Здравствуйте. Бухглатер пустил к себе вирус шифровальщик, все файлы стали формата [email protected] 1.0.0.0.id-VPFORPBTTYXMCRVJZNRVAEIMGVZDXBQUOSWK-22.09.2015 10@[email protected]

Каким образом все вернуть обратно? Вариант менять винду и тд не очень  уж хороший совет. Также базы пару так пропали, они срочно нужно вернуть.

Игорек, ты хде?
Тут клиент нарисовался

восстановить из бэкапа

http://virus.1chelp.su/?utm_source=yandex&utm_medium=cpc&utm_campaign=cid12117506&utm_content=gid883842288_&utm_term=aol.com&pm_source=none&pm_block=other&pm_position=1&yclid=5910213772088328209

Не они ли поработали?

Бугага, опять?

мы вчера такой словили

Интересно, этого Игорька, в конце концов, отловят? :)

у нас правда не Игорек .. но такая же бодяга.
Приходи письмо - в нем ворд файл в нем объект-кнопка ..
далее тупизна секретарши и каспера и за 3 часа зашифровано 30 тысяч договоров.

может на мисте организовать доску почета для дятелов? Каждую неделю попадаются, и ведь чужой опыт ничему не учит

точнее документов.

(7) секретаршу уволили?

скажите что делать? есть ли шанс, а не обсуждать уволят ли человека или нет

(2) бэкапы ушли туда же

(10) ну она новая .. потом у нас и так никто работать не рвется .. один человеческий мусор .. ну плюс там не было настроек каспера .. он ее хоть и предупредил что какая-то фигня началась , но в карантин не отправил.

(12) Поздравляю!

(11) пиши игорьку, пиши касперскому, пиши заяву на увольнение вместе с админом

прикиньтесь идиотами ..как понимаю сумма будет в пределах пары десятков тыся .. за идиотизм может быть скостят пару тройку тысяч.

У бухгалтера админские права что ли в сети...

(17) А там и не надо админских, у нас с пользовательскими все влетело, благо бэкапы делаются исправно

(15) я же пояснил твои глупые советы здесь не уместны. Если есть по делу пишите, нет, то лучше идите мимо.

(0) Бесплатно никак. Зато надежно. И?

(18) win7 обычно спрашивает "Вы уверены, что хотите запустить ?" у нас сказали ДА и ...

судя по многочисленным похожим веткам, если срочно надо - то только платить. если есть какие-то бекапы и есть время поразбираться - то можно попробовать расшифровровать

(21) а дальше? дальше-то? Тот-же вин 7 показывает админское окно для ввода логина и пароля

(23) Ну да, комп то был не нужный, ну и не настроено там было так всё.

(19) два первых совета вполне уместны.
фоном идет плата за беспечность сисадмина, надо либо ограничивать права до предела, либо инструктировать юзеров, чтоб не тыкали мышой куда ни попадя..

(24) мм.. тогда ясно :)

(25) если пользователю доступны файлы - значит, они доступны и для шифровальщика. если польз заходит в базу(файловую), значит её может зашифровать вирус.
и никакими правами это не исправить.

(23) Эта зараза не требует админских прав, более того, только что наш админ сказал, что если подключены шары как сетевые диски, то и по этим шарам зараза пройдется, а вот если она у тебя сделана ярлыками, то по этим путям файлы остаются не зашифрованными, то есть скрипт отрабатывает ресурсы системы и для этого ему админских разрешений не надо. Как так, непонятно, видимо разворачивается и устанавливается во временные папки и установка ему не нужна и все его действие инициировано, как простая работа пользователя

Попробовать откатить средствами win7
- пкм на файле - восстановить прежнюю версию
и потом последний пункт из (15)

так понятно что оно шифрует все до чего дотянется .. поэтому то что она сумела дотянутся до бэкапов это упущение.

(0)а заплатить злоумышленнику?

это не зараза .. ее нет на компе , это файл который исполняется по осознанному действию пользователя. А вот антивирусы тупят на эту заразу так как не видят смысла мешать пользователю что-то там делать.

Кстати будете писать Игорьку - пишите как от физлица. Цена для компании и для физика могут очень сильно отличаться.

у меня вот другая беда - украли пароль от Стима ..я не могу в кантру вечером поиграть ))

бекапы которые доступны пользователю и лежат рядом с базами -- это прекрасно

(34) зачем тебе мой пароль

поэтому предлагаю поймать и запытать какого нибудь хакера ..

(36) ))

У нас прошлым летом секретарша такой словила. Увидела в письме вложение с очень умным названием - СчетФактура... Слаба богу на файлопомойке у меня все по правам пользователей расписано, так что она только свою собственную работу потеряла.

