ.ХХХ.ХХХ Порт источника: 1448 Дополнительные сведения можно найти в центре справки и поддержки, в "http://go.microsoft.com/fwlink/events.asp". |
|||
25
Godofsin
14.05.14
✎
11:57
|
(24) похоже
|
|||
26
NONstop
14.05.14
✎
11:58
|
Тип: Аудит успехов
Категория: Вход/выход |
|||
27
Patrio_
O_Muerte 14.05.14
✎
11:58
|
На в такой же ситуации ДрВеб помог.
Прислали нам дешифровщик, но мы недели две ждали пока они сделают. Бабки мы кстати отправляли, там 1500 р было требование, в отчет пришло письмо, но дешифратор был не тот. А вот админа вашего надо без вазелина. |
|||
28
NONstop
14.05.14
✎
11:59
|
ну тогда можно попробовать его найти )
Если не прокси использовали или впн... |
|||
29
NONstop
14.05.14
✎
12:00
|
да я два в одном, даже не два а много в одном )
Так что если только самому себя ))) (27) Можно поподробнее ? |
|||
30
Godofsin
14.05.14
✎
12:02
|
(28) да вряд ли вы его найдете... Если только он не дилетант и вы у него первые =)
|
|||
31
Borometr
14.05.14
✎
12:05
|
Был похожий случай, знакомые айтишники как-то расшифровали. Спрашивал - "Как?", в ответ хитро улыбались и молчали.
|
|||
32
hhhh
14.05.14
✎
12:10
|
у нас было такое, но сохранился бэкап трехдневной давности. В общем занесли вручную 3 дня и на этом успокоились.
|
|||
33
NONstop
14.05.14
✎
12:16
|
(32) т.к. бэкапы лежали рядом - они тоже все зашифрованы.
И как на зло никаких копий базы нет ни на флэшке ни дома. |
|||
34
hhhh
14.05.14
✎
12:26
|
(33) на другом компе вдруг оказался бекап.
|
|||
35
Patrio_
O_Muerte 14.05.14
✎
12:47
|
А что подробнее?
Стырили пароли, пробрались на сервак, зашифровали все файлы. Прислали яндекс кошель, куда бабки присылать. Бабки мы отослали, но получили совсем не то. Сообщили в ДрВеб, там две недели ломали эту ерундовину. В итоге мы запустили дешифровщик на серваке. Все файлы раскодировались. Мы перекрестились. |
|||
36
awa15
14.05.14
✎
13:39
|
(0) Предлагаю. 5000 руб, оплата только в случае успешного восстановления. Если интересует, напиши мне на почту (свою ты не указал). Восстановление базы возможно только если зашифрован не весь файл, а только начало, как часто делают шифровальщики-вымогатели.
|
|||
37
NONstop
14.05.14
✎
15:28
|
(36) Спасибо за предложение. Еще несколько вариантов попробую ,если результата не будет - обязательно обращусь.
|
Форум | Правила | Описание | Объявления | Секции | Поиск | Книга знаний | Вики-миста |