Здравствуйте! Поделитесь информацией, как это может происходить?
Владелец сервера говорит что через rdp который он дал для
удаленного доступа к нему залезли недоброжелатели. Поставили
вымогатель, зашифровали каталоги и требуют выкуп.
Система Windows 10. Вообще пароль и пользователь не сложный был
на доступ по rdp. Бывает такое или это флуд?

(82) ну, вообще то работает, и об этом все знают кроме тебя )
(85) так шифровальщик тут причем?

(88) А Avira?

(87) Сначала слать лесом, а потом, за отдельную плату строить защиту.

(86)если не новый то можно в ДрВеб отправить образец зашифрованного файла, возможно у них уже есть дешифратор

(89) дроппер в комплекте
(90) рофл

(93) Как это?

(92)https://support.drweb.ru/new/free_unlocker/for_decode/

(94) Смеется он с вас. Для серьезных вещей авира годится мало. Особенно ее бесплатная версия. Касторского рекомендую, причем если вы хотите защиту от шифровальщиков - придется активировать проактивку и мучиться с ее паранойей - она будет вам рубить в том числе и вполне законные действия. Все это придется долго и муторно подстраивать.

(94) Не парься по мелочам. Твоя первоочередная задача поднять данные. Отправляй файлы к вэбу и касперу. Пробуй их утилиты по дешифрации.

(95) Вообще не палятся ребята

(96) Ну касперский платный. Нужно покупать.

А эти (88) же тоже бесплатные? И они лучше авиры?

(99) монописуальны. Ты точно из России?

(100) Я спросил, платными предлагаете пользоваться антивирусами?

(101) Лучшая политика это бэкап. Причем бэкап не только локальный но и в облака через спец. канал.

(101) Запомни уже наконец великую мудрость: Скупой платит дважды. А безопасность - это не та сфера, где нужно экономить. Например, сравни стоимость потерянных данных и связанного с этим простоя + затраты на восстановление и стоимость антивируса. Если стоимость сопоставима - вам антивирус не нужен.

(102) У меня был бэкап, пробую восстановить пишет, ошибка потока. Это от чего так? Бэкап битый?

(104+) Кажется платформа старая, попробую на новой.

(104) бэкапы надо еще и проверять, причем до, а не после

(104) DT - это не бэкап и никогда бэкапом не был.

А кажется просто dt тоже шифранули )

RDP последней версии с настройками по-умолчанию и хорошим паролем на 10 символов - это очень надежная вещь.
Все порты кроме RDP должны быть закрыты, номер порта не стандартный, ехо-ответ отключен, гостевая запись отключена.
Я не слышал чтобы ломали сам rdp. Это или знание или подбор тупого пароля (123456 или день рождение) или вирус изнутри сервер. Например зашли с сервера в инет и подцепили заразу.

(108) я копировал до этого.
Там сейчас к дт всякие буквы добавлены

Странно, платформа та же, но не разворачивается (

(99) нужно. Антивирус нужно покупать, еще нужно покупать нормальные файрволлы и еще, о ужас, надо платить специалистам которые разбираются в безопасности. А вы как хотели?

(111) открой блокнотом, в начале должно быть что то типа 1CDBMSV8

+ (112) если ничего из перечисленного приципиально не делать, но результат обычно такой как в (0)...

(113) Долго открывался файл в блокноте.
В начале там, -???????
Может что с кодировкой файла?

(115+) Японское иероглифы. Не отобразились при отправке.

(113) У меня вначале DT вот такое: 1CIBDmpF3

(116) Потому что не надо DT блокнотом открывать. Он для этого не предназначен. Смотри по F3 в том же ФАРе, например.

(118) А в Total commander можно по F3?

По F3 в total commander 1CIBDmpF3.

(120) Значит, это заголовок DT. Но это ещё не значит, что он не битый :)

Почему же он тогда не развернулся?
Ошибка потока, а другой более ранний развернулся.

(122) Потому что DT не гарантирует на 100% ни то, что он развернётся. Поэтому его и нельзя использовать в качестве бэкапа. Эта тема стара, как мамонт.

(123) А что использовать в качестве бэкапа файловой базы?

Поверишь? .1CD

(125) То есть, из каталога базы брать .1CD?
И потом его открывать, не выгружать .dt?
Так правильно?

6.9.1. Файловый вариант информационной базы

ВНИМАНИЕ! Резервное копирование необходимо выполнять перед любой операцией, которая может повредить данные, находящиеся в информационной базе.

ВНИМАНИЕ! Во время выполнения операции резервного копирования информационной базы в файловом варианте к информационной базе не должно быть никаких подключений (в том числе и конфигуратором).
Создание резервной копии осуществляется в любой программе, поддерживающей работу с файлами. С помощью программы работы с файлами необходимо открыть каталог с информационной базой. Для создания копии информационной базы можно просто скопировать файл 1Сv8.1CD в отдельный каталог. Для восстановления (в случае утери, порчи и т. д.) информационной базы достаточно скопировать сохраненный файл в прежний каталог.