Интересно, этот игорек - он что присылает в ответ? какой-то экзешник, который расшифровывает файлы? нельзя ли его использовать и для других пользователей?

да нет , скорее всего обычное шифрование по закрытому открытому ключу .. нет ключа и все приплыли .. хотя честно говоря когда большой массив известных данных плющат мне кажется избыточности должно хватить что бы восстановить данные.

(40) Как я понимаю, подбирается ключ. В каждом случае свой.

(40) как правило, подход к клиенту индивидуальный. Просят выслать зашифрованный файл, и компилят экзешник с нужным ключом.

(29) Не взлетит

но кто этим заниматься будет ..
каспер вот для корпоративных предлагает такую услугу ..
но без гарантий восстановления.

(27) скажу по-секрету, я пару-тройку недель назад увидел на расшаренных папках в сети длиииннные однообразные наименования, и до меня не сразу дошло, что это шифровальщик.
По папкам я шарить не стал, т.к нужную мне не нашел (имени-то нет!). А вот админ-наш-зловред озабоченно носился  в серверную, и из неё.

После чего папки на сетевых дисках (обмен) стали недоступными, видимо, вписаны права только того юзера, чья папка на Exchange валяется.
Ну, кроме моей личной, там я имею право распоясаться..

Вот такой выход.. Но это - после.

(19) что ты тут глупого увидел?
1. Пиши игорьку - самое быстрое по времени будет
2. Пиши касперскому - самое правильное, но надо хотя бы иметь два файла один до шифровки, другой после и долго
3.пиши заяву на увольнение вместе с админом  - ну тут ведь не я глупый и храню бэкапы там же где и основные данные, и вроде не я права настраиваю...

(47) ладно тебе, и так расстроен мужик..

(0) Попробуй пройтись прогой для восстановления удаленных файлов. И кстати, если в базе работали юзеры, то шифровальщик не смог бы удалить оригиналы, а тока создать зашифрованную копии. Проверьте файлы *.1CD может они еще живы.

пару лет назад писали касперу и посылали им, нам вроде тогда ответили, что цена вопроса 30к рублей.

(50) 15к Игорьку, 15к себе?

(48) заяву не надо. Не 1Сника это дело права настраивать, да бекапы выносить на внеш. носитель. У нас таже беда была, я и глазом не моргнул. Ну, похерилось все, что поделать? 1С моя работает(бекапы скл не съел почему-то), чего еще надо? Все отделы плакали, мне как фиолетово.

(51) Ну это было пару лет назад, сейчас то может бесплатно.

Вот же золотая жила, как говорится без лоха и жизнь плоха. На досуге надо свой шифровальщик написать!

(50) видимо это стоимость лицензии)

(12) на будущее и всем, кто ещё не настроил архивацию правильно.

Бэкапы должны быть:
- ежедневными
- и самое важное - писаться в папку архивов под пользователем, под которым никто и никогда не работает

Для этого в системе заводится отдельный пользователь, например, backup_user.

Заводится специальная папка для архивов, владелец которой backup_user.

Все пользователи системы кроме backup_user могут только читать файлы в этой папке. Прав на изменение нет.

Под backup_user никто не работает, под ним только запускается программа архивации, поэтому только она может копировать созданные архивы в папку архивов.

Всё. Никакие шифровальщики не страшны. Потеря данных - максимум один день.

Естественно это никак не отменяет антивирус. А если к этом ещё добавить в политиках запрет пользователю на запуск любых исполняемых файлов не из папок установленных программ, то будет совсем хорошо.

(55) Не, у нас лицензия в 2.5раза дороже (

(57) вот это цена!!
За эту цену надо намекнуть касперскому, что помещение в карантин не сработало!
Пусть исправляют свою кривизну..

ЗЫ. а может игорёк-то с касперским на одном стульчике сидит..

(54) когда посадют, у тебя будет много времени на досуге, чтобы подумать о своих преступлениях

(59) кто его там посадит? Наша фемида максимум на что способна - лепить фабрикованные контрольные закупки на студентов, да сажать воришек в супермаркетах на 2 года.

это же работать надо, чтобы поймать такого мошенника

(56)
зачем пользователям иметь возможность читать бекапы?
бекапы надо делать как минимум на два разных физических устройствах, еще лучше чтобы они были разделены территориально. Хоть в соседнем офисе, но не в одной комнате.

(59) То то все пересажены, прям смотрю - одни посадки хакеров и зловредов.

На самом деле оттачиваются вопросы безопасности, хотелось бы малой кровью, но не всегда, не всегда. У нас раза три шифровали пользователи, шифровали только то, к чему имели доступ - по сути свои документы.

