Здравствуйте. Бухглатер пустил к себе вирус шифровальщик, все файлы стали формата [email protected] 1.0.0.0.id-VPFORPBTTYXMCRVJZNRVAEIMGVZDXBQUOSWK-22.09.2015 10@[email protected]

Каким образом все вернуть обратно? Вариант менять винду и тд не очень  уж хороший совет. Также базы пару так пропали, они срочно нужно вернуть.

(104).1 https://en.wikipedia.org/wiki/Shadow_Copy

The end result is similar to a versioning file system, allowing any file to be retrieved as it existed at the time any of the snapshots was made. Unlike a true versioning file system, however, users cannot trigger the creation of new versions of an individual file, only the entire volume. As a side-effect, whereas the owner of a file can create new versions in a versioning file system, only a system administrator or a backup operator can create new snapshots (or control when new snapshots are taken), because this requires control of the entire volume rather than an individual file. Also, many versioning file systems (such as the one in VMS) implicitly save a version of files each time they are changed; systems using a snapshotting approach like Windows only capture the state periodically.

https://en.wikipedia.org/wiki/NTFS#Volume_Shadow_Copy

(94) XP ...

(108) Спасибо за ссылки. Но даже в этом случае система теневых копий сможет гарантировать только целостность структуры базы на какой-то момент времени, но на логическом уровне будут возможны ошибки. Ведь этот механизм никак не учитывает транзакции в самой 1С. И если копия создавалась в промежутке между началом проведения документа и его концом, то
запросто может получиться, что половина документа сохранится в копии, а другая половина нет.

Именно это я имел в виду, когда сказал, что для корректной работы теневых копий необходима поддержка провайдера данных - чтобы учесть транзакции.

(110) вроде 1с правильно использует операции типа flush, вероятность счастливого исхода весьма велика. ну будет немного мусора от незавершенных транзакций в файле, да и фиг с ним.

(87) Как зачем? Чтобы подзаработать:)) Чтобы у меня ключик-то был.

(111) согласен, что при использовании теневых копий вероятность счастливого исхода весьма велика.

Настораживает только то, что люди начинают копировать папку с базой без отключения пользователей безотносительно - настроены ли у них теневые копии на диске или нет.

И вот в случае отсутствия теневого копирования (а у большинства пользователей файловых версий его нет, потому что не знают про него или падает производительность от неправильной настройки) получить битую базу простым копированием в проводнике весьма и весьма вероятно.

Да вот прям сегодня мне в спам пришло письмо.

Вкратце:

Некая компания уведомляет о смене директора.
Говорят, что нужно срочно подписать и выслать.

В письме две ссылки. Замечу, что не прикреплен файл, а указана ссылка.

Вот скольким людям разослали это письмо и сколько тупых сотров нажали на ссылку.

на партнерском была недавно тема про рассылку от "1с" про то, что лицензии протухли и все такое. с вордовым файлом во вложении

Я тут не так давно, когда был спор про шифровальщик делал скриптом порядка 30копий теневых копий базы во время обновления.
Все базы оказались живы.

(113)Вы как то неправильно понимаете теневое копирование.
Неважно включено у вас теневое копирование или нет.
Простым копированием вы все равно получите битую базу.

(117) я понимаю, что с использованием теневого копирования на диске - нужно не просто копировать папку с базой, а запустить самому или программно создание этой теневой копии и вот с ней уже работать. Поэтому спор и начался, что копировать просто папку с базой - зло.

(118)Да. Надо сначала примонтировать созданную теневую копию в папку, и после этого копировать ее спокойно.

(98) +1 Вирь все равно всё зашифрует, имхо.

(119) В XP это не работает( Там не поддерживаются хранимые снапшоты, которые можно примонтировать. Штатная утилита архивации создает снапшот перед архивацией, но он "в памяти". А из командной строки по расписанию с указанием параметров эта утилита не запускается..(

(121) Умеете вы сказки рассказывать, прям талант...

Теневая копия не может быть в памяти. Такое сказать может только человек не понимающий как работает теневое копирование.
И все это прекрасно работает в XP.
Это работает в любых ОС Windows где есть ntfs.