Заметим, что для копирования информационной базы также можно использовать специализированное программное обеспечение, предназначенное для резервного копирования и восстановления данных.

Для повышения информативности резервной копии, рекомендуется включать в ее состав также файлы журнала регистрации (подробнее см. здесь), которые хранятся в каталоге 1Cv8Log каталога информационной базы. В этом случае восстановление информационной базы также желательно выполнять совместно с журналом регистрации (каталогом 1Cv8Log). В этом случае станет доступна информация по всем действиям, которые были выполнены в информационной базе до момента резервной копии.

Это с ИТСа

(123) В общем-то верно, но с 8.3.9:
Выгрузка информационной базы в файл .dt будет прервана при обнаружении проблем с внутренней стуктурой информационной базы.
http://downloads.v8.1c.ru/content//Platform/8_3_11_2528/1cv8upd.htm#ef625835-b613-11e6-a3f7-0050569f678a

(128) Ясно спасибо. В каких случаях тогда выгружать .dt?

(129) Неверно скопипастил:
"Выгрузка информационной базы в файл .dt НЕ будет прервана при обнаружении проблем с внутренней структурой информационной базы." :))

(130) В случае перевода файловой базы в скуль и обратно.

(123) .dt это бекап Шрёдингера

(131) но на ошибке формата потока она таки грохнется

(131) Нет ошибся в ссылке
http://downloads.v8.1c.ru/content//Platform/8_3_11_2528/1cv8upd.htm#a8f5068d-c7f7-11e4-a3f7-0050569f678a
и это в 8.3.7. 1С не очень последовательна :)

Выяснилась причина, от куда работали скрипты.
Под пользователем, -

asp.net

который обладал полными правами.
Никому не знакомо это?

(135)+ Хотя скорее в 8.3.7 поставили строгую проверку перед выгрузкой базы, а в 8.3.9 ослабили её, исключив проверки в маловажных структурах.

(0) а что ВПН нынче не кошерно?

(136) Поиск нагуглил это: https://otvet.mail.ru/question/25358006

(139) Спасибо, да говорили про Microsoft .NET Framework то что это с ней пришел этот файл.
И им пользуются злоумышленники? Нужно его удалять при его появлении?

(140+) То есть этот пользователь системы.

(140) Нет, злоумышленники пользуются безалаберностью пользователей и непрофессионализмом админов.

(142) Под этим пользователем работал злоумышленник.
То есть если бы его админ. во время удалил, этого бы не было?

(143) Если-бы не было админских прав - то да. Вообще выяснять нужно кто что недавно устанавливал откуда качал дистрибутив с NET. В большинстве случаев, "правильные" программы требуют самостоятельно скачивать его, а не в составе дистрибутива, ибо оно охраняется законом об авторстве.

(144) Ну как то он поставился, с какой то программой.
Или даже с операционной системой.

(145) Как, как. Какой-то админ скачал и поставил. Некоторые игрушки, кстати требуют установки  .NET Framework.

(145) С операционкой по умолчанию .NET Framework не ставится. Так что установка его - это вполне осмысленное действие.

(0) Сдается мне у ТС конфликт с предыдущим админом или программистом.

(145) Ну вот и ответ твоему начальству на претензии к тебе: NET не ставится автоматически с легальным контентом!!!
Это собственность майкрософта. Распространяется свободно, НО только с сайта майкрософта, все остальное - на свой страх и риск. Риск оказался неоправданым.

(148) Нет. На него "вешают" косяк админа, и думаю затраты на восстановление и простои.

(147) То есть принудительно он не может поставиться ни с операционной системой. Ни с 1с. Ни с какой другой нужной
программой?

Сам он не мог поставится и прописаться в пользователи?

(151) НЕТ!!! Еще раз. NET является собственностью компании майкрософт и только они вправе раздавать его бесплатно.

(153) Ну вот с win 10 при обновлении и встроили может его?

(152) Может, если прописан в составе дистрибутива (естественно с установкой с админскими правами), но данный дистрибутив автоматически становится "пиратским" в который может быть понапихано все что угодно, в том числе и шифровальщики и прочие трояны для автоматического снятия денег с Вашей личной банковской карты через клиент-банк.

(154) Ты по-моему переработал... Ты реально считаешь что единственный кто сегодня качал\устанавливал обновления винды?

вы там иис с .нет не попутали, нет?

После установки 1с никто не обнаруживал у себя .NET Framework?

Понятно, не известно от куда он взялся. У меня его нет.
И асп.нет этого тоже.

(155) Понятно, спасибо за развернутый ответ.

(160) Как личный совет. Рекомендуйте своему заказчику провести аудит его IT системы, сторонней организацией, специализирующейся на аутсорсинге. С соответствующими выводами о работе сисадмина. (хотя вменяемый начальник уже-бы расчитал такого админа).

