Сегодня в 5 утра произошла такая беда.
Теперь имена файлов БД имеют следующий вид 1SACCSEL.DBF.id-{VEOQGICFZBOUIOMSGFLJXDCIVBAGTZYESYWC-15.02.2015 5@07@416114300}[email protected]

Можно-ли с этим что-то поделать сейчас? И как обезопаситься в будущем?

выслать деньги вымогатели с копией в полицию.
На будущее - уволить с волчьим билетом и репарациями за ущерб текущих "админов" и нанять нормальных

(0) Бэкап восстановить. Нет бэкапа - ССЗБ.

(1)а как с вымогателями связаться? по почте [email protected]
???
антивируса не было на сервере, так как денег не давали. или дело не в антивирусе?

(2)бэкап также выглядит. его в облако нужно было отправлять?

(3) Бэкап надо было не хранить рядом с базой. Значит только (1).

(4)а где его хранить? в облаке? ведь сетевые ресурсы вирус также может поразить, раз в них бэкап пишется. Или нужно писать бэкап не с сервера, для чего открывать серверу сетевой ресурс, а чтобы ПК бэкапов забирал себе бэкап из сетевого ресурса сервера? Тогда зараженный сервер не получит доступ к сетевому ресурсу бэкапов?

какого хрена в 5 утра почту открывать?

что за письмо было в 5 утра? энларджюпенис?

(6)это не почта, открыт порт 1194 для OpenVPN, могли через него залезть?

(8) нет. ты виноват, ты запустил шифровальщик.

(5) Ну теперь найдёте, как сделать :)
У моих клиентов так начудили, но там база клиент-серверная, и бэкапы лежат на втором сервере(который не 1С), зашифровалась только шара, где документы общие лежали, т.к. была открыта на запись.

С бэкапами лучше сделать так - сделать шару только на чтение, в неё складывать бэкапы, из шары заданием забирать на вторую машину. И там складывать уже вне доступа левого софта вообще.

(9)в смысле? в 5 утра??? я спал.

И на антивирус потратиться, блин.

Если есть место в облаке - можно и в облако.

(7) текст письма дословно - "отмечаем перемирие. Подпись - Петька и Мишка"

а вот это не поможет?

http://forum.drweb.com/index.php?showtopic=317016

"Шифрует он не весь файл - а первые 255 байт. Поэтому декриптор можно написать - в dbf там как раз заголовки со структурой."

каким ПО можно отредактировать зашифрованную часть файла dbf?

backup

(15) HEX-редактором.

Копии, надеюсь, догадаешься сделать.
И шифровальщиков много разных, может и не помочь.

а если в "отдел К" обратиться? ведь он-же с какого-то мыла пишет? его вычислить нельзя?

(19) Может он из братского укростана пишет. Вряд ли его получится привлечь, в этом случае.

(0)
на virusinfo.info в разделе "Помогите" создай тему.
Мне помогали неоднократно, там бесплатно. Правда с шифровальщиками не знаю, помогут ли.
http://virusinfo.info/forumdisplay.php?f=46

шифровальщиков тыщи тыщ, нет смысла искать противоядие, это время лучше потратить на коллективное избиение админов. Ессно восстановление за счет премии рукля админов.

если элементарных правил безопасности не знают: важные данные резервируются как минимум в две локации, старые в архив (лента, диски - в тумбочку или ячейку). Доступ на запись в хранилища бекапов специальной УЗ без интерактивного входа.
Да те же теневые копии спасут двумя кликами от крипто.

вариантов вагон с телегой, если есть элементарные знания и ответственность.

отдел "К" даже рассматривать не будет, им некогда расследовать стопицот тысяч заражений в день, потому что какой-то идиот нажал на вложенный в письмо экзешник.

Вот посмотри:

http://forum.infostart.ru/forum26/topic106478/

(22) Перевожу -  не нужно ловить карманников - сами виноваты, что кошельки в наружных карманах носите. Не нужно ловить квартирников -  ставте решетки на окна, дорогие двери и сигнализации.

(23) Разогнать нафиг этих паразитов, как ФСКН. один хрен толку от них нет.

На антивирус нет смысла тратится , не помню случая когда антивирус спасал от шифровальщиков.

Сразу несколько знакомых обратились с проблемой зашифрованных вирус файлов. Все офисные документы, пдф-ы, зипы.. Все зашифровались и к расширению добавилось .vault
Произошло после открытия письма: Посылаем вам акт сверки бла бла бла..
На сколько я понимаю решения,как расшифровать файлы до сих пор нет?

