|
Вирус зашифровал базу 1С, а копий нет Ø (Волшебник 30.08.2016 11:40) | ☑ | ||
---|---|---|---|---|
0
moneyget
22.08.16
✎
11:29
|
Второй раз сталкиваюсь с такой проблемой, заказчик идиот, а за сапорт платить не хочет.
В общем, заплатил он за пароль, вот думаю, может кому поможет переписка с "создателем" вируса. Кстати вирус пришел по почте, в эксель файле с именем типа "прайс поставщика", ну его и открыли. Вот на хабре тоже самое описывают https://habrahabr.ru/company/trinity/blog/269067/ А вот и переписка: -------- Пересылаемое сообщение -------- От кого: Bredd Matter <[email protected]> Кому: Марк Семенов <[email protected]> Дата: Воскресенье, 21 августа 2016, 23:09 +03:00 Тема: Re: Архив 8/21/2016 9:44 PM, Марк Семенов пишет: > Привет! > Все я перевел. > Жду от тебя информацию. > > > Воскресенье, 21 августа 2016, 17:38 +03:00 от Bredd Matter > <[email protected]>: > > 8/21/2016 2:52 PM, Марк Семенов пишет: > > Читали)))Согласны,куда платить? > > > > > > Воскресенье, 21 августа 2016, 13:43 +03:00 от Bredd Matter > > <[email protected] <mailto:[email protected]>>: > > > > 8/21/2016 9:13 AM, Марк Семенов пишет: > > > Согласны,у нас все равно нет вариантов))) > > > Есть хоть какие то варианты,что вы отдадите пароли? > > > > > > > > > Воскресенье, 21 августа 2016, 8:54 +03:00 от Bredd Matter > > > <[email protected] <mailto:[email protected]> > <mailto:[email protected] > <mailto:[email protected]>>>: > > > > > > 8/20/2016 4:47 PM, Марк Семенов пишет: > > > > Добрый день! > > > > Вы взломали нам 1с. > > > > Наш ID 185.---.---.26 > > > > > > > > > > > > -- > > > > Марк Семенов > > > Здравствуйте. > > > Ситуация такова: от вас требуется произвести оплату на кошелек > > > Bitcoin в > > > эквиваленте 19000р. Получаю деньги - выдаю пароль + > рекомендации по > > > "затычке дырок" в вашей системе и забываем друг о друге. > > > Оплата на Bitcoin производится через множество электронных > > > обменников, > > > можете их выбирать сами или можете воспользоваться вот этим > списком > > > официальных обменников, например по обмену "Сбербанк на Bitcoin": > > > https://www.bestchange.ru/sberbank-to-bitcoin.html?p=37712 > > > Там же можно выбрать и другие направления обмена (с другого > банка, с > > > QIWI и т.д.) > > > Счет и подробная инструкция будут выданы после подтверждения вами > > > готовности оплачивать указанную сумму. > > > > > > > > ну как бы архив с данными у вас лежит. Хотел бы кинуть - удалил бы > > просто все и сказал что данные у меня лежат, а после оплаты - > > слился > > бы.. Если сами не будете затягивать - то через 1-2 часа сможете > > продолжать работу как ни в чем ни бывало + избавитесь от лазеек в > > системе и никто вас более не потревожит. > > В конце концов почту мою загуглите.....Не вы первые не вы > > последние, но > > кинутых не было > > > > > 17WEQrXvfTmdjZRHqJQzKdp6ugENxuxwoM на этот счет Bitcoin > > 1.Определитесь, что у вас есть на руках, какого рода деньги - > сбербанк, > qiwi, альфабанк или еще что то? > 2. Открываете список обменников тут: > https://www.bestchange.ru/?p=37712 > 3.Слева выбираете, что вы отдаете, например сбербанк, справа - то > что вы > получаете, bitcoin > 4.По центру вам выдает список обменников, которые делают обмен в > нужном > вам выбранном направлении. Верхний с самым выгодным курсом. > 5.Идете уже на этот обменник и в нем опять выбираете что вы отдаете и > что получаете и вводите МОЙ адрес bitcoin который я вам написал. А > отдаете - уже свои данные, карта там, ФИО и прочее что запрашивается. > 6.Жмете обменять (или далее) и следуете дальнейшим инструкциям > обменника, оплачиваете и ждете исполнения заявки на обмен. > 7.Сообщаете мне что заявка выполнена. > 8.Я проверяю свой счет, если средства зачислены - выдаю вам ваш > пароль и > прочее. > > пароль 349230a* Поставьте политику сложных паролей для входа юзеров по RDP или разрешите вход на терминалку только из локальной сети или только определенным маскам IP адресов + запрет юзерам на действия с файлами на дисках с БД (удаление) и бекапами. и уберите уязвимость, связанную с выполнением команды REG ADD "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\sethc.exe" /v Debugger /t REG_SZ /d "C:\windows\system32\cmd.exe" |
|||
1
Гаврилин Игор
22.08.16
✎
11:38
|
Коллега сталкивался прошлой осенью с этим роб стюартом (кстати, переводится rob как грабитель). Но там повезло, были свежие бэкапы на съемном носителе. Восстановили файлы сами.