(150) Сервер то какой? Система то понятно, а вдруг тс и зашифровал все?

(162) Да нету там ни чего, кроме авиры и прямого канала в инет с админскими правами всем входящим.

+ (163) и кучи софта (читать игрушек) качаемого с левых сайтов. Не удивлюсь, если втихарца и парнушкой балуются :)

(164) я и подумал - вы не устали бесплатно советы давать?

(165) Плачу той-же монетой. Мне тут много помогли абсолютно бесплатно... С некоторыми ещё и платно (на много дешевле чем местные франчи) посотрудничал.

(162) да легко, решил опубликовать базу, нашел на руборде самый древний надежный иис, согласился на "настроить фаервол", хоп и кошка больше не тороид, шаловливые ручки пробили анизотропную пленку спасавшую попу кошки от разжижающего мозги влияния ввв

Вот у нас админ молодец, дал мне доступ по RDP но я даже если захочу что-нибудь заразить вирусом, то все равно не смогу. Даже просто сам файл с вирусом нельзя положить на комп. Что уж говорить о том чтобы вирус сам туда попал. Вообще никак.

(168) Это ты не сможешь, а тот, кто поднял сам себе права с бесправной учетки asp.net - может. И шифровальщик - это не вирус.

(168) тебе подсказывал кто то как это сделать

(169) Да никто не сможет. Там же серверная операционка, и админ не тупой.
Москва - столица России.
(170) Не понятно. Ты про что?

Все же это идет бесплатно и требуется большинству программ .NET Framework.

(172) Назовите РАБОЧИЕ программы, которым позарез нужен NET. У меня в основном он хочет установиться тогда, когда устанавливаю игры

(0) На самом деле в винде дырок такая куча, что абсолютно не факт что через РДП это было. Моих клиентов на Вин2008 шифранули гениальным способом. Была такая дырка в winlogon - если ты 5 раз нажал шифт, то служба авторизации падала. Ну и короче - вешаешь отладчиком после этого cmd, который запускается, естественно, от имени системы, и заводишь из командной строки пользователя с любыми правами.

(173) https://www.microsoft.com/en-us/download/details.aspx?id=44989

(173) Точно не скажу, но на сколько помнится, что то требовало его установки в обязательно порядке.
Давно ничего не ставил.

(168) использовав одну из известных уязвимостей, можно запустить интерпретатор команд с правами системной службы и получить доступ. Зачастую это делается, вообще не имея прав входа в систему - просто специально сформированным пакетом через сетевую карту срывают стек и запускают что надо.

+(177) из свежего можно почитать по WanaCry, из более старого касательно винды - LoveSan (MSBlact), Sasser, Conficker и иже с ними.

(0) Бывает. Любой комп выставьте напрямую в интернет, а потом почитайте логи - там долбежка постоянная с подбором логинов

(96) антивирусы мало помогут, потому что реальный человек заходит по ломанному логину и запускает шифровальщик вручную.

Проверено на собственной шкуре

(173)"Назовите РАБОЧИЕ программы, которым позарез нужен NET."

из того, что пришло на память, например "Подготовка пакета электронных документов для государственной регистрации", недавно такую ставил и как-раз из-за нее пришлось NET.Framework поставить, ранее его на ПК не было
https://www.nalog.ru/rn77/program/5961271/
http://slob-expert.ru/spravochnye-materialy/besplatnye-programmy-v-pomoshh-buxgalteru/kak-prosto-podgotovit-dokumenty-dlya-gosregistracii/
"С программой «ППДГР» при первой установке обязательно нужно использовать следующие программы:
пакет Microsoft NET.Framework 4.0. Если этот пакет не установлен на ваш компьютер, его необходимо установить. Ссылка на пакет Microsoft NET.Framework 4.0 — ссылка;
Microsoft Access Database Engine 2010. Установить эту программу можно по ссылке — ссылка."

(151)"То есть принудительно он не может поставиться ни с операционной системой. Ни с 1с. Ни с какой другой нужной
программой?"

так можно-же посмотреть когда он был поставлен, может он давным-давно установлен, проверьте дату его установки.

(174) пятикратное нажатие шифта включает режим залипания клавиш. У меня так.

(183) Ага, и падение службы авторизации. Я всегда так делаю если нужно войти на сервер на работе когда админ отсутствует.

(184)ОС какая?

(185) Server 2016 Datacenter

(0)Один из самых популярных методов заражения криптолокером - RDP. Банальный брутафорс.

Проблема в том что многие выставляют RDP со старыми протоколами защиты, и слабым паролем.

Если выставляете RDP наружу - там есть штатные методы обеспечения безопасности, плюс пара пользователь- пароль должна быть достаточно сложной для брутафорса.

(0) Что-то древнее вы там словили: https://forum.drweb.com/index.php?showtopic=324287

Не факт, что сервис дешифровки до сих пор работает.