Имя: Пароль:
IT
Админ
Вирус зашифровал базу 1С, а копий нет
Ø (Волшебник 30.08.2016 11:40)
0 moneyget
 
22.08.16
11:29
Второй раз сталкиваюсь с такой проблемой, заказчик идиот, а за сапорт платить не хочет.

В общем, заплатил он за пароль, вот думаю, может кому поможет переписка с "создателем" вируса.
Кстати вирус пришел по почте, в эксель файле с именем типа "прайс поставщика", ну его и открыли.

Вот на хабре тоже самое описывают https://habrahabr.ru/company/trinity/blog/269067/


А вот и переписка:




-------- Пересылаемое сообщение --------
От кого: Bredd Matter <[email protected]>
Кому: Марк Семенов <[email protected]>
Дата: Воскресенье, 21 августа 2016, 23:09 +03:00
Тема: Re: Архив

8/21/2016 9:44 PM, Марк Семенов пишет:
> Привет!
> Все я перевел.
> Жду от тебя информацию.
>
>
> Воскресенье, 21 августа 2016, 17:38 +03:00 от Bredd Matter
> <[email protected]>:
>
> 8/21/2016 2:52 PM, Марк Семенов пишет:
> > Читали)))Согласны,куда платить?
> >
> >
> > Воскресенье, 21 августа 2016, 13:43 +03:00 от Bredd Matter
> > <[email protected] <mailto:[email protected]>>;:
> >
> > 8/21/2016 9:13 AM, Марк Семенов пишет:
> > > Согласны,у нас все равно нет вариантов)))
> > > Есть хоть какие то варианты,что вы отдадите пароли?
> > >
> > >
> > > Воскресенье, 21 августа 2016, 8:54 +03:00 от Bredd Matter
> > > <[email protected] <mailto:[email protected]>;
> <mailto:[email protected]
> <mailto:[email protected]>>>;:
> > >
> > > 8/20/2016 4:47 PM, Марк Семенов пишет:
> > > > Добрый день!
> > > > Вы взломали нам 1с.
> > > > Наш ID 185.---.---.26
> > > >
> > > >
> > > > --
> > > > Марк Семенов
> > > Здравствуйте.
> > > Ситуация такова: от вас требуется произвести оплату на кошелек
> > > Bitcoin в
> > > эквиваленте 19000р. Получаю деньги - выдаю пароль +
> рекомендации по
> > > "затычке дырок" в вашей системе и забываем друг о друге.
> > > Оплата на Bitcoin производится через множество электронных
> > > обменников,
> > > можете их выбирать сами или можете воспользоваться вот этим
> списком
> > > официальных обменников, например по обмену "Сбербанк на Bitcoin":
> > > https://www.bestchange.ru/sberbank-to-bitcoin.html?p=37712
> > > Там же можно выбрать и другие направления обмена (с другого
> банка, с
> > > QIWI и т.д.)
> > > Счет и подробная инструкция будут выданы после подтверждения вами
> > > готовности оплачивать указанную сумму.
> > >
> > >
> > ну как бы архив с данными у вас лежит. Хотел бы кинуть - удалил бы
> > просто все и сказал что данные у меня лежат, а после оплаты -
> > слился
> > бы.. Если сами не будете затягивать - то через 1-2 часа сможете
> > продолжать работу как ни в чем ни бывало + избавитесь от лазеек в
> > системе и никто вас более не потревожит.
> > В конце концов почту мою загуглите.....Не вы первые не вы
> > последние, но
> > кинутых не было
> >
> >
> 17WEQrXvfTmdjZRHqJQzKdp6ugENxuxwoM на этот счет Bitcoin
>
> 1.Определитесь, что у вас есть на руках, какого рода деньги -
> сбербанк,
> qiwi, альфабанк или еще что то?
> 2. Открываете список обменников тут:
> https://www.bestchange.ru/?p=37712
> 3.Слева выбираете, что вы отдаете, например сбербанк, справа - то
> что вы
> получаете, bitcoin
> 4.По центру вам выдает список обменников, которые делают обмен в
> нужном
> вам выбранном направлении. Верхний с самым выгодным курсом.
> 5.Идете уже на этот обменник и в нем опять выбираете что вы отдаете и
> что получаете и вводите МОЙ адрес bitcoin который я вам написал. А
> отдаете - уже свои данные, карта там, ФИО и прочее что запрашивается.
> 6.Жмете обменять (или далее) и следуете дальнейшим инструкциям
> обменника, оплачиваете и ждете исполнения заявки на обмен.
> 7.Сообщаете мне что заявка выполнена.
> 8.Я проверяю свой счет, если средства зачислены - выдаю вам ваш
> пароль и
> прочее.
>
>
пароль 349230a* Поставьте политику сложных
паролей для входа юзеров по RDP или разрешите вход на терминалку только
из локальной сети или только определенным маскам IP адресов + запрет
юзерам на действия с файлами на дисках с БД (удаление) и бекапами.