(63) + 100

Я бы написал вирус, который ищет файлы банк-клиентов и дописывает в них строки с переводом денег. бухгалтер загружает файл в кл-банк и бабло уходит со счета на счет

(66) расшифровка платежей из файла сразу показывается в окне банк клиента. ХОтя, думаю далеко не все ее смотрят

(66) пиши, потом поделишься со всеми.. в рекламной ветке ;)

(66) эти вещи хорошо защищены самой операционной логикой

(69) Это точно.. иначе банки-б давно опустели

(62) я про то, что админ к этой папке архивов тоже должен подключаться как пользователь. И в этом случае ему нужны права на чтение файлов из этой папки, чтобы забрать архив, в случае, если нужно восстановить базу.

Да, верно - обязательно в два места. Это само собой. Я самое главное хотел донести - про грамотное разграничение прав как защиту именно от шифровальщиков. Удивлён, что мало кто это делает, ограничиваясь сменой расширений архивов.

(69) это как? когда в файле 100500 платежек по толпе контрагентов, бух не в состоянии отследить неправильную платежку

А образ системы реально скопировать? Тупо каждый вечер сохранять образ - со всеми файлами, базами и пр. и если что - разворачивать из файла

(71) ну так только админу прописать чтение. Ну или если только админ там - ГБ )

(73) хоть виртуалку снимай. Только нахрена?

(75) чтобы документы пользователь не потерял

ну так отдельно доки бекапь

(76) идея правильная на мой взгляд и, когда позволят накопители, уверен для многих это будет выход.

Но сейчас хранить историю таких бэкапов системы и всех дисков с данными пусть даже в течение недели (не то что месяца) крайне накладно будет. Поэтому не вариант.

(78) не нужно на неделю. от шифровальщика достаточно каждый день сохранять. сегодня поймали - развернули вчерашний бекап

(79) ну так-то оно да, но всё-равно хотя бы три дня было бы неплохо хранить историю - вдруг шифровальщик начал всё портить на выходных или посреди праздников...

(0) В одной конторе у знакомых тоже шифровальщик поработал. Они заметили, и вовремя остановили его. Но часть данных зашифровалось. Восстановили из архива.

попутно

Отправил письмо - запрос в лабораторию касперского, с номером лицензии, несколькими зашифрованными файлами и просьбой помочь расшифровать, пришел ответ что заявка принята, на этом все пока и заглохло.

Напарник говорит что доктор вэб помогает расшифровать, так же надо лицуху доктора вэба, примеры файлов отправить им, в течении нескольких дней придет ответ как расшифровать, у него был такой случай, помогли, все рашифровалось.

Кстати, в тему шифровальщиков. Возникла такая дурацкая идея примитивной (и не 100%) защиты баз 1С.

Пишется программа, которая при своей настройки создаёт на компьютере несколько фейковых баз 1С, с которыми реально никто не работает. Желательно расположить их в наиболее очевидном для шифровальщика месте, чтобы он их нашёл раньше, чем реальные базы.

Эта программа работает в фоне (или в виде сервиса) всё время и мониторит доступ к фейковым базам. При первой же попытки стороннего процесса что-либо записать в файлы этих баз (сейчас речь идёт о файловых базах) - этот процесс считается шифровальщиков и программой предпринимаются экстренные меры по остановке процесса шифрования: либо просто убивается этот сторонний процесс и оповещается админ, либо просто выключается компьютер.

Вот такая идея :)

круглое тащим, квадратное катим

А где купить такой вирус, как с разработчиками связаться? Есть пару мест, куда бы его закинуть:)

(82) а не проще просто копировать в фоне файл с базой каждые час-два? под другим пользователем, разумеется.

(85) без отключения пользователей? Так нельзя - архивы будут битыми.

(84) зачем покупать? копируй на флешку, а откроешь её - на вражьем компе :)

(86) То есть если в 1с 8, в базе кто-то работает, то просто скопированная папка с базой не будет потом работать?

(86) гонево. копирование папки с базой можно выполнить в любой момент и она будет работать

(88) если повезёт, то будет. Но однажды копирование придётся на момент, когда кто-то в базе, например, проводит документ (меняет базу) и с некоторой долей вероятности ваш архив будет неконсистентен (содержать ошибки). Причём возможно вы этого даже не сразу заметите. Вывод - папку с базой можно копировать только убедившись, что в ней никто не работает в этот момент. Я обычно пробую переименовать папку, добавляя в конце знак равно, если получилось - смело копирую (имя изменено, значит никто и не сможет подключиться), после копирования возвращаю имя обратно. Но, это примитивный способ - есть программы архиваторы, которые всё делают правильно.