(33) пара наших бухов так же глупо попалось на шифровальщик. Спасло то что делался слепок системы незадолго до заражения и данные удалось восстановить. Однако мы решили устроить переписку со злодеем представившись бедным студентом и уломали на скидку в несколько тыс. руб.

неплохая идея менять расширения архивов с zip допустим на dll  и храни бэкапы хоть в каталоге с базой!!

(122) Говорите тогда, как теневую копию создать в XP.

(125) Сказочник это вы.. постоянно ляпнете что якобы что-то работает, не проверив. Я наоборот больше скептик.

(126) нет он не сказочник
http://www.microsoft.com/en-us/download/details.aspx?id=16220
Да прежде чем писать что -то про 2003 разверни там все группы и вдумчиво прочитай

+(127) вот это сделать и работает http://gotch.techfaq.ru/archives/59

(2) Какие странные слова, Бекап :)

Уж сразу давать ссылку для (0) https://ru.wikipedia.org/wiki/Резервное_копирование :)

(19) Плати деньги, что хотел услышать?
Пиши заявление в Полицию, так то это вымагательство :)

(130) Если сумма меньше МРОТ, полисмены не будут открывать дело. Нужен коллективный иск, проходили это уже!

(128) "Версия для XP, в первую очередь, отличается от «серверной» тем, что не может создавать «хранимые» (persistent) snapshot’ы, то есть по окончанию процесса резервирования snapshot удаляется. Это ограничение накладывает реализация VSS в XP."
И в статье нет ни слова о том, можно ли как-то работать из скрипта с такими "нехранимыми" снапшотами.

(127) Про 2003 разговора нет, это всё известно и работает..

(132) ? описано как можно запускать снапшоты, сохранять их, подключать как диск... тебе ещё что то надо?

(134) Крупицы информации есть в обсуждениях, но в статье - только про то, как работать с персистентными снапшотами.
В общем, похоже вы правы - c помощью костылей (vshadow.exe с передачей ему скрипта для запуска) можно таки заставить XP произвести копирование с использованием теневых копий.

PS Нашел утилитку hobocopy.exe, которая может копировать с использованием VSS даже в XP без танцев с бубном. Проверил - работает, свой ntuser.dat из загруженного профиля удалось скопировать. Рекомендую.
http://windata.ru/windows-world/utility/kopirovanie-zablokirovannyx-fajlov-s-hobocopy/
http://candera.github.io/hobocopy/

(135)Какие танцы с бубном?
РАботает и vssadmin, и можно вызывать через Win32_ShadowCopy

У меня все бэкапы на теневом копировании построены, XP и 2013 конечно мало осталось, но они есть.

И ведь проинструктированы все, не помогает!
Сегодня один сотрудник пытался ответить на письмо с вложением "карточка предприятия.rar" в архиве "карточка предприятия.exe". Хорошо, что у него Winrar не установлен. ;)

Вот, что он писал в ответ на "заряженное" письмо:

Добрый день!
Архив не открывается. Просим Вас прислать в другом формате

С уважением,
*** Павел, Старший мастер-консультант, Отдел сервиса

From: info [mailto:***]
Sent: Thursday, September 24, 2015 9:19 AM
To: Service
Subject: Fw: карточка


----- Original Message -----
From: Мухина Е.
To: ***@***.ru
Sent: Thursday, September 24, 2015 3:56 AM
Subject: карточка

Добрый день!
В продолжение телефонного разговора - высылаем Вам, карточку предприятия!
приложение: реквизиты
С уважением к Вам, ОАО "Строй-тех", бух-тер Евгения Мухина.
тел. 85-66-34, 85-66-16

(137) тот самый архив к своему ответу приаттачил?)

Не, ответ был без вложений.
И ведь неделю назад всех в очередной раз настропалили, когда появились письма с тем же вложением и завлекательным содержанием:
"Судебные приставы    Уведомление о начале судебного разбирательства"

(137) "И ведь проинструктированы все,"
Это следствие:
1) неправильного инструктажа (устно сказать - лишь по ушам поездить), а где подпись и страшилка про ликвидация последствий.
2) нет яркого примера горького опыта местного "Васи", который огрёб после такого инструктажа (считаю - лечит только увольнение со штрафом).

