лег сервер стал грешить на жесткий диск после того как вытянул данные 1с хотел запустить базу на другом компе но вот чудо все файлы точнее все наименование дописаны [email protected] что делать подскажите пожалуйста

я смотрю лог посещений кто когда посещал и какой из моих сайтов так вот я смотрю что данный сайт ещжесекундно ктото стучится с этого айпи

(415) Дык внеси его в файрвол, а потом сходи на Привоз и купи гУся.

(414)Если это не ваш адрес откуда тогда вы знаете какие он запросы отправляет?

от сюда!
IP
    
URL-адрес
    
Время
    
Размер (в байтах):
                
URL-адрес источника ссылок
    
Агент пользователя
195.239.144.59
    
/favicon.ico
    
28.06.15 12:24
    
0
                
    
Mozilla/5.0 (Windows NT 6.3; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/42.0.2311.152 YaBrowser/15.6.2311.3473 (beta) Safari/537.36
195.239.144.59
    
/favicon.ico
    
28.06.15 12:23
    
0
                
    
Mozilla/5.0 (Windows NT 6.3; WOW64) AppleWebKit/537

я уже заблокировал его!

(415)Если с этого айпи к вам кто то стучиться тогда при чем тут http://apdate.neteryahka.ru/favicon.ico

с этого айпи кто то еже секундно стучится на этот адресм моего сайта (аэтого адреса на самом деле нет нету на моем сайт фавиконки и доступ к корню сайта не получить!) с айпи адреса  195.239.144.59  с интервалом с секунду стучаться на адрес http://apdate.neteryahka.ru/favicon.ico вот что я имею в виду я добавил этот айпи в черный список но он каким то образом проходит мимо блокировки и это тоже странно

(426)А так это на ваш сайт запрос.
Ну тогда заблокируйте в файерволе.

заблокимровал но толку нету! он обходит что ли звоню спецам пусть разбираются странно )))

"добавил этот айпи в черный список" - это как так?
Я вот не представляю что такое черный список и как туда можно добавить адрес.

Блокируют в файерволе, а не во всяких непонятных черных списках.

(424) В файрволе заводится чёрный список, и туда добавляется адрес...

(425)Это в каком? Первый раз слышу.
Просто пишешь правило - откуда, куда, тип трафика, действие.
И никаких черных списков.

(426)
Для Каждого адрес из ЧерныйСписок Цикл
  Файрвол.ДобавитьПравило(Адрес, Перечисления.Действия.Блокировать);
КонецЦискл;

(427) :-))))))))

Забанили мы его ))))))))))))))))))

он отправлял на сайты запросы с очень маленькими пакетами зачем ему это нужно было не понять ))))

(427) да выразился я так ))) правило я создал для этого айпи! но он всеравно проходил потом позваним админу сервера понял что в Кпанели создается запись для .htaccess а не для Файрвол админ добавил его сам в Файрвол

(426) В большинстве брандмауэров "откуда" и "куда" легко задается списком (айпишников, доменов, масок). И если действие для такого трафика - блокировка, то такие списки вполне допустимо именовать черными списками.

(432) вот имея это в виду я так и назвал )

(433)Да да вот это я и хотел сказать, вот именно этими словами, но сначала передумал а потом забыл как правильно сказать.

(434) ))))))))))))

(401) ну пусть даже узнаешь ты реальный айпи и что?

ну вот скажу я тебе, что он(злоумышленник) выходил в интернет вероятно из машины (а может, со скамейки) рядом с парком Горького в 15-00 с симки, зарегистрированной на 98-летнего дедушку иванова ивана ивановича, живущего в  мухосранске по адресу ул.Ленина дом 1., с непонятного gsm-модема с непонятной прошивкой и непонятным имэй.

дальше что?
слабо самому в яндексе  набрать "sim карты без паспорта"?
или "продаю gcm-модем разблокированный (прошитый)"?

всего-то нужно - пачку левых симок, парочку перепрошитых (разлоченных) gsm-модемов, ноут и заднее сиденье автомобиля с тонированными стеклами.
и максимум, что ты узнаешь, продравшись сквозь все анонимайзеры и прочие ухишрения и препоны сотовых операторов - это приблизительное место "выхода в эфир" левой симки с устройства с левым имеем.

дальше что?

