Господа, прошу помощи

Сегодня утром мне позвонил клиент с криками что нифига не работает. Все пропало.
Вхожу - вижу в базах 7.7 каталоги пустые начисто, в базах 8 - отсутствует только файл 1Cv8.1CD

Почти во всех. В КД БД не тронули. Без надобности.
Пропали некоторые папки с сетевых шар, некоторые остались. Файло под удаление было выбрано "руками". Так как остальные папки с шары на месте. Доки в них на месте. Ничего не зашифровано.

Бакапы - пусто. Единственное семерку бекапил еще тайком в инет в облачную шару. Благо весят не много, йота справляется.
Восьмерочные базы бакапились только на серв. Откуда благополучно были удалены.

Проги типа "*** recovery ***" не справились. Нашли только хвосты (каталоги и файлы нулевого размера) типа zzz.zz.zz.zzzzzz.zz

То есть удаляли или ccleaner или подобной тузлой методом NSA или Гутман.

Вобщем от баз 1С 8 нихрена не осталось.... кроме кеша. Кеш не тронули, не чистили.

Вопрос к знатокам - возможно ли выпилить базу из кеша?

если затерли то шансов примерно 0

Я думаю R.I.P

судя по выбору файлов затирал кто-то знающий. Нет ли там обиженного админа или 1с-ника?

(0) из кеша нет.
Наверное не заплатили предыдущему программисту

Походу...
Ну ладно.. Благо 7.7 восстановил.
Остатки заново загружу, Операции из ТиС загружу, декларации на руках, дальше бухи закрывать будут..

Вы дырки из инета сначала позакрывайте. И бекап бекапа настройте. :)

ищи куда могли копировать

Нашел интересный файл... больше 200 гб всего навсего...
Без расширения... даже не буду проверять что там... наврядли это архив.... ))

Стопудово скулевый бекап, сделанный путем добавления к существующему набору. :)

(8) зря, срубил бы денег за восстановление

(9) какой такой скуль при файловой бд ?

(11) Чьёорд. :)

(11) может переименованый архив сделал тот кто удалял, так на всякий случай. Посмотрел бы заголовки файла, может что понятней станет

А вообще, я бы на месте того, кто удалял, оставил бы себе возможность всё восстановить обратно, на случай, если найдут и применят терморектальный криптоанализатор....

(13) проще открыть его сразу архиватором

архиватором не открывается, по времени создания подходит
чем открыть 209 гб так чтобы не повисло все к хренам?

(16) Фар и Ф3 в нём. Смотреть на первые символы

(16) любым hex редактором

Очень надеюсь, что это не split

(19) кто?

открыл фаром...
просто набор белебердятины.. Заголовка файла "не видно"

Похоже зашифрован

(21) Первые символы какие?

Начинается с <корокозябрыкакието>адальшекорокозябрыхренпойми

сейчас скрин сделаю

(24) Чем смотрел? Давай хекс-коды...

да переименуй ты его в .zip да открывай. Будет там еще кто-то ерундой страдать, сделали поди многотомный архив и привет

(27) Ну, я бы сначала копию сделал. :)

(26) Смотрел фаром, сейчас покажу скрин
(27) Если бы он открывался зипом было бы просто песня

(28)http://prntscr.com/b2cqg9

(30) в (26)

(30) Нет доступа.

Нет доступа к сайту?

Файл не архив и не база 1с.
Явно зашфврован.

(34) это и архиваторы умеют делать

переименовать в exe пробовал? вряд ли обиженный админ заморочился так сильно, что бы шифровальщик писать

(0)Теневые копии были включены?

(8) Это случайно не VHD файл?
Образ диска?

Так... Это том TrueCrypt

При монтировании хочет пароль

(39) бери паяльник и ищи предыдущего прога/админа

TrueCrypt не поломать

(33) Да. К сайту.

(39) надо было параллельно искать злоумышленника, привязываясь ко времени удаления. С какого компа делалось, и как так все легко удалили, в базах никого в этот момент не было? А если было куча времени все затереть, значит в выходные по удаленке? Уж явно каждый встречный в сеть не зайдет и со знанием баз и мест не удалит. Спрашивайте у клиента кто мог свинью подложить.

(35) Там очевидно не ехе

(39) Если данные ценные...
Вполне вероятно что человек не заморачивался криптостойким паролем вида -loiUG%*&JHHGFV%, там скорее всего слово.

Трукрипт управляется из командной строки.
Набросать скриптик, и запустить словарную атаку.
Словари русских слов, и популярных паролей не сложно найти в сети.
Скорость подбора должна быть довольно приличной.
Миллион в день вполне реально.

"Потели-пердели, но вскрыть не сумели", набранное в английской раскладке - тоже криптостойко. Потребуется 7 млрд лет, чтобы добраться до подобной комбинации.

(43)злоумысла нашел... точнее его профиль. Из "бывших".
Там как раз трукрипт и стоит. И путь к тому в трукрипт прописан..
Логов нет.....

(47) в журналах windows входы этого юзера, время архива и дата должны совпасть. только смысла нет, сошлется на взлом учетки. вина полностью на текущем админе, должен был блокировать учетку от неадеквата.
TrueCrypt неплохая система, без пароля не сломаешь.

(48) "сошлется на взлом учетки"
только кто ему поверит? И кому он эту отмазку кинет - трем-четырем парням с битами?)

(48) Дело не в том кто виноват.
Всех лазеек не усмотришь.. хотя к этому и нужно стремиться.
Я за собой некоторую вину чувствую, что не смог предусмотреть всего всего всего. Но она такая. Для проформы. Практически вся вина лежит на злоумысле.
Но сейчас не об этом.
Переставлять сервак только потому что "я у него не первый" у каждого клиента - меня предадут анафеме.

Судя по логам криптовым использовался алгоритм SHA256
Ломать тут безнадежно пытаться. Ключем может быть все что угодно. Слово, фраза, файл, набор файлов, папка...

Судя по следам пребывания он что то качал на ЯД. Думается мне это и был ключ к контейнеру.

Вопчем ж...а, товарищи.

Сказал руку фирмы пусть договаривается, хотя коллегу считаю не правым. Сперва диалог, затем только воздействие. А не сперва воздействие, затем требования. Иначе статьйо.

Что где лежит и под каким ключем ясно, обсуждение впринципе можно закрывать. Спасибо за участие.

(52) чем шифруются файлы по этому алгоритму? вообще для меня дремучий лес...есть интересные примеры?

(53) чем угодно, где реализован этот алгоритм

(51) А ты уверен что диалога не было? Тебя же никто не обязан в курсе дела держать. А на твоём месте я бы деньги брал вперёд при таких раскладах ))

(51) см. (55) + я бы еще нашел "злодеятеля" и узнал, что его сподвигло на сие действие?