Из личного опыта. Подписал бумаги при приеме на работу, где ясно было сказано, что игрушка на компе в рабочее время - штраф 30 тыр + увольнение. Потом узнал, что действительно был такой случай там, открыл один перец виндовые картишки и ту-ту...

Вывод: правильно организованный бизнес-процесс требует единичного участия специалиста.

(140) А если сотрудник реально ждет письма от этого контрагента? Или сотрудник - секретарь и обязан открывать все письма? Не всё так просто.

(131) Если не пищать, что народ грабят, то вообще не будут рассматривать :)

(0) Решу Вашу проблему за 150000 рублей. Потом можете писать заявление на увольнение.

(140) Это следствия тупого скрытия системой, расширений у файлов. Народ даже забывает, что файлы подразделяются на расширения :)

(144) А если включить показ расширений - люди начнут массово их затирать при переименовании и в результате файлы перестанут открываться в ассоциированных программах. В винде тут недоработочка, конечно. Следовало бы для программ по умолчанию некий значок отображать, по примеру стрелочки ярлыка-ссылки. Или цветом выделять там..

(145)
> люди начнут массово их затирать при переименовании
предупредить соотв.органы на предмет массовых увольнений и в путь

(141) Все настолько просто, что даже не стоит обсуждать.
Тупых - уволить, оставшихся напугать, если достают - совместный анализ писем, про The Bat еще можно вспомнить.
А если мямлить и жевать жеванное, то да - проблема, причем нереально сложная.

(147) "Тупых - уволить, оставшихся напугать"
Вы свои московские замашки бросьте, в провинции это не работает. Уволить можно, а кто их работу делать будет? Тут народ безработицы не боится, ибо зарплата такая что за неё не держатся.

(141) А если секретарю поставить убунту без вайна? пусть открывает что хочет

(148) Вот-вот про такое жевание я и говорю. А всего-то - делов-то...
(149) Можно все проще решить, именно для любимых руководством секретарьшь.
Виртуальная машина с ее ежедневным бэкапом.

(150) Да убунта не сложнее. И по сетке ничего шифроваться не будет

(151) Ок. Как заведется любимая секретарьша у твоего руководителя, так ей и объяснишь.

(152) достаточно найти/сделать lines которые только под убунту запускаются...

(148)ты не прав,вот именно боится потому что вакансий мало а желающих много,и потому что на место уволенного куча голодных ртов набежит

(152) да не бойся ты убунты, она не такая сложная, как ты себе её представляешь

(155) Тренируешься на мне?! Оттачиваешь аргументацию для любимых барышень бигбосса?!
Продолжай, только с цветами и в стихах.

(156)ппц

(154) Пока этот новый голодный рот обучится работать - он таких дел напортачит, что завирусованный комп покажется мелкой неприятностью. А обученных взять негде (за ту зарплату).

(137)Зачем инструктировать?
Что теперь не открывать письма с вложениями вообще?
А если надо?

Все делается гораздо проще - нужно запретить запуск программ из директорий куда браузер качает файлы, а так же из временных директорий(в идеале запретить отовсюду, кроме разрешенных)

В результате пользователь будет скачивать любые файлы, и открывать их если это не исполняемый файл.
А если исполняемый - не сможет открыть.
Делается это все за полчаса.

(147)Ага ты предлагаешь уволить классных специалистов в своей профессии, за то что они не очень разбираются в IT.
Так им это и не надо, для этого есть айтишники.

Поэтому надо сказать так - тупых айтишников уволить, а пользователей не трогать.

Я у своих настроил политики уже давно, как только такие шифровальщики стали появлятся.
В результате регулярно приходят такие письма, и бывает их открывают.
Пользователям нет никаких неудобств, а запустить шифровальщик не получится.

(151) Проблема убунты далеко не в сложности.
Основная проблема убунты в том, что самой популярной ОС в бизнес среде является Windows.
Поэтому пользователям она привычней и удобней. А так же на убунту банально нет программ, ибо в основном их пишут под win.

это оно?

"Добрый день! Коллеги!

