Все закрытые базы вдруг переименовались в 1Cv8.1CD.vault и уменьшены в размерах в сотни раз!?

вирус-шифровальщик

(0) это северный пушной зверёк
детали внутри файлов, там всё расписано

В последнее время всё чаще слышно такие новости

Скорбим

как защитится от шифровальщиков?

(0) Бекапов я полагаю нет ?

Думаю, последний всплеск пошел, последние три месяца слали стабильно по понедельникам-вторникам боты, на этой неделе вчера и сегодня вижу уже ручную отправку со взломанных ящиков, т.е. присутствует оригинальная подпись владельца ящика, и реальное имя в поле to. Видимо, боты уже неэффективны.

(5) Спс, но там много написано... Есть способ борьбы?

(8) Либо писать вражине и платить деньги, или восстанавливать из архива

главное, не грохнуть vault key

и уменьшены в размерах в сотни раз!?

А никого это не смущает ?

Вроде размер должен тот же остаться. Так то получается что чуваки изобрели афигенный архиватор.

(10) почему? Им разве кто-то платит?

(12) Я платил 1500 р. все получилось.)

(12) если нет архива, то да

кстате меня всегда мучал вопрос , почему в платформе 8.2 файл СД называется 1cv8.1 ?

(15) потому что он называется не так

(14) мда, без лоха и жизнь плоха

(15) не врите, он называется 1Cv8.1CD

(15) .1CD = 1C Database.
Ваш К.О.

(13) странно как-то. На меня бы наверное в суд подали, если б я базу не сберег

(20) Это не на своей работе. Так ... халтурка.

(17) И ты заплатишь, когда стоимость восстанавливаемой инфы будет несколько миллионов, а бэкапов не будет.

(20) Всмысле в суд? Такое возможно?

(11) Не факт... Может в поток инфу залили. Размер файла может составлять и 0 байт, а на диске он будет занимать несколько гигабайт.

Реально могут засудить, если база грохнется?

(22) "стоимость восстанавливаемой инфы будет несколько миллионов",  "бэкапов не будет"
Ну на таких-то лохах и мир стоит

(10) vault key не нашел!?

(25) да не факт. Просто я как программист думаю в первую очередь по шапке бы получил

(25) Не засудят. ТК его защитит. Максимум удержат по максимуму из з.п. и уволят. Это все на что способен работодатель.
(26) Увы, иногда админам нормальные бэкапы делать запрещают начальники. Типа - "Это дорого. Выкручивайтесь сами".

(29) Зависит от договора

Одни мои клиенты платили 25000 за это, другим те же товарищи  запросили 60000 евро и они простились с данными, делали всё заново

не 60000, а 6000

а 25000 рублей

(30) Условия договора ущемляющие права работника оговоренные в ТК, считаются ничтожными.

Да базы не рабочие, не на сервере - демки и копии рабочих баз, доработки в них делаю... Как прекратить это безобразие? Осталась одна база, в которую держу открытой!

(31) интересно, можно поторговаться с ними?)

(29) таким начальникам надо показывать эту и подобные ветки

vault key должен находится в Program Files в одной из папок откуда запускался шифровальщик

(34) ТО есть и договор о полной материальной ответствености тоже?
Можно устроиться на работу кладовщиком, разворовать весь склад, а потом уйти, заплатив максимум оклад?

(36) Да... можно

(35) Ух ты! А ты смелый. :) Смотри процессы... удаляй неизвестные. Ты же знаешь что у тебя в процессах обычно весит? Знаешь какие svhost запущены и откуда?
Включи отображение строки запуска в диспетчере задач.

(39) мат ответственность вроде вешается в виде конкретных ОС, нет?

кладовщиком не работал, не знаю.

(36) У меня шифровальщик был чисто автоматический. Вообще не с кем общаться было.

(42) не обязательно

(35) Ух ты! А ты смелый. :) Смотри процессы... удаляй неизвестные. Ты же знаешь что у тебя в процессах обычно весит? Знаешь какие svhost запущены и откуда?
Включи отображение строки запуска в диспетчере задач.
Заодно проверь файлы тех процессов которые запущены. Сохрани их куда ни будь. Возможно еще и восстановить получится.

Сорри за два сообщения. Прокси глючит.

(39) Мат ответственность это другое. Могут из зарплаты , а могут и через суд , думаю.

Восстановить не получится... я одно время неделю на это потратил, используя ваульт кей и различные алгоритмы пробовал дешифровать... но :((

Моих мозгов не хватило

(50) Платил?

(39) Как оценить стоимость информации? Я то знаю несколько способов, но ни один суд их к рассмотрению не примет.