(0)+(27) Вы бы хоть писали метод старта вируса - exe, js или еще как _ чтобы знать, какие методы освоили вирусописатели.

(28) Запускают файл бухи, долго смотрят на повисший комп, выключают его и идут домой. С утра уже понимают что что-то не так.
С интернета тоже самое у кого то:
Вообще письмо о сверке К нему приаттачен zip, в зипе - js, его, конечно-же, запустили. Скрипт закачивает в %TEMP% всё нужное для работы, потом шифрует файлы *.xls,*.doc* .pdf,*.rtf
*.psd,*.dwg,*.cdr *.cd,*.mdb,*.1cd,*.dbf,*.sqlite
*.jpg,*.zip,*.7z.

(27) повторю для особо одаренных: как только хацкеры нащупали золотую жилу - криптовирусы начали писать даже бомжы. Их сейчас миллионы разновидностей. Ежедневно появляются тысячи, антивирусы далеко не всегда помогают.

санитары леса. Учить безруких админов.

Я теории по шифрованию немного помню. Получается что расшифровать это может практически только тот кто зашифровал и знает чем зашифровал и алгоритм?

Есть претендент с запуском шифровальщика , но без последствий. Суть в том , что друпер шифровальщика не смог подтянуть тело самого шифровальщика из-за того , что в конторе использовались ДНС яндекса , которые при резольвинге  имен г@внохостов (порно-сайты , сайты с вирусняками) отдают ойпи яндекса , а не вражеского ресурса.
В общем всем советую: http://dns.yandex.ru/

есть претендентов тысячи. Какой смысл тратить время на рулетку?

*прецедентов

(33) Никого не заставляю ни на что тратиться , не хотите - не пользуйтесь , а кому то может это показаться полезным. Тем более что блуждания по тырнету через яндексовые ДНС становятся более безопасными , пользователи ощутимо меньше вляпываются на всякие разводы и лохотроны , ну и порно тоже.

(32) я бы на такую защиту не закладывался, в скрипте могут прописать и IP, в качестве резервного варианта.
И что мешает выложить основное тело в архиве с паролем на белый ресурс, например, того же яндекса. А после загрузки расшифровать его?

(36) Я так понимаю что для обращений используют имя хоста чисто потому , что по IP их быстро банят и они вынуждены часто менять хостинг , поэтому используют имена , а не жестко прописанные IP.

данные резервировать надо, и доступ к оперативным с головой прописывать - как минимум.

и не надо деревянных велосипедов выдумывать

(3) Минимум гигиены бэкапов.
1. Хранить бэкапы географически разнесенными от системы которая бэкапится. Электронного доступа к этому месту тоже быть не должно.
2. Проверять бэкапы на возможность восстановления из них, перед тем как начать их хранить.

Это так... минимум... на будущее.
Почему админы этого не делают - вопрос к ним.

(38) Этот деревянный велосипед избавил меня от кучи гемороя -    не пришлось восстанавливать из архивов документы юзверя , тем более что в архиве не было документов двухдневной давности. И мне не понятно ваше упорства и недоверия , с которым вы отнеслись к изложенному мной методу обезопасится на будущее. Я не отрицаю необходимости иметь архивы , использование ДНС яндекса - это лишь дополнительная метод , и далеко не самый плохой.

(40) в абсолютном большинстве других случаев он тебя не просто не спасет, а еще и накажет, т.к. понадеешься и забьешь на базовые меры безопасности.

(40) Писатели шифровальщиков тоже прочитали твой радостный метод. Это раз. Это смахивает на рекламу. Это два. Я очень рад что ты протестил опубликованный метод на одном шифровальщике и активно его множишь на всех остальных. Это три.

и тоже еще вопрос, насчет ДНС яндекса. В нормальных конторах тебя с такой идеей админы пошлют куда-нибудь в купертино.

(40) Отвечаю на (26). Не помнишь?! Опыта мало. Все помнят случаи, когда антивирус "не спасал", но все тихо молчат, когда они (антивирусы) делают свою работу.