учитывая, что злоумышленник будет просто выбрасывать эти левые симки и регулярно перепрошивать имеи ( может, тоже просто выбрасывать эти 3G-моддемы)... при стоимости дешифровки в 2000 баксов выкинуть 50 баксов в урну - хм..

ты же не полагаешь всерьез, что злоумышленник настолько дурак, что выходит в интернет с официально на него зарегистрированных симок и устройств?

(435) вот тут тоже ваяют что-то. Заголовки файлов переписывают.  ПереЗаписать в файл (большой 100 Гигов) заголовок (выбор среды разраб. и библ.)

Может им морду набить, если тех не найдете?

(437) и им тоже! ) + (436) по крайней мере я буду знать в каком городе он живет а если он даже и выбрасывает эти симкарты то божно отслеить по баз станциям где предположительно в каком районе он находился после можно отслеживать его пути перемещения ну а там подумать что дальше то делать ))))

(438) Вы маньяк? Или фильмов насмотрелись?

(438)Какой удивительный, наивный, фееричный молодой человек. Так вдохновенно нести анихею, что иногда даже можно самому поверить в то, что говоришь.

(438) думать всегда лучше заранее

(438) город? хм..
да место и время тебе уже сказал - город Москва район парка Горького.
все.
дальше что? кого отслеживать?
симку? которую он юзал максимум неделю, можешь найти там же возле парка в ближайшей урне.
зп модему можно пришарашить практически любой имей.

на, посмотри, сколько реально стоит симкарта без паспорта.
http://sim-ki.ru/

и посмотри, как быстро можно "превратить" 3г-модем хоть в айфон, хоть в нокию, хоть в хтс, хоть в самсунг, хоть в моторолу:
http://criminal.city/topic/4654-smena-imei-na-3g-modemah-za-15-minut-kitaiskie-modemi-zte-b/page__pid__17025#entry17025

перемещение ЧЕГО ты собрался отслеживать?
симки, которая валяется в урне?
или несуществующего смартфона?
так они больше НИКОГДА в эфире не появятся...

(442) это все да, но есть у меня подозрения что там не настолько продвинутые и уже успели наследить.

просто кто будет такой адрес электронки для такого юзать?
когда обычно юзают неприметных, абузоустойчивых китайцев или еще кого

ТС, уже понедельник, ходил в органы?

Добрый день. Та же проблема возникла.
Но есть большая вероятность, что расшифруем.
ТС помог бы, если бы скинул зашифрованные файлы, из папки которую вам расшифровали.
Написал вам на почту.

(406) иногда по уровню знаний в постах ну чисто 86-й

ЗЫ ЭЦП в курсе что такое к примеру? А про PGP слышали? Какой такой канал вы им зашифровать сможете?

Как раз асимметричное шифрование изначально совсем не для каналов придумали,

и еще и сами себе противоречите... если  асимметричное медленно то как им каналы передачи на лету то шифруют ))

ТС скинь куда нить пример 2-3 зашифрованных файла небольших, желательно текстовых и чтобы было известно какой там точно текст (слова) есть

Вообщем там обыкновенный xor, но с бесконечным ключом.
Ключ можно вычислить если взять зашифрованный файл, и найти такой же исходный. Получив ключ (xor) можно расшифровать все файлы, которые меньше размером полученного ключа.

И еще в конце каждого файла хвост в 1251 байт. Имеет, видимо, отношение к ключу. Его надо будет отрезать потом.

Найти исходный файл можно в интернете. Дистрибутивы программ, например. Копии больших файлов(word) на флешках и т.п.

(448) неужто исполнитель этого криптера?

(449)+ шутка

а попытаться понять откуда ключ берут? типа рандома или есть зависимость?

(450)+ просто бесконечный ключ как то не очень пересылать от жертвы вымогателям, даже если его бесконечность это размер самого большого файла из зашифрованных

так что 99,9% это нечто вроде числа Пи и т.д.

В начале генерируется код в 1250 байтов (не в 1251 - ошибся выще). Он вставляется в конец каждого файла. У меня во всех файлах эти 1250 байт одинаковые. Т.е. зависят от компа или от сессии. На основе этих байт скорее всего генерируется бесконечный ключ.
Анализ ключа, конечно, провести можно. Но уже сложнее.

Ну и надо понимать, что файл самодостаточен. Содержит в себе и данные и ключ. Т.е. если получить доступ к коду вируса - то можно написать дешифратор.
Вирус скорее всего скоро поймают - потому и дешифратор будет.