У меня когда я ковырялся, сложилось что он мало что зашифровал, но по ходу дела еще зашифрованные куски переставил по какому то алгоритму

У меня просто было несколько файлов не в оригинале не зашифрованные, и сравнивал их с зашифрованными, вообщем, непонятно мне как они там и что делали

(51) Да.. платили.

Файл шифровальщик передавался как вложение от налоговой в почте. Его девушки менеджеры запустили на своём компе, ну он там и постарался

Я им сказал, где вы видели, чтобы налоговая рассылала проги?

(57) Еще они кликабельные фотки с котиками могут присылать )

У нас такой был, сожрал все файлы. Бекапы sql не тронул, не знаю, может не добрался просто, но думаю он их не понимает.
Просили 600$, там тьма нужной инфы. Даже в мыслях ни у кого не было платить. После этого каждую неделю скидываю на внешний hdd бекапы, вот и все затраты.

(59)Да.. у нас тоже не все выбрал.. скорей всего он или по формату выбирает или по расширению

Не.. хлебозавод платил, у них он зашифровал 1с файловую базу, это еще до меня было. А с моими клиентами не стали платить, тем более там только на компе были доки и ексель таблицы..

(58) :)

(38) тоже не нашел!?
(46) Висит какой-то w3wp.exe - вроде раньше не наблюдалось такого

а че это вообще за тема, платить кому-то?

+(63) w3wp.exe под пользователем NETWORK SERVICE - он?
Но мне источник нужен. ESET Smart Security он по зубам?

(65) Шифровальщик отрабатывает только один раз и себя удаляет, и его не найти. Так что он не будет висеть в виде сервиса, потому что лаб касперского просили если надыбаю его ексзешник то к ним прислать

но  пока не надывбал

(59) Из DT восстанавливаю... Как вычистить?

(68) он на клиенте в автозагрузке...

(68)Формат С. Обычно в подобных случаях выключают питание компьютера, а потом с вытащенным диском работают специалисты по восстановлению.

Отличная статья на эту тему http://habrahabr.ru/post/159811/. Кстати он 1Сник

(66) Можно не искать, больше гадить не будет?
Выскакивало сообщение: ваши файлы зашифрованы... за ключом обращайтесь на restoredz4xpmuqr.onion... не успел прочитать.
Какой может быть ключь если из бызы 3 560 Мб (сейчас восстановил, вроде цела пока) он сделал 429 Мб!?

(72) ну упаковал он базу, что тут такого?

(73)Наивный...Не сможешь распаковать

(73) В 7 раз?

(72)Будет

В моей практике по клиентам счет 8:3 в пользу шифровальщика. В победных случаях помогали только специалисты и только с тем, который успели вырубить в жёстком режиме, т.е. не стали ждать и разбираться.

(75) да, 7 чего-то мало. Когда 1с в dt пакует там раз в 20 получается.

(78) Выгрузить в dt врямя надо... хотя не засекал сколько времени он шифровал.

(35)
http://risovach.ru/upload/2013/09/mem/ebat-ty-loh-bez-nadpisi_29265504_orig_.jpeg

(0) К автору. Напиши какой у тебя антивирус, если он есть, просто интересно.

Знаю, что знакомые обращались в др веб ( у них он был куплен) и им расшифровывали, но долго. Про активизировались - поддержк.

(82) мне расшифровывал др.веб
Месяц ушло на это

(81) Под сервером х64 нет, только под ХР ESET Smart Security, лень перезагружаться...

удавалось пару раз подобрать ключ к шифровальщикам с помощью лицензии антивируса Dr. Web (отправляли файл в их техподдержку). Один раз пришлось ждать целый месяц, пока появилось лекарство.

С утра все на месте, что из бекапов восстанавливал. На ночь ставил на проверку ESET Smart Security только системные диски, результаты проверки не смотрел.

(56),(58) Кому такие письма перенаправлять, кто-то ими занимается?

(86) Антивирус гонять бесполезно, перед отправкой письма авторы вируса проверяют его невидимость для антивирусов (существует аналог virustotal для подобного).

(88) Кто-то из пострадавших мог извлечь исполняемые файлы той же версии и отправить их в антивирусные компании. Тогда со свежим обновлением может отловить. У меня с одним трояном было такое - утром не ловил, вечером уже ловил.

(89) Так у него сам файл в размерах уменьшился. может он этт файл поделил на несколько частей?

(87)И у Касперского и у других есть специалисты, которым можно отправить файлы. Важно найти и отправить исходный файл, упакованный вирусом файл и тело не убитого вирусного файла. Тогда есть вероятность, что через некоторое время вышлют лекарство.

(90) Размер свободного пространства на диске резко возрос, все руки не доходили почистить... хоть за это спасибо.