(41) Почему я должен забивать на базовые методы безопасности?
Они у меня в гораздо большем приоритете , чем ДНС-ы яндекса.
(42) Нет , это не реклама , я не из яндекса :)
(43) Я не знаю , какие могут быть противопоказания в нормальных конторах к использованию яндексовых ДНС , разве что какие то фобии параноидального характера. Кстати во многих российских конторах , даже крупных , не чураются использовать ДНС-ы гугля , и чем они лучше яндексовых? До яндексовых хоть хопов практически в два раза меньше (Ростелеком). Ну а в мелких конторах где сисадмин приходящий раз в месяц - тем более не вижу никаких противопоказаний простив яндексовых ДНС.
(40) Опыта побольше заявленного у Вас , еще застал времена ДОС-овской 1С , и даже когда еще не было 1С :)

(45) странно, что гуру с твоим чудовищным обьемом опыта приходится обьяснять элементарное: яндексу ты не платишь за услуги связи по SLA, и если яндекс вдруг свои деенесы зачем-нибудь уронит, или нахимичит там чего своего для повышения маржинальности - а у тебя на айти завязана логистика товаров на миллиарды - кому ты предьявишь претензию? Яндексу? Или безграмотному эникею, который прописал яндекс?

(46) Но я также не плачу за услуги связи по SLA и держателям корневых ДНС. Ок , хорошо , допустим обвалилась логистика товаров на миллиарды из-за упавшего конторского ДНС , каким образом отдел IT компенсирует расходы? Вы же прекрасно понимаете , что никакой айти директор , ни тем более рядовой админ не покроет такой ущерб , взыскать с штатных сотрудников эти деньги можно с точно таким же успехом , как и с Яндекса.

(44) "Тихо молчат" - дык потому, что вирус молча проскочил на сервера..

"Не помогает" - не далее, как вчера сисадмин пожаловался - какая-то из бух-девиц притащила вирус, а я удивлялся, кто на сервере переименовал все .xls -файлы в .xls.vault ?
У меня тоже спросил - "не приходило ли мне письмо, и не открывал-ли я его?"

Теперь боюсь открывать сетевые папки..
ЗЫ. у меня на компе, вроде чисто.. тьфу*3..

(0) Как действовал я при аналогичной ситуации.
У меня проблема была с базами 7.7, но благо нашелся бэкап, но! не тут то было бэкапы тоже поел вирус, но как если снять расширение с архивов (RAR) то архив восстанавливается, но уже НЕМНОГО поврежденным. Дальше подключаешь базу через конфигуратор и пытаешься восстановить, далее смотришь, что пропало, что есть. У меня пропал месяц документов (около 100 шт) но суммы остались, т.е. был документ РТиУ без номенклатуры, но с суммой.
Выход есть если у тебя есть лицензионный антивирус:доктор или каспер, они помогут решить проблему (выслать дешифратор)

(48) Кстати на счет открытых сетевых папок на других компах, они вроде как не тронуты.
(49) Что-то я сегодня на сайтах и доктора вэба и касперского читал, они пишут что вылечить от вируса можем, расшифровать нет.
Может конечно уже чего и придумали..

Как обычно, правильный ответ в первом ответе.

(51) Уволить админов или выслать деньги?

(51) Ты это имел в виду? :)
Здесь во втором сообщении вам дадут решение, а в двадцатом дадут правильное решение. Ymryn

Кстати, не смог определить: ресурс http://dns.yandex.ru/ - платный?

(53) Нет , бесплатный. Тут более подробно написано , в том числе про бесплатность упомянуто: http://dns.yandex.ru/advanced/

(0) Не смотреть прон на сервере БД на будущее

DNS есть и у google.com
Только всё это, всего лишь, способы защиты от того, кто уже признано вирусом.
Если человек получает по почте шифровальщик, то чаще всего, в нём уже все алгоритмы и заложены.
Сервера используют только для того, чтобы размер письма был меньше.

Самая правильная защита - запрет запуска всего, кроме списка утверждённых программ - конечно, пользователи очень сильно возмущаются, но зато - чисто.

(56) также расширение js можно переопределить на приложение Блокнот - это как минимум приведет к крику "Дорогой сисадмин! У меня акт сверки не открывается!"

(57) щас юзвери не только функцию ВПР в Экселе знают, а еще знают про кнопку шифт и Открыть с помощью... так что крик будет, когда все возможные методы открыть файл у юзверя будут исчерпаны

(58) А ещё можно запретить доступ к WScript.exe И СScript.exe правами на файлы для рядовых пользователей, и на кучу других системных приложений запрет на исполнение поставить.

(59) Да зарезать права через политику несложно.. вот только при установке любой фигни на любой комп в сети придется админа звать. А если в небольшой конторе нет штатного админа (приходящий)?