А так да, за глупость надо платить. |
|||
2
Garykom
гуру
22.08.16
✎
11:38
|
Это реклама "платите вымогателям" или реклама чего? Что бэкапы обязательны причем правильно сделанные?
|
|||
3
Garykom
гуру
22.08.16
✎
11:39
|
ааа понял реклама статьи на хабре
|
|||
4
Dmitry1c
22.08.16
✎
11:40
|
Дак я не понял. Заплатили и пароль помог расшифровать архив?
|
|||
5
DDwe
22.08.16
✎
11:43
|
(4) И не говори, чем кончилось не ясно...
|
|||
6
birkoFFFF
22.08.16
✎
11:45
|
(5) Да все ясно, заплатили деньги, им выслали пароль, они расшифровали базы.
|
|||
7
zak555
22.08.16
✎
11:46
|
знаю, как заплатить, а потом вернуть назад деньги
|
|||
8
Garykom
гуру
22.08.16
✎
11:47
|
(7) Это https://xakep.ru/2014/04/25/62414/ ?
|
|||
9
DDwe
22.08.16
✎
11:47
|
(6) Ну из этой грустной повести это явно не следует, зачем додумывать за автора.
|
|||
10
DrZombi
гуру
22.08.16
✎
11:49
|
(0) Спасибо, но скоро он еще разок заплатит...
Вымогатели они 100% начнут атаковать этого элемента :) |
|||
11
birkoFFFF
22.08.16
✎
11:50
|
(6) Там явно написано что клиент заплатил за пароль, а в переписке видно что пароль получил. Тут даже думать не надо.
|
|||
12
zak555
22.08.16
✎
11:56
|
(8) нет
|
|||
13
lubitelxml
22.08.16
✎
11:57
|
(12) давай уже ссылку
|
|||
14
Evgueni
30.08.16
✎
11:08
|
Купили новый сервак и поставили на тестирование. Сегодня ночью хакер установил на сервак winrar, остановил службы 1С и SQL и зашифровал скульные базы и бакупы раром с паролем. Оставил записку:
"К Вашему серверу был получен доступ в связи с непрофессиональной настройкой безопасности. Ваши базы и файлы были архивированы при помощи архиватора WinRAR с паролем. Для просмотра файлов откройте архив, для распаковки файлов требуется ввести пароль. За паролем, Вы можете обратиться, написав на электронный адрес [email protected] В письме укажите свой ip адрес хх.ххх.ххх.ххх (был указан реальный адрес) Также вам будут даны подробные рекомендации по устранению недостатков в безопасности сервера, во избежания подобных ситуаций в будущем." Потом почистил за собой лог аудита. Ломился ко мне со следующего адреса: "Уровень безопасности сервера терминалов обнаружил ошибку в потоке протокола и отключил этот клиент. IP-адрес клиента: 213.80.168.34." Могу только сказать ему большое спасибо за проверку безопасности моего нового сервака в тестовом режиме :) |
|||
15
DrZombi
гуру
30.08.16
✎
11:11
|
(14) Ты хоть ему открытку вышли, за успешное тестирование.
И подзадорить его, что он еще разок попробовал взломать :) |
|||
16
Evgueni
30.08.16
✎
11:22
|
(15) Вот когда пришлёт мне подробные рекомендации, вот тогда и пришлю ему открытку с Йоулупукки под новый год :)
|
|||
17
shinobufag
30.08.16
✎
11:26
|
> Поставьте политику сложных паролей для входа юзеров по RDP
Открыли рдп наружу и сидят ждут пока кто нибудь к ним не заглянет. Мда. |
|||
18
Это_mike
30.08.16
✎
11:27
|
(14) Хонипот?
и вообще, в чем смысл выставлять скервер - даже на тестировании - наружу? |
|||
19
Evgueni
30.08.16
✎
11:38
|
(17) Вообще-то на этот сервак был по непонятным причинам открыт RDP во внешний мир. ip адрес долго не испольлзовался, а старые правила остались.
|
Форум | Правила | Описание | Объявления | Секции | Поиск | Книга знаний | Вики-миста |