+т.е. копирование файла базы

(90) при копировании - копируется как бы снимок базы на момент начала копирования.
пока идет копирование - вы можете делать с базой все, что угодно, сохранится тот файл, что был при начале копирования

(90) эта неконсистентность нафиг никому не уперлась. Решается тупо, по новой ввести документ. Или перепровести.

(0) можно попробовать восстановление из теневых копий. Мы в Windows 7 восстанавливали с помощью ShadowExplorer. В (0) не написаго какая ОС

(92) как бы снимок базы... это как вообще? снимок он что мгновенный, что ли. Даже на создание снимка файла базы, скажем в 2 гигабайта нужно какое-то время. В это время что пользователям запрещается что-то писать в базу? А если не запрещается, то о какой целостности базы может идти речь.

(93) вот это я понимаю подход...

(95) если поддерживается файловой системой, то используется подход copy on write.

(82) глупая идея
не проще ли прикрыть пути попадания вирусни
запретить скачивание exe, bat, cmd, vbs и прочих расширений тем кому не нужно

(98)иногда такая вирусня может попасть просто при клике на ссылку в инете.

+(99) запретить выполнение скриптов тоже не всегда возможно в силу специфики работы

(98) ну я так примерно и написал, что идея дурацкая. Хотя как посмотреть - как выясняется чаще прикрыть не проще (не хватает ответственности или компетентности), а поставить доп. программу для защиты, которая в случае чего сможет остановить шифровальщика (так как специально заточена на это) - я бы не отказался. Она кушать не просит.

(97) я так понял мы это всё в общем "бытовом" контексте обсуждали, например, применительно к ntfs. Что там за подход copy on write. работает ли он там? вообще не слышал про такое там, я не прав? где почитать?

(97) да и если я правильно понял вы об этом?

https://ru.wikipedia.org/wiki/Копирование_при_записи

Так причём здесь вообще создание снимка базы, чтобы получить непротиворечивую копию. Там речь об оптимизации, но я нигде не вижу про то, что делается контроль целостности этого снимка. Или я чего-то не догоняю.

(102) там объяснение кривое. любые изменения в файл после "снимка" не видны процессу, который работает со "снимком".

(103) ага, но, во-первых, бегло поискав я пришёл к выводу, что ntfs не поддерживает эту возможность. А так как в большинстве случаев речь об ntfs - рекомендация копировать папку при работающих пользователях глубоко ошибочна.

во-вторых, я логически не понимаю как файловая система может скрыть все изменения в файле после снимка. Похоже мы плавно пришли к понятию теневых копий для ntfs, но и в этом случае теневые копии не панацея сами по себе. Для их работы требуется поддержка со стороны провайдера данных, то есть файловой платформы 1С. Насколько я помню файловая 1с-ка такой технологии не поддерживает.

(104).2

(104).1 https://en.wikipedia.org/wiki/Shadow_Copy

The end result is similar to a versioning file system, allowing any file to be retrieved as it existed at the time any of the snapshots was made. Unlike a true versioning file system, however, users cannot trigger the creation of new versions of an individual file, only the entire volume. As a side-effect, whereas the owner of a file can create new versions in a versioning file system, only a system administrator or a backup operator can create new snapshots (or control when new snapshots are taken), because this requires control of the entire volume rather than an individual file. Also, many versioning file systems (such as the one in VMS) implicitly save a version of files each time they are changed; systems using a snapshotting approach like Windows only capture the state periodically.

https://en.wikipedia.org/wiki/NTFS#Volume_Shadow_Copy

(94) XP ...

(108) Спасибо за ссылки. Но даже в этом случае система теневых копий сможет гарантировать только целостность структуры базы на какой-то момент времени, но на логическом уровне будут возможны ошибки. Ведь этот механизм никак не учитывает транзакции в самой 1С. И если копия создавалась в промежутке между началом проведения документа и его концом, то
запросто может получиться, что половина документа сохранится в копии, а другая половина нет.

Именно это я имел в виду, когда сказал, что для корректной работы теневых копий необходима поддержка провайдера данных - чтобы учесть транзакции.

(110) вроде 1с правильно использует операции типа flush, вероятность счастливого исхода весьма велика. ну будет немного мусора от незавершенных транзакций в файле, да и фиг с ним.

(87) Как зачем? Чтобы подзаработать:)) Чтобы у меня ключик-то был.

(111) согласен, что при использовании теневых копий вероятность счастливого исхода весьма велика.

Настораживает только то, что люди начинают копировать папку с базой без отключения пользователей безотносительно - настроены ли у них теневые копии на диске или нет.