(60) Тогда риски от отсутствия информационной безопасности пусть закладывают в бюджет :)

В общем, проблему достаточно легко решить при наличии сервера и сисадмина, но вот для мелкой конторы с пятью компами и одноранговой сетью проблема не решается похоже вообще никак.

(60) пусть по удаленке админ ставит

(62) В конце рабочего дня ответственный (дежурный) сотрудник сливает бэкапы на внешний диск ,подключаемый только на вермя резервирования данных. Самые важные документы и бэкапы баз 1С. Или внешний хард - это тоже дорого для мелкой фирмы?

очень помогают "предыдуие версии"

(64) Человеческий фактор - слабое звено. А если нет четко выделенного "конца дня"? Если уходят по факту выполнения работы? Нанимать специального человека, чтобы приходил и делал бэкапы?

(65) Они только в серверных ОС есть,  вроде

(67) нет, на вин7

(68) по умолчанию они только на системном диске. Обычно базу на системном диске не хранят.

(69) так надо было настроить

(66) Бедные не выбирают. Нет средств на технически грамотное решение - пусть решают административно. Иначе см (61)

Интернет - зло.

Я всё жду, когда же в продаже появятся железные NASы с файловой системой btrfs и с автоматическим созданием снапшотов по расписанию, с доступом к снапшотам только на чтение. Это было бы примерно как версионирование в NTFS, зато независимое от версии ОС на клиенте. Спросом бы пользовалось однозначно - таким железкам вредоносы-шифровальщики не страшны.

нахрена админы вообще письма с исполняемыми файлами пропускают?

(74) в письме не приходит никакой исполняемый файл

зашифрованы файлы keybtc@gmail_com

В письме на сколько я понял, zip архив, с файлом js.

С сайта ДокВэба:
JS лезет на сайт
хттп://letter-attachment.com/
и скачивает оттуда
301.vlt - это exe (Sysinternals Sdelete 1.61)
Document.pdf - в %temp%\document.docx
index.vlt - копируется в install.bat
temp.vlt
logs.vlt

А вот письмо которое пришло моим знакомым:

Уважаемые коллеги,

Пересылаю счета-фактурысогласно Договора от 21.09.2014 года (во вложении).

Пожалуйста, погасите неоплаченный остаток за пользование системой "1С:Бухгалтерия". Средства в полном объеме мы так и не получили, хотя прошло уже больше 2 месяцев.. По нашей оборотно-сальдовой ведомости за вами числиться небольшой долг.
Если оплата не будет произведена в ближайшие 10 дней, мы будем вынуждены прекратить Ваше обслуживание.

//*******************************************
Письма на сколько я понял разного содержания, но делового характера. Мол сверку посмотрите во вложении, или договор вам выслали.

(75) А что же тогда исполняется?

(79) ней скрипт, который качает тело вируса с сайта

(80) А скрип-то исполняемый? :)

+(80) Лучше бы анализировали архивные файлы на наличие исполняемых файлов.

Чет думается грядет такой фильтр :)

Чем ближе к пятнице, тем веселее темы))

(81) Скрипт это друпер , он только вытаскивает шифратор и запускает его , а шифратор периодически модифицируется что бы его не узнавали антивирусы и может добавляется всякий вреднючий функционал.

(0) Проще всего обезопасить бэкапы. Если шифровальщик грамотный и отработал успешно - данным хана. Стопроцентной защиты самих данных нет. Нужно просто не пренебрегать стандартными мерами безопасности - они уменьшают вероятность. В итоге нет особой разницы между таким событием и крахом базы. Нужно просто хорошо заботиться о бэкапах.

(84) Неважно. Если к буху придет письмо со скриптом, то это 100% уже троян.
Так что Скрипты уже можно идентифицировать, как вредоносный код, вне зависимо от содержимого :)

(85) Вот теперь, у (0) будет повод начать проводить компанию по поводу покупки дополнительного железа для такого бекапирования. :)

Есть нормальные сетевые NAS-ы, где вместо удаления файла он перемещается в скрытую папку и остаётся там, пока из админки NAS-a не будет стёрт - тоже происходит и при перезаписи файла.
P.S. спасает, в частности, и от "умных" пользователей, которые могут перезаписать свой же файл - причём таких "событий" дофига и больше, в отличие от шифрования, которое случается только по запуску чего-то непонятного.