Здравствуйте.

Многие думаю сталкивались когда на сервер проник вирус и все там зашифровал.
После этого приходило сообщение о том, что для того чтобы получить расшифрованные данные, нужно оплатить некую сумму.

В этот момент как обычно резервной копии 1С конечно же нет)))

Так вот вопрос: - Удавалось ли кому нибудь расшифровать данные без платы злоумышленникам.

второй вопрос: - Кто нибудь есть кто платил?

Гм. А ведь хороший довод для минисервера.

Не надо рассчитывать на расшифровку в принципе. Вводная должна быть, что пипец может подкрасться в любой момент, а то что не скопировано, то бесполезное и даже немного вредное.

По моей практике счёт 18:2 в пользу шифровальщика.
Даже расшифрованная база неработоспособна. Все удачные восстановления были только за счёт архивов. Чем выше частота архивов, тем удачнее. Оплата не поможет. Лучше заплатить тем, кто восстановит данные вручную и на будущее правильно настроит защиту, архивирование и научит пользователей думать перед нажатием кнопок.

Директорам мало того, что данные каждую ночь копируются на другой сервер, который физически от основного находится в другом здании, так они еще раз в неделю забирают копии на переносной диск и кладут его в пожаростойкий сейф XD
Не стоит забывать, что компании делятся на два типа: кто не делает бэкапы и кто уже делает.

ну, тут как говорится сисадмины делятся на два типа...

(3) вручную восстановить реально только если работаешь недавно.
когда в базе годы работ, то нереально наверное вручную восстановить

Всем доброго утра. Этим летом поймали шифровальщика. Зашифрованы были и бэкапы. Пришлось платить. Все базы были работоспособные после дешифратора. Своими силами параллельно смогли восстановить 3 базы из 4.

Своими силами параллельно смогли восстановить 3 базы из 4.

Какими?

Вообще, давно напрашивается мысль, что файловые базы (а также документы) надо хранить на удаленном сервере с  версионной файловой системой типа btrfs с периодическим созданием снапшотов. И тогда шифровальщик испортит лишь последнее состояние, а предыдущие снапшоты останутся целыми. Ну и архивирование, разумеется - на раздел, недоступный по сети.

(8) Пишет же человек. Поймали шифровальщика. Применили методику терморектального криптоанализа. До перегрева шифровальщик успел дешифровать три базы.

(8) своими силами. Пока общались с хозяевами шифровальщика, параллельно восстанавливали Файлы с зашифрованного диска с бэкапом

(0) Копии тоже зашифровал. Потому что они лежали в той же подсети в открытой с сервера шаре.

(10) ерунду пишешь

Платить им, значит финансировать их.

(14) Можно посмотреть по другому - это плата за урок по обучению делать резервные копии))

(0) Из того что навскидку вспомнилось:
1. Одна фирма платила. 3000р вроде бы. Это было дешевле, нежели что-то другое делать. Базы поднялись нормально.
2. Одна фирма связалась с производителем антивируса(не помню точно, либо ДрВеб, либо Касперский). Там были не базы зашифрованы, а "очень важные ексельки", но эти ексельки могли подождать. Через месяц, примерно, расшифровали.

(9) в раельности достаточно просто держать базу открытой 24 часа. открытые базы шифровальщик не трогает.

(17) Это костыль. Рабочие документы тоже постоянно открытыми держать? И в конце концов, что мешает шифровальщику подключиться к базе в режиме разделенного доступа, как одному из клиентов - и делать своё черное дело над всеми незалоченными страницами?

(15) Так правильно говорят, лучше эту плату дать тому, кто восстановит базу, либо вобьёт заново первичку.

(18) Так это и к серверу можно подключиться и таблицы подропать все в схеме.

я к тому, что можно много что. Но на практике обычно берут незалоченный файл и портят его

(20) Я про файловую базу пишу. В случае sql снапшоты базы может делать сам sql-сервер.

(21) А версионный NAS сразу решает все проблемы. Кроме одной - гарантированного уничтожения данных при необходимости)

(18) он не сможет восстановить тогда, не путай, главная фишка у них восстановление базы после выплаты денег.

(24) я бы сказал, что главная фишка у них _получение_ денег. А уж с восстановлением как получится. Если что-то пойдет не так, они вряд ли будут за тобой бегать и говорить "давай попробуем восстановить еще раз" :)))

(24) Почему это не сможет? Создается файлик, куда пишутся смещения и размеры зашифрованных фрагментов, кладется рядышком с базой. И при расшифровке берутся эти координаты и проводится  позиционирование на нужные позиции и расшифровка.

у нас как раз была ситуация, шифровальщик напал днем. Все бекапы, которые нашел и все тестовые базы и копии зашифровал, все рабочие базы целы, потому что в них сидели пользователи.

(6)... а если нет бэкапов, то восстановление никому и не нужно.
Начинайте работать с чистого листа.

(28) Есть еще госконторы, где жмутся на сисадмина и на выделенный сервер. И потеря данных в таких фирмах очень болезненна. Именно они и являются целью для шифровальщиков.

(11) Вам повезло, что файлы были небольшие и шифрование было одинаковым для всех файлов. При объёме файла 1С больше 800 Мб база неработоспособна, даже если внешне выглядит восстановленной. ИМХО.

В 2012-м было дело на одном молзаводике. Заплатили 200 или 300 уе. Дешифровка файловую базу полностью оживила. С бэкапами была беда..

Один раз столкнулся с "ленивым" шифровальщиком, он большие файлы (а базы по несколько гиг же) не шифровал целиком, а только заголовки портачил )) Эти удалось восстановить своими силами. Знаю случай, когда хозяева платили - но там скромные аппетиты были у злодеев, что-то долларов 400 по тому ещё курсу получалось. Ну и недавно видел дневную атаку, он там много чего пошифровал, а вот базы ему не достались ) Один случай - "дырка" в протоколе RDP (не обновляли сервер), второй - простые пароли на удалённый вход, третий - троянский метод, через почту беспечный юзер поймал.

(32) в общем везде сами виноваты)