И вот в случае отсутствия теневого копирования (а у большинства пользователей файловых версий его нет, потому что не знают про него или падает производительность от неправильной настройки) получить битую базу простым копированием в проводнике весьма и весьма вероятно.

Да вот прям сегодня мне в спам пришло письмо.

Вкратце:

Некая компания уведомляет о смене директора.
Говорят, что нужно срочно подписать и выслать.

В письме две ссылки. Замечу, что не прикреплен файл, а указана ссылка.

Вот скольким людям разослали это письмо и сколько тупых сотров нажали на ссылку.

на партнерском была недавно тема про рассылку от "1с" про то, что лицензии протухли и все такое. с вордовым файлом во вложении

Я тут не так давно, когда был спор про шифровальщик делал скриптом порядка 30копий теневых копий базы во время обновления.
Все базы оказались живы.

(113)Вы как то неправильно понимаете теневое копирование.
Неважно включено у вас теневое копирование или нет.
Простым копированием вы все равно получите битую базу.

(117) я понимаю, что с использованием теневого копирования на диске - нужно не просто копировать папку с базой, а запустить самому или программно создание этой теневой копии и вот с ней уже работать. Поэтому спор и начался, что копировать просто папку с базой - зло.

(118)Да. Надо сначала примонтировать созданную теневую копию в папку, и после этого копировать ее спокойно.

(98) +1 Вирь все равно всё зашифрует, имхо.

(119) В XP это не работает( Там не поддерживаются хранимые снапшоты, которые можно примонтировать. Штатная утилита архивации создает снапшот перед архивацией, но он "в памяти". А из командной строки по расписанию с указанием параметров эта утилита не запускается..(

(121) Умеете вы сказки рассказывать, прям талант...

Теневая копия не может быть в памяти. Такое сказать может только человек не понимающий как работает теневое копирование.
И все это прекрасно работает в XP.
Это работает в любых ОС Windows где есть ntfs.

(33) пара наших бухов так же глупо попалось на шифровальщик. Спасло то что делался слепок системы незадолго до заражения и данные удалось восстановить. Однако мы решили устроить переписку со злодеем представившись бедным студентом и уломали на скидку в несколько тыс. руб.

неплохая идея менять расширения архивов с zip допустим на dll  и храни бэкапы хоть в каталоге с базой!!

(122) Говорите тогда, как теневую копию создать в XP.

(125) Сказочник это вы.. постоянно ляпнете что якобы что-то работает, не проверив. Я наоборот больше скептик.

(126) нет он не сказочник
http://www.microsoft.com/en-us/download/details.aspx?id=16220
Да прежде чем писать что -то про 2003 разверни там все группы и вдумчиво прочитай

+(127) вот это сделать и работает http://gotch.techfaq.ru/archives/59

(2) Какие странные слова, Бекап :)

Уж сразу давать ссылку для (0) https://ru.wikipedia.org/wiki/Резервное_копирование :)

(19) Плати деньги, что хотел услышать?
Пиши заявление в Полицию, так то это вымагательство :)

(130) Если сумма меньше МРОТ, полисмены не будут открывать дело. Нужен коллективный иск, проходили это уже!

(128) "Версия для XP, в первую очередь, отличается от «серверной» тем, что не может создавать «хранимые» (persistent) snapshot’ы, то есть по окончанию процесса резервирования snapshot удаляется. Это ограничение накладывает реализация VSS в XP."
И в статье нет ни слова о том, можно ли как-то работать из скрипта с такими "нехранимыми" снапшотами.

(127) Про 2003 разговора нет, это всё известно и работает..

(132) ? описано как можно запускать снапшоты, сохранять их, подключать как диск... тебе ещё что то надо?

(134) Крупицы информации есть в обсуждениях, но в статье - только про то, как работать с персистентными снапшотами.
В общем, похоже вы правы - c помощью костылей (vshadow.exe с передачей ему скрипта для запуска) можно таки заставить XP произвести копирование с использованием теневых копий.

PS Нашел утилитку hobocopy.exe, которая может копировать с использованием VSS даже в XP без танцев с бубном. Проверил - работает, свой ntuser.dat из загруженного профиля удалось скопировать. Рекомендую.
http://windata.ru/windows-world/utility/kopirovanie-zablokirovannyx-fajlov-s-hobocopy/
http://candera.github.io/hobocopy/

(135)Какие танцы с бубном?
РАботает и vssadmin, и можно вызывать через Win32_ShadowCopy

У меня все бэкапы на теневом копировании построены, XP и 2013 конечно мало осталось, но они есть.