(452) как бы вирус то как то попал на комп? или в письме пришел только загрузчик основного шифровальщика?

Кстати каким то undelete (той же rstudio) пройтись по диску? может не затерт еще сам вирус

(453) Комп без доступа к инету, но с доступом идиотов, и плохим админом. Принесли на флешке или по почте.
И прочитав все посты ТС - сделал вывод что файл должен быть самодостаточен для расшифровки.

На всякий случай просто проверил xor'ом заголовки jpg и bmp. Оказался у них общий ключ на старте.
Потом сделал xor двух разных Thumbs.db. А они то сходятся, то расходятся. Пустил этот ключ на текстовой файл. Текст то появлялся, то исчезал. А значит чистый xor, без зависимости от содержания файла. Это сразу облегчало задачу.

А когда вычислил ключ в 2 кб, и не нашел повторений - понял, что ключ бесконечный(или больше двух кб).
А значит надо искать большой исходный файл.

(455) надеюсь фильмы были на диске и оно тоже их зашифровало?

(456) способ защиты от шифрования файлов - хранить видео на сервере :)

(457) угу с разными расширениями .doc .xls .rar и т.д.

причем побольше чтобы оно сдохло при шифровании

ЗЫ а еще гениальнее это симлинк бесконечный

(457) Были дистрибутивы программ с большими файлами. Ищем оригиналы.

(459)  в rar у меня к примеру самое большое это дистры 1С 200мб вида 8.3.X.XXXX_windows.rar

Файлы с какими расширениями то хотя бы оно зашифровало?

Взял я два одинаковых файла один зашифрованный этим зверем другой нет два файла с расширением bat для старта клиент банка запустил Hex Editor  и сравнил эти два файла вышло что это xor а все что дальше просто мусор!

Странная какая-то аналитика. Если вы не расшифровали ни одного файла, то с чего вы взяли что там именно ксор? "Бесконечный ключ" на практике означает скорее всего, что вы видите просто случайную последовательность байт. Ключи бесконечными никто не делает, 128-256 байт вполне достаточно чтобы дешифровка современными средствами была, мягко скажем, маловероятна.

...при условии, конечно, использования стойкого шифрования

(463) Видимо так:
1. Берем оригинальный и шифрованный маленький файл, получаем небольшую xor-маску.
2. Берем другой файл, применяем к нему этот xor и сравниваем с оригинальным, если расшифрованные байты совпадают, значит алгоритм угадан верно
(455) Там, скорее всего, ключ генерится как-то на основе базового ключа по алгоритму

(462) Александр. Простите - мои посты сумбурны. Но вы мне очень помогли. И я хочу помочь вам. Постараюсь сейчас помочь вам подробно по пунктам тут. Если кому то еще понадобится помочь - обсуждаем тут.
1. Ставим приложение http://www.nirsoft.net/utils/xorfiles.html

2. Запускаем. Там 3 пунтка.
В первом выбираем чистый файл (в вашем случае надо взять самый большой файл который есть у вас чистый и грязный. Примерно на 500кб)
Во втором выбираем такой же грязный файл.
В третьем называем имя файла key777(на счастье).


3. Имея ключ можно расшифровать файлы меньшего размера чем ключ(500кб).
В первом пункте выбираем файл для дешифровки
Во втором наш ключ key777.
В третьем название нового файла, который станет дешифрованным, но с 1250 байтом мусора в конце.

PS. Это все сработает, если у вас последние 1250 байтов в конце файлов одинаковые.

(466) попробовать этот максимально длинный из найденных ключей прогнать по https://ru.wikipedia.org/wiki/Статистические_тесты_NIST

на поиск закономерностей

(467) еще можно банальный перебор запустить на текстовом файле

т.е. последовательно подбираем каждый следующий байт ключа, с одновременной расшифровкой какой символ получается

получаемый (расшифрованный) символ должен принадлежать множеству печатных символов (буквы, цифры, знаки препинания)

если это для разных текстовых файлов прогнать то по пересечению множеств можно определить нужный байт на нужном месте ключа

если была база данных 1С 7.7 файловая то это тоже пойдет, в dbf формате длина записи одинаковая всегда, легко узнать где к примеру наименования контрагентов и т.д.