Мы внесли правки в Ваш типовой договор Можете, просмотреть, пожалуйста? Если все принимается, мы готовы его подписывать.
Обратите внимание, что объемы в спецификации мы указывали на уровне желаемых.
Если такие поставки организовать невозможно, будем уменьшать.


Спасибо за понимание!!

С Уважением!
Менеджер ООО Самбери
Никифорова Светлана    

Файлы(2)
   1)Оригинал договора.zip
   2)Договор с поправками:zip"

от "[email protected]" <[email protected]>  ([email protected])

дошли сабака и до тюмени

(162) вроде вдоль и поперек отрисованы вин интерфейсы

(163) Если болезнь не лечить, то она будет прогрессировать :)

(163) И где ты видишь исполняемые файлы?
Второй файл какой-то подозрительный. Или твой копипаст кривой.

(168) там ссылки левые
http://atlant-produkt.ru/Original_dogovora.rar
http://garciniacambogianow.info/Dogovor_s_popravkami.rar

я не качал и не советую если чо

(169) это оно???? ура!!!! дома запущу на виртуалке с включеным комодо - глянем кто кого

(169) я скачал, просто архив с экзешником

(169) Посмотрел первую ссылку - в архиве рар исполняемый файл "Оригинал договора.doc.exe" размер екзешника 473564 байт. Похоже на вирусяку.

То, что 3 дня назад пришло, сегодня DrWeb опознал:
карточка предприятия.exe","Trojan.Encoder.567, удален.
Размер 452 922.

Сегодня на корп. почту пришло:
Тема: оплата на завтра ООО "наша фирма"
текст: Доброе утро.
Отправляю Вам
пакет док-ов
для частичной оплаты.
Прошу всё пересмотреть
и подтвердить.
Манагеров смутил адрес отправителя: [email protected]

(174) )))))))))))))

(137) у вас Павел Чстов работает??????

Восстанавливал две файловых базы
Вот одно:
http://1c911.by/stati_1s/statya-vosstanovlenie-bazy-1s-77-email-deskripshen1cgmailcom.htm
Второе те же яйца почти

(177) Оконцовка статьи порадовала -
"Потеря данных после обработки составит менее 1%, а при наличии архивных копий стремится к нулю."

Если есть нормальная архивация то зачем столько нудных работ?
А если нет архивации то ничего не получится.
Т.е смысл  всех этих действий есть только при потере данных и наличии архивной копии которая с одной стороны не очень старая, чтобы получилось, с другой стороны не очень свежая, чтобы вообще был смысл возиться с восстановлением.

(177) Сколько, сколько ему заплатили за такое? :)

И надолго ли? :)

(178) + Вероятность повтора сцинария с шифровальщиком = 99% %)

(169) smartScreen от майкрософт заблокировал - не кашерный шифровальщик

(177) Круто! Респект!

(178) Знать путь и пройти его - не одно и то же. Написал именно так как есть, потому что бывает страдают именно свежие данные, мелкие таблицы - полностью мусор. Поэтому, конечно, чем свежее бэкап - тем лучше. В описанном случае бэкапу было несколько месяцев. но это ведь лучше чем ничего?

(0) было у шефа, правда не именно этот... в итоге, инфу похоронили... ну или рискнуть и заплатить вымогателям... может не обманут ))

У меня 2 дня назад одни клиенты тоже поймали шифровальщика. Но они уже один раз теряли базы из-за отказа рейда, и теперь ученые. Куча бекапов, виртуальная машина под сервер 1С. Короче восстанавливают все из бекапа. Но тем не менее все это заняло целый день.

И что так и не нашли хакеров кто это делает7? Куда смотрит отдел "К"

(186)А как ты их найдешь?
И это не хакеры а ОПГ.

(187)  ну бабки кудато перечисляются же. потом, в имайле написано "михаил светлов"

(188)Ну я за пять минут зарегистрирую e-mail с любым именем, надо "михаил светлов" - не проблема.

А деньги перечсляются на эл. кошелек или банковскую карту, владелец карты какой нибудь наркоман, который ничего про нее не знает, и не помнит, оформил когда деньги нужны были на дозу.
А снимать деньги в банкомат придет другой нарк, а чтобы он не сбежал с деньгами рядом будет дежурить несколько человек контролеров.