и уберите уязвимость, связанную с выполнением команды REG ADD
"HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution
Options\sethc.exe" /v Debugger /t REG_SZ /d "C:\windows\system32\cmd.exe"
1 Гаврилин Игор
 
22.08.16
11:38
Коллега сталкивался прошлой осенью с этим роб стюартом (кстати, переводится rob как грабитель). Но там повезло, были свежие бэкапы на съемном носителе. Восстановили файлы сами.

А так да, за глупость надо платить.
2 Garykom
 
гуру
22.08.16
11:38
Это реклама "платите вымогателям" или реклама чего? Что бэкапы обязательны причем правильно сделанные?
3 Garykom
 
гуру
22.08.16
11:39
ааа понял реклама статьи на хабре
4 Dmitry1c
 
22.08.16
11:40
Дак я не понял. Заплатили и пароль помог расшифровать архив?
5 DDwe
 
22.08.16
11:43
(4) И не говори, чем кончилось не ясно...
6 birkoFFFF
 
22.08.16
11:45
(5) Да все ясно, заплатили деньги, им выслали пароль, они расшифровали базы.
7 zak555
 
22.08.16
11:46
знаю, как заплатить, а потом вернуть назад деньги
8 Garykom
 
гуру
22.08.16
11:47
9 DDwe
 
22.08.16
11:47
(6) Ну из этой грустной повести это явно не следует, зачем додумывать за автора.
10 DrZombi
 
гуру
22.08.16
11:49
(0) Спасибо, но скоро он еще разок заплатит...
Вымогатели они 100% начнут атаковать этого элемента :)
11 birkoFFFF
 
22.08.16
11:50
(6) Там явно написано что клиент заплатил за пароль, а в переписке видно что пароль получил. Тут даже думать не надо.
12 zak555
 
22.08.16
11:56
(8) нет
13 lubitelxml
 
22.08.16
11:57
(12) давай уже ссылку
14 Evgueni
 
30.08.16
11:08
Купили новый сервак и поставили на тестирование. Сегодня ночью хакер установил на сервак winrar, остановил службы 1С и SQL и зашифровал скульные базы и бакупы раром с паролем. Оставил записку:
"К Вашему серверу был получен доступ в связи с непрофессиональной настройкой безопасности.
Ваши базы и файлы были архивированы при помощи архиватора WinRAR с паролем.
Для просмотра файлов откройте архив, для распаковки файлов требуется ввести пароль.
За паролем, Вы можете обратиться, написав на электронный адрес [email protected]
В письме укажите свой ip адрес хх.ххх.ххх.ххх (был указан реальный адрес)
Также вам будут даны подробные рекомендации по устранению недостатков в безопасности сервера,
во избежания подобных ситуаций в будущем."
Потом почистил за собой лог аудита.
Ломился ко мне со следующего адреса:
"Уровень безопасности сервера терминалов обнаружил ошибку в потоке протокола и отключил этот клиент. IP-адрес клиента: 213.80.168.34."
Могу только сказать ему большое спасибо за проверку безопасности моего нового сервака в тестовом  режиме :)
15 DrZombi
 
гуру
30.08.16
11:11
(14) Ты хоть ему открытку вышли, за успешное тестирование.
И подзадорить его, что он еще разок попробовал взломать :)
16 Evgueni
 
30.08.16
11:22
(15) Вот когда пришлёт мне подробные рекомендации, вот тогда и пришлю ему открытку с Йоулупукки под новый год :)
17 shinobufag
 
30.08.16
11:26
> Поставьте политику сложных паролей для входа юзеров по RDP
Открыли рдп наружу и сидят ждут пока кто нибудь к ним не заглянет. Мда.
18 Это_mike
 
30.08.16
11:27
(14) Хонипот?
и вообще, в чем смысл выставлять скервер - даже на тестировании - наружу?
19 Evgueni
 
30.08.16
11:38
(17) Вообще-то на этот сервак был по непонятным причинам открыт RDP во внешний мир. ip адрес долго не испольлзовался, а старые правила остались.