И ведь проинструктированы все, не помогает!
Сегодня один сотрудник пытался ответить на письмо с вложением "карточка предприятия.rar" в архиве "карточка предприятия.exe". Хорошо, что у него Winrar не установлен. ;)

Вот, что он писал в ответ на "заряженное" письмо:

Добрый день!
Архив не открывается. Просим Вас прислать в другом формате

С уважением,
*** Павел, Старший мастер-консультант, Отдел сервиса

From: info [mailto:***]
Sent: Thursday, September 24, 2015 9:19 AM
To: Service
Subject: Fw: карточка


----- Original Message -----
From: Мухина Е.
To: ***@***.ru
Sent: Thursday, September 24, 2015 3:56 AM
Subject: карточка

Добрый день!
В продолжение телефонного разговора - высылаем Вам, карточку предприятия!
приложение: реквизиты
С уважением к Вам, ОАО "Строй-тех", бух-тер Евгения Мухина.
тел. 85-66-34, 85-66-16

(137) тот самый архив к своему ответу приаттачил?)

Не, ответ был без вложений.
И ведь неделю назад всех в очередной раз настропалили, когда появились письма с тем же вложением и завлекательным содержанием:
"Судебные приставы    Уведомление о начале судебного разбирательства"

(137) "И ведь проинструктированы все,"
Это следствие:
1) неправильного инструктажа (устно сказать - лишь по ушам поездить), а где подпись и страшилка про ликвидация последствий.
2) нет яркого примера горького опыта местного "Васи", который огрёб после такого инструктажа (считаю - лечит только увольнение со штрафом).

Из личного опыта. Подписал бумаги при приеме на работу, где ясно было сказано, что игрушка на компе в рабочее время - штраф 30 тыр + увольнение. Потом узнал, что действительно был такой случай там, открыл один перец виндовые картишки и ту-ту...

Вывод: правильно организованный бизнес-процесс требует единичного участия специалиста.

(140) А если сотрудник реально ждет письма от этого контрагента? Или сотрудник - секретарь и обязан открывать все письма? Не всё так просто.

(131) Если не пищать, что народ грабят, то вообще не будут рассматривать :)

(0) Решу Вашу проблему за 150000 рублей. Потом можете писать заявление на увольнение.

(140) Это следствия тупого скрытия системой, расширений у файлов. Народ даже забывает, что файлы подразделяются на расширения :)

(144) А если включить показ расширений - люди начнут массово их затирать при переименовании и в результате файлы перестанут открываться в ассоциированных программах. В винде тут недоработочка, конечно. Следовало бы для программ по умолчанию некий значок отображать, по примеру стрелочки ярлыка-ссылки. Или цветом выделять там..

(145)
> люди начнут массово их затирать при переименовании
предупредить соотв.органы на предмет массовых увольнений и в путь

(141) Все настолько просто, что даже не стоит обсуждать.
Тупых - уволить, оставшихся напугать, если достают - совместный анализ писем, про The Bat еще можно вспомнить.
А если мямлить и жевать жеванное, то да - проблема, причем нереально сложная.

(147) "Тупых - уволить, оставшихся напугать"
Вы свои московские замашки бросьте, в провинции это не работает. Уволить можно, а кто их работу делать будет? Тут народ безработицы не боится, ибо зарплата такая что за неё не держатся.

(141) А если секретарю поставить убунту без вайна? пусть открывает что хочет

(148) Вот-вот про такое жевание я и говорю. А всего-то - делов-то...
(149) Можно все проще решить, именно для любимых руководством секретарьшь.
Виртуальная машина с ее ежедневным бэкапом.

(150) Да убунта не сложнее. И по сетке ничего шифроваться не будет

(151) Ок. Как заведется любимая секретарьша у твоего руководителя, так ей и объяснишь.

(152) достаточно найти/сделать lines которые только под убунту запускаются...

(148)ты не прав,вот именно боится потому что вакансий мало а желающих много,и потому что на место уволенного куча голодных ртов набежит

(152) да не бойся ты убунты, она не такая сложная, как ты себе её представляешь

(155) Тренируешься на мне?! Оттачиваешь аргументацию для любимых барышень бигбосса?!
Продолжай, только с цветами и в стихах.

(156)ппц

(154) Пока этот новый голодный рот обучится работать - он таких дел напортачит, что завирусованный комп покажется мелкой неприятностью. А обученных взять негде (за ту зарплату).

(137)Зачем инструктировать?
Что теперь не открывать письма с вложениями вообще?
А если надо?

