Имя: Пароль:
IT
Админ
Вирус-шифровальщик забрал базу 1С
0 nikolas2605
 
14.09.15
22:30
Здравствуйте. Клиент подцепил какого-то трояна, открыв письмо с почты. Троян поселился в том числе и в базе 1С. В каталоге с базой вместо файла 1Сv8.CD с тем размером, с каким была база, указан, по-моему, трояндетектор.exe, и появились два файла блокировок базы. База не запускается, говорит, что файл не найден.
Компьютер был просканирован Нортоном и утилитами Касперского, но пока результатов никаких. Можно ли как-то спасти базу? Копий они не делали давно.
1 73с
 
14.09.15
22:39
2 shuhard_серый
 
14.09.15
22:42
(0) зевая
в поиск
тема шифровальщиков обсосана до костей
3 nikolas2605
 
14.09.15
22:49
(2) гуглю
4 Zamestas
 
14.09.15
22:51
(0) Продолжайте не делать копии.
5 nikolas2605
 
14.09.15
22:56
(4) так им уже сколько раз говорил об этом
6 Zamestas
 
15.09.15
00:28
(5) Если Вы говорили, а товарищам пох - то какая может быть грусть/печаль? Пусть страдают с первичкой.
7 Злопчинский
 
15.09.15
00:45
(5) одинэсники - они такие одинэсники... превращаются в буЛгахтеров - главное "сказать"...
- ты им сказал под подпись? под приказ обо ознакомлении? или просто пиzduna погонял с пользвоателями?
8 Zamestas
 
15.09.15
00:52
(7) А если ТС подписант? )))
9 VladZ
 
15.09.15
06:44
(0) Троян в базе? Что за чушь?
10 ЧеловекДуши
 
15.09.15
06:58
(0) Соболезную. И радуйтесь... Начинайте по новой. Возможно не будете делать прошлых ошибок :)
11 ЧеловекДуши
 
15.09.15
06:59
(9) Да у него троян подменил тебя на файл БД. А он место того, что бы снять винт и начать поиск с удаленных файлов. Продолжил работать с "сервером"... Если так можно назвать :)

...
А так, это говорит об том, что файловый вариант 1С, только для Демонстрации. :)
12 ЧеловекДуши
 
15.09.15
07:00
(11) подменил тебя  - подменил 1Сv8.CD на себя :)
13 cons74
 
15.09.15
07:02
Бэкапы не делали, хотя их предупреждали? - ну так пусть теперь платят денежку вымогателям. Их же предупреждали.
14 MaxS
 
15.09.15
07:05
(9) наверное внешняя обработка с выключенным безопасным режимом, работает при запуске базы и просит денег. При отказе сама проводит документы с банком, считает налоги, закрывает месяц. ;)
15 nikolas2605
 
15.09.15
22:44
оказался шифровальщик троян-энкодер (trojan.encoder). Нортон и утилиты Касперского ничего не увидели. Выслали файлы в техподдержку Касперского. Посмотрим, что ответят
16 GreatOne
 
15.09.15
22:49
17 Zamestas
 
15.09.15
22:54
(15) На (6) ответ можно?
18 Artful Den
 
15.09.15
22:58
(17) сейчас Касперский кинет денех на кошелек и все будет ок, чего непонятного
19 nikolas2605
 
15.09.15
23:17
Ответ на (6): пусть страдают, раз так. (16) По ссылке был, пока не помогло
20 Zamestas
 
15.09.15
23:24
(19) Сколько денег хотят?
21 nikolas2605
 
15.09.15
23:37
(19) не знаю, я файлы шифровальщика не открывал, может, там внутри какая-то сумма и есть, а сообщений никаких у них не было
22 nikolas2605
 
15.09.15
23:41
Посмотрим, что аналитики Касперского и Веба скажут
23 Zamestas
 
15.09.15
23:49
(22) Первичку уже вбивать начали?
24 hhhh
 
16.09.15
10:21
(13) файлы dt тоже шифруются
25 spectre1978
 
16.09.15
10:27
(24) доступ на запись в папку с бэкапом должна быть у специального пользователя. Под этим пользователем из шедулера и делаются бэкапы. Все пользователи, которые могут работать за компом, получать почту и чего-то запускать - доступа на запись к папке не имеют
26 Бубка Гоп
 
16.09.15
10:39
Сколько же граблей переломится, пока люди нормально настроят бэкапы и запретят выполнение скриптов.
27 Маратыч
 
16.09.15
10:41
(26) Эта музыка будет длиться вечно :)
28 Джордж1
 
16.09.15
10:53
А как от такого защитится, если пользователям в почту всякая хрень прилетает и они ее открывают
29 Лефмихалыч
 
16.09.15
10:53
(28) бэкапами и отсутствием прав у пользователей
30 Джордж1
 
16.09.15
10:54
(29)какие права надо у пользователя ограничить?
31 Маратыч
 
16.09.15
10:56
(30) Запуск скриптов для начала.
32 Волшебник
 
модератор
16.09.15
10:58
>> Копий они не делали давно.

В этом суть проблемы.
33 Сержант 1С
 
16.09.15
11:14
варианта два:
1. платить деньги вымогателям и вычесть из ЗП админа / адинесника
2. бить вручную всю первичку

не надо надеяться на касперских и дрвебов, только время потеряешь
34 Славен
 
16.09.15
11:18
(30) права на доступ в папку с бэкапами, на выполнение скриптов в почте и т.д.
35 Сержант 1С
 
16.09.15
11:20
(30) по дефолту у пользователя вообще должен быть минимальный набор прав
36 DGorgoN
 
16.09.15
11:22
(35) Мммм, а как на файловую базу права ограничить? )
37 Славен
 
16.09.15
11:25
(36) в почте можно ограничить и на доступ к бэкапам, а больше и ненадо
38 Сержант 1С
 
16.09.15
11:28
(36) никак. А зачем?
39 philll
 
16.09.15
11:30
а вот щас говорят у кого итс проф - само в облако бкеапится...
40 Stim
 
16.09.15
12:04
(7) если б бухгалтера делали регулярные бекапы, у одинесников было бы меньше работы)
41 Stim
 
16.09.15
12:04
(31) невозможно
42 ДенисЧ
 
16.09.15
12:05
(39) врут
43 aka AMIGO
 
16.09.15
12:07
(40) ты о чем, пардон.. бухгалтера не будут делать бэкапы, у них забота - отчитаться, и домой, кормить семью.
Бэкап - забота 1с-ника, рука-об-руку с сисадмином
44 NikVars
 
16.09.15
12:30
Я тоже хочу поставить двойку тому, чьи это клиенты.
И более того, за то, что прибежал на форум. Афигеть! Так болеет за клиентов! Не можешь устранить последствия - предохраняйся!
45 Jump
 
16.09.15
12:43
(30)Не только у пользователей надо ограничивать.
У меня и админ не имеет прав на бэкапы и теневые копии.
46 Jump
 
16.09.15
12:45
(28)Чтобы открыть какой-то исполняемый файл, его надо сначала скачать на диск, и запустить оттуда.
Так вот сохраняется он явно не в папку программ файлз, или виндовс.
А запуск программ должен быть разрешен только из этих директорий.
47 Зеленый пень
 
16.09.15
12:58
(43) Бухгалтер может об этом не думать, но ему самому потом заново вбивать первичку.
48 aka AMIGO
 
16.09.15
13:01
(47) тут крайнего будут искать.. догадываешься, кого найдут? :)