вообщем алгоритм конечно шустрый но нифига не криптостойкий в случае если есть сведения о содержимом зашифрованных файлов

и скорее всего использовали ГПСЧ с некоторым инициализатором, который и записан в добавке к файлу

http://habrahabr.ru/post/151187/

(470)+ http://habrahabr.ru/post/183462/

(471)+ банально проверить на все ГПСЧ которые в инете выложены

http://www.wasm.ru/forum/viewtopic.php?id=18744

тут вообще все разжевано

"Я беру твою процедуру, для шифрования и загоняю в нее огромный файл состоящий только из нулей.
Что я получаю на выходе???
Твой ключ шифрования. И легко расшифровываю твой суперсекретный файл."

- ищите сам шифратор

(474)+ смотрим мой пост (302), берем этот вирус, засовываем его в виртуалку, подсовываем большой файл состоящий из 0 (любое расширение из "dbf, ini, exe, log,jpg, bmp, Doc,xls")

в результате этот зашифрованный файл и будет ключем для "Rapei Andrei"

ЗЫ ищите каждый свой шифратор, попытайтесь восстановить из удаленных на hdd разными утилитами

+(466) мне помагло и что интересно мусора нету!

а если нету копии файла? что тогда делать?

(466) а чем я то Вам помог?

Вооо до меня походу доперло ))) если взять самый большой файл шифрованный и не шифрованный после сравнить их и получить ключь такого же размера можно расшифровать все файлы не превышающие размер этого ключа так?

а мусор это оставшаяся часть ключа после расшифровки так?

вот же неудобство если расшифровывать 1с-ку тогда там же куча файлов задоблбешься ее расшифровывать (

Если у кого есть ключик дайте пожалуйста для этой утилитки Restorer102 спасибо!

(479)Бред.

(479) да, так
если действительно простое xor шифрование

(483) ...

За давностью уже не помню точно, какой был шифровальщик, но смысл не в том, после оплаты дали ссылку на файлообменник, там дешифратор лежал 2 дня и 18 скачиваний, то есть ключ шифрования 1 и встраивается в утилиту.
Дальше на виртуалке эксперименты, первым проходом шифратор проходит и шифрует все до чего может дотянутся, вторым при наличии правильного пароля расшифровывает и себя удаляет.

(484) ребят, ценность всех этих измышлений будет понятна только после того как вы хоть что-то расшифруете сами. Хоть файлик на 100 байт.

(466) Большое спасибо за подробное описание!
Сегодня столкнулись с такой же ситуацией. Спасло то, что в апреле делали бэкапы баз, и после этого, с некоторыми из них не работали.
Поэтому было несколько пар файлов от 300 мегабайт и более - оригинальных и зашифрованных.
С помощью утилиты xorfiles - удалось расшифровать базы с размером ориентировочно до 500 мегабайт.
А если этой утилите дать файлы на гигабайт и более - она вылетает.

Почитал в инете про XOR, и написал в Eclipse на Java програмку - которой передаешь 4 имени файла:
1. путь к базе до шифрования (чистый файл)
2. путь к зашифрованной базе (грязный файл)
3. путь к базе, которую нужно расшифровать
4. путь к файлу, в который пишется результат обработки.

И реализовал побайтное чтение файлов 1,2,3 и вычисление XOR для записи в 4 файл:
temp = data1 ^ data2; // XOR для каждого байта из 1 и 2 базы
rez = temp ^ data3; //XOR для временного ключа и 3 базы, которую нужно расшифровать

Результат добавляем в буфер:
buf_rez[j] = (byte) rez;

И записываем в файл:
out.write(buf_rez);

Таким образом получилось расшифровать базу с размером 800 Мб.

Может кому пригодится...

(487) сам исходный троян/вирус шифровальщик не выцепили?

нужен для получения алгоритма формирования ключа этого бесконечного

(438) боксер по пере-писке

(488) Чушь это все:
на ключ вешается гамма, от чего гамма зависит - Аллах ведает. Я пытался xor применять - один и тот же шифровальщик дает разные ключи на разных файлах. Скорее всего гамма берется из того же файла, но смещения (где она в файле) записываются каким-то образом в конец - и это только xor. Там есть ещё и второй проход при помощи RSA - это не вскрыть.

(488) Троян системщики обнаружили антивирусом и удалили

Leonidas, напиши свои контакты плизз.. icq skype
есть пару вопросов) спасибо!