Все делается гораздо проще - нужно запретить запуск программ из директорий куда браузер качает файлы, а так же из временных директорий(в идеале запретить отовсюду, кроме разрешенных)

В результате пользователь будет скачивать любые файлы, и открывать их если это не исполняемый файл.
А если исполняемый - не сможет открыть.
Делается это все за полчаса.

(147)Ага ты предлагаешь уволить классных специалистов в своей профессии, за то что они не очень разбираются в IT.
Так им это и не надо, для этого есть айтишники.

Поэтому надо сказать так - тупых айтишников уволить, а пользователей не трогать.

Я у своих настроил политики уже давно, как только такие шифровальщики стали появлятся.
В результате регулярно приходят такие письма, и бывает их открывают.
Пользователям нет никаких неудобств, а запустить шифровальщик не получится.

(151) Проблема убунты далеко не в сложности.
Основная проблема убунты в том, что самой популярной ОС в бизнес среде является Windows.
Поэтому пользователям она привычней и удобней. А так же на убунту банально нет программ, ибо в основном их пишут под win.

это оно?

"Добрый день! Коллеги!

Мы внесли правки в Ваш типовой договор Можете, просмотреть, пожалуйста? Если все принимается, мы готовы его подписывать.
Обратите внимание, что объемы в спецификации мы указывали на уровне желаемых.
Если такие поставки организовать невозможно, будем уменьшать.


Спасибо за понимание!!

С Уважением!
Менеджер ООО Самбери
Никифорова Светлана    

Файлы(2)
   1)Оригинал договора.zip
   2)Договор с поправками:zip"

от "[email protected]" <[email protected]>  ([email protected])

дошли сабака и до тюмени

(162) вроде вдоль и поперек отрисованы вин интерфейсы

(163) Если болезнь не лечить, то она будет прогрессировать :)

(163) И где ты видишь исполняемые файлы?
Второй файл какой-то подозрительный. Или твой копипаст кривой.

(168) там ссылки левые
http://atlant-produkt.ru/Original_dogovora.rar
http://garciniacambogianow.info/Dogovor_s_popravkami.rar

я не качал и не советую если чо

(169) это оно???? ура!!!! дома запущу на виртуалке с включеным комодо - глянем кто кого

(169) я скачал, просто архив с экзешником

(169) Посмотрел первую ссылку - в архиве рар исполняемый файл "Оригинал договора.doc.exe" размер екзешника 473564 байт. Похоже на вирусяку.

То, что 3 дня назад пришло, сегодня DrWeb опознал:
карточка предприятия.exe","Trojan.Encoder.567, удален.
Размер 452 922.

Сегодня на корп. почту пришло:
Тема: оплата на завтра ООО "наша фирма"
текст: Доброе утро.
Отправляю Вам
пакет док-ов
для частичной оплаты.
Прошу всё пересмотреть
и подтвердить.
Манагеров смутил адрес отправителя: [email protected]

(174) )))))))))))))

(137) у вас Павел Чстов работает??????

Восстанавливал две файловых базы
Вот одно:
http://1c911.by/stati_1s/statya-vosstanovlenie-bazy-1s-77-email-deskripshen1cgmailcom.htm
Второе те же яйца почти

(177) Оконцовка статьи порадовала -
"Потеря данных после обработки составит менее 1%, а при наличии архивных копий стремится к нулю."

Если есть нормальная архивация то зачем столько нудных работ?
А если нет архивации то ничего не получится.
Т.е смысл  всех этих действий есть только при потере данных и наличии архивной копии которая с одной стороны не очень старая, чтобы получилось, с другой стороны не очень свежая, чтобы вообще был смысл возиться с восстановлением.

(177) Сколько, сколько ему заплатили за такое? :)

И надолго ли? :)

(178) + Вероятность повтора сцинария с шифровальщиком = 99% %)

(169) smartScreen от майкрософт заблокировал - не кашерный шифровальщик

(177) Круто! Респект!

(178) Знать путь и пройти его - не одно и то же. Написал именно так как есть, потому что бывает страдают именно свежие данные, мелкие таблицы - полностью мусор. Поэтому, конечно, чем свежее бэкап - тем лучше. В описанном случае бэкапу было несколько месяцев. но это ведь лучше чем ничего?

(0) было у шефа, правда не именно этот... в итоге, инфу похоронили... ну или рискнуть и заплатить вымогателям... может не обманут ))

У меня 2 дня назад одни клиенты тоже поймали шифровальщика. Но они уже один раз теряли базы из-за отказа рейда, и теперь ученые. Куча бекапов, виртуальная машина под сервер 1С. Короче восстанавливают все из бекапа. Но тем не менее все это заняло целый день.