(189) деньги перечисляются через обменник на биткоин. Так как карта блокируется на раз-два. Кстати, кто словит - сторговаться реально с 20-25 тысяч до двух-трех. Только ныть убедительнее надо.

(190) Бывает и через биткойн гоняют, А то что карта блокируется - какая в этом проблема? Новые реквизиты недолго назвать.
А торговаться смысла нет, нафига платить деньги и торговаться если можно поднять из бэкапа?

(191)
> нафига платить деньги и торговаться если можно поднять
> из бэкапа?
так-то бэкапить не совсем бесплатное удовольствие, не?)

(191) Зачем писать очевидные вещи?
Если бы все все при все вовремя бэкапили - не было бы таких тем и таких заказчиков.

(192) А что там платного?

ну просто надо отселдить всю цепочку и миграци денег и все

(195) Как ты это сделаешь? Ты представляешь сколько это денег и ресурсов надо потратить?

(194) все то, из-за чего бэкапы не делают

У меня от такой фигни брат умер.

А по теме - никак, плати деньги.

(197)Пару тройку строк в блокноте написать, и запихать  в планировщик это дорого?

(185) Продолжение истории. Вторые мои клиенты словили шифровальщик. Самое интересное, что что за субботу-воскресенье словили двух шифровальшиков, теперь с них просят 2х размер оплаты. 50 тыс руб.
  Из-за разгильдяйства из файловой 7-ки народ не выходил, соответственно зашифровать ее не смогли. Погибла перефирийка и всякий мусор.

(199) типа, ты готов забесплатно исполнить сей фокус персонально каждому пожелающему, не?)

(201) Я готов забесплатно исполнить сей фокус для себя и своих данных.
Поэтому это бесплатно.

И это сделать может каждый, но если лень, нет желания, или знаний можно заплатить специалисту.

(202)
> Я готов забесплатно исполнить сей фокус для себя и своих
> данных.
> Поэтому это бесплатно.
этты просто совсем себя не ценишь )

(203) Я как раз очень ценю себя и свои данные.

А ты наверное когда кушаешь денег с себя же просишь, не лень тебе забесплатно ложку ко рту подносить?

Расскажу Вам, как я с этим гошей столкнулся. Попался у меня клиент на эту хрень тоже. Нашел, что писать надо на Igor Svetlov <[email protected]> и спрашивает, какие условия? В ответ игорек запросил [25 000 оплачивайте сюда]. Клиент ответил [это очень много, 2 500 могу]. Игорек пишет [чё с тобой поделать, давай 2500 р]. После идет переписка, как перевести, в итоге переводим 2500, как договорились. После гоша просит кое-что сделать:[https sendspace.com/file/n16wv2
Это программа, которая собирает ключи на компе, которыми зашифрованы файлы. Создаёте папку на диске С и в неё распаковываете архив с прогой.И запускаете нажав кнопку Start. после работы она создаст файл data.ini . Пришлите его обратно и я вышлю дешифратор.] Прога корячилась часа 4, создала этот файл, и я его отправляю в предвкушении. И вот ответ:[доплачивай 10 000]. Я охренел немного и говорю [Кинул раз - кинеш и еще. Клиент отказался доплачивать, а тебе веры больше нет.] Мол, присылай расшифровщик, или всем раскажу правду о тебе. Он пишет [в этом случае доплачивать будешь 40000]. Короче, мораль: в предидущих 6 случаях мои клиенты платили и все получалось, этим вымогателям можно было верить (если договорились и оплатили). А сейчас даже не знаю - сколько не плати, а мне кажется все равно кинут. P.S. Если денег мало, и обещают дешевле все вернуть - вернее всего потеряете и эти деньги только (им бы хапать всеми местами). P.s. Дешифрованные пробные файлы он так и не прислал, может и нет у них ключа расшифровки. И вообще они лучше не нашли,чем сервер @aol.com для почты (из 3-х писем одно доходит) - видать отовсюду их уже повыгоняли... [в таких скобках цитаты]