(491) и сохранить не догадались "для истории"? гнать таких системщиков которые сначала пропустили а потом с концами похерили ;)

(490) С чего такое безаппеляционное утверждение? У товарищей сверху вот сработало, а у вас может более новая версия попалась, т.к. хрякеры из (101) могли прочесть ветку и подправить код.

(492) У меня в карточке Email есть, посмотри

(487) Муторно, но спасибо.
А так шифровальщик шифрует только малюсенькую часть файла. В основном заголовок. У пакетного файла так то тело мало играет значение. Так что шифровку могут не сразу заметить :)

я у себя победил сегодня эту заразу.
если окончание файла [email protected] могу попробовать разшифровать

(497) выложи уже куда нить сам вирус-шифратор ? тока в архиве с паролем

[email protected]

Интересно, одно и тоже?

rapei, как ты расшифровываешь???
Очень много файлов подверглось шифровке сегодня. Готов предоставить для эксперимента шифрованный файл и он же в исходном состоянии (бэкап). Есть и сам вирус. Eset его определил как модифицированный Win32/Filecoder.NEL

Ответь пожалуйста на [email protected]
тут редко бываю.

Два файла и вирус для экспериментов, форумчане!

http://rghost.ru/7q8tn68l4

Всё решилось покупкой лицензии Dr.Web-а за14 долларов.
Через 2 часа после отправки прислали дешифратор и ключ к нему.
Скриншот: http://clip2net.unet.by/clip/m451/1435764820-clip-11kb.png
Без ключа дешифратор не работает.
В файле ключа значится 1214:[какой-то шестнадцатеричный код объёмом 512 байт]

(502) знаете по вот такому посту я могу сделать только один вывод... как и многие другие

что этот шифратор разработка отдельного отдела др-веб... и видать совсем плохо стало с продажами

(502) Я вчера писал в касперский, лицензия есть. В ответ - тишина.

(501) симантек на лету определяет и сносит "Trojan.Cryptolocker.E"

Вообщем вам повезло... что не https://xakep.ru/2014/03/26/62262/ схватили

(494) чего же безаппеляционное-то? (506)

(503) Есть ещё вариант, что dr. web создает командные сервера для шифровальщиков. Режим оверрайд. Только признаться в этом нельзя.

Добрый день, такая же проблема зашифровано все  [email protected]
Как бороться, тут выше написано про dr.web, что они дают дешифратор? как его получить можно подробнее, и расшифровываются ли файлы

(509) Либо покупаете dr Web. Они через обращение в поддержку дают дешифратор.
Либо самостоятельно. (466) (487)
Но последнее может не всем подойти.

(506) >>> подозрительные сетевые соединения и отслеживать вновь появившиеся с помощью какого-нибудь брандмауэра.


Устанешь отслеживать. Рано или поздно попросту пропустишь...
Да и не каждый на такое способен, многие даже и не задумываются о том, "откуда Еда появляется". А у же про безопасность и подавно :)

(509) Не качай порно :)

Доброго дня ко мне обратились за поднятием 1с (думаю что писать нужно здесь)
1с  7 после расшифровки в некоторых дбв заголовки повторяются То есть например умножен на два подумали что проще некуда просто убрать вторую половину (но убирать не стал) а вырезал и создал файл из второй половины после сравнил два файла мне было сказано что файлы идентичные
после эти файлы были помещены в каталог 1с и после ре индексации открыли базу и что мы увидели данные все на месте все можно кричать урааа
НО
через день бухгалтерша заметила одну аномалию (((
в документах в табл частях есть повторяющиеся строки ((( то есть томат красный номер строки 1 и вторая строка томат красный номер строки обратите внимание = 1
что я только не делал таблицу операций меня дбф табл части документа менял нечего не помогает и что еще интересно когда открываешь операция документа эти строки повторяющиеся в операции есть! но суммы пустые у повторений как это может быть и как с этим бороться?

да если меняю дбф шапки и табличной части док и после реиндексации опять та же картина значит дело в других табл но есть одно но я уже брал менял таблицу проводок не помагло таблицу операций не помагло короче много таблиц поменял но толку ни какого как отследить весь путь движений док? в ДД смотрел но там же только структура и имя дбф отвечающего за тот или инной док или спр или счет и т д а как найти где эти строки повторяются?