И что так и не нашли хакеров кто это делает7? Куда смотрит отдел "К"

(186)А как ты их найдешь?
И это не хакеры а ОПГ.

(187)  ну бабки кудато перечисляются же. потом, в имайле написано "михаил светлов"

(188)Ну я за пять минут зарегистрирую e-mail с любым именем, надо "михаил светлов" - не проблема.

А деньги перечсляются на эл. кошелек или банковскую карту, владелец карты какой нибудь наркоман, который ничего про нее не знает, и не помнит, оформил когда деньги нужны были на дозу.
А снимать деньги в банкомат придет другой нарк, а чтобы он не сбежал с деньгами рядом будет дежурить несколько человек контролеров.

(189) деньги перечисляются через обменник на биткоин. Так как карта блокируется на раз-два. Кстати, кто словит - сторговаться реально с 20-25 тысяч до двух-трех. Только ныть убедительнее надо.

(190) Бывает и через биткойн гоняют, А то что карта блокируется - какая в этом проблема? Новые реквизиты недолго назвать.
А торговаться смысла нет, нафига платить деньги и торговаться если можно поднять из бэкапа?

(191)
> нафига платить деньги и торговаться если можно поднять
> из бэкапа?
так-то бэкапить не совсем бесплатное удовольствие, не?)

(191) Зачем писать очевидные вещи?
Если бы все все при все вовремя бэкапили - не было бы таких тем и таких заказчиков.

(192) А что там платного?

ну просто надо отселдить всю цепочку и миграци денег и все

(195) Как ты это сделаешь? Ты представляешь сколько это денег и ресурсов надо потратить?

(194) все то, из-за чего бэкапы не делают

У меня от такой фигни брат умер.

А по теме - никак, плати деньги.

(197)Пару тройку строк в блокноте написать, и запихать  в планировщик это дорого?

(185) Продолжение истории. Вторые мои клиенты словили шифровальщик. Самое интересное, что что за субботу-воскресенье словили двух шифровальшиков, теперь с них просят 2х размер оплаты. 50 тыс руб.
  Из-за разгильдяйства из файловой 7-ки народ не выходил, соответственно зашифровать ее не смогли. Погибла перефирийка и всякий мусор.

(199) типа, ты готов забесплатно исполнить сей фокус персонально каждому пожелающему, не?)

(201) Я готов забесплатно исполнить сей фокус для себя и своих данных.
Поэтому это бесплатно.

И это сделать может каждый, но если лень, нет желания, или знаний можно заплатить специалисту.

(202)
> Я готов забесплатно исполнить сей фокус для себя и своих
> данных.
> Поэтому это бесплатно.
этты просто совсем себя не ценишь )

(203) Я как раз очень ценю себя и свои данные.

А ты наверное когда кушаешь денег с себя же просишь, не лень тебе забесплатно ложку ко рту подносить?

Расскажу Вам, как я с этим гошей столкнулся. Попался у меня клиент на эту хрень тоже. Нашел, что писать надо на Igor Svetlov <[email protected]> и спрашивает, какие условия? В ответ игорек запросил [25 000 оплачивайте сюда]. Клиент ответил [это очень много, 2 500 могу]. Игорек пишет [чё с тобой поделать, давай 2500 р]. После идет переписка, как перевести, в итоге переводим 2500, как договорились. После гоша просит кое-что сделать:[https sendspace.com/file/n16wv2
Это программа, которая собирает ключи на компе, которыми зашифрованы файлы. Создаёте папку на диске С и в неё распаковываете архив с прогой.И запускаете нажав кнопку Start. после работы она создаст файл data.ini . Пришлите его обратно и я вышлю дешифратор.] Прога корячилась часа 4, создала этот файл, и я его отправляю в предвкушении. И вот ответ:[доплачивай 10 000]. Я охренел немного и говорю [Кинул раз - кинеш и еще. Клиент отказался доплачивать, а тебе веры больше нет.] Мол, присылай расшифровщик, или всем раскажу правду о тебе. Он пишет [в этом случае доплачивать будешь 40000]. Короче, мораль: в предидущих 6 случаях мои клиенты платили и все получалось, этим вымогателям можно было верить (если договорились и оплатили). А сейчас даже не знаю - сколько не плати, а мне кажется все равно кинут. P.S. Если денег мало, и обещают дешевле все вернуть - вернее всего потеряете и эти деньги только (им бы хапать всеми местами). P.s. Дешифрованные пробные файлы он так и не прислал, может и нет у них ключа расшифровки. И вообще они лучше не нашли,чем сервер @aol.com для почты (из 3-х писем одно доходит) - видать отовсюду их уже повыгоняли... [в таких скобках цитаты]