Всем привет. Комп, который торчит одним местом наружу атаковал вирус. В итоге часть файлов, в том числе бэкапы и файл самой БД 1С был зашифрован. Имя файла представлено примерно в таком виде: "Новый текстовый документ.txt.id-B081B0A2.[[email protected] ].wiki"
Пару баз удалось спасти, так как были запущены активные сеансы в 1С и соовтетственно вирусу не удалось файл поковырять. одна небольшая база ушла в небытие...нет ни бэкапов (все атаковано вирусом) на нее, ничего. Что попробовал:
1) chdbfl.exe вываливается на ошибке, что БД повреждена и ничего не происходит.
2) Tool_1CD. Программа просмотра структуры файла 1cd. Программа файл не открывает, так как размер не кратен 4096 (что-то подобное пишет).
3) где-то прочитал, что можно восстановить hex редактором структуру файла. Но ввиду отсутствия какого нибудь оригинала базы (чтобы сравнить hex-код), больше ничего не делал (да и особо не шарю в этой области).
Признаю, что сам виноват, но прошу помощи у вас. Может кто сталкивался с похожей ситуацией, можно ли как-то восстановить файлы?
Всем спасибо за помощь.

п.с.
чтобы сильно помидорами не кидались: я разработчик 1С, а не сисадмин.

А причём тут chdbfl, Tool_1CD, hexeditor и шифраторы?
Ты запароленные архивы хекседитором тоже будет раскрывать?

(2) рыл информацию в интернете, где что вычитывал - пробовал.

(3) У тебя базу не слегка поломали. А зашифровали. Самый надёжный путь восстановление из бекапа. Менее надёжный - найти на диске текстовик с адресом вымогателя и связаться с ним.
Самый ненадёжный - послать базу касперскому или другому антивиру.

https://www.youtube.com/watch?v=e1gYylSnUwk

(0) Расшифровать не своими силами не удастся.
Есть надежда на теневые копии и shadow explorer. Если шифровальщик до них не добрался.

(6) на файлы то в принципе пофигу. а теневая копия файла базы 1С тоже существует?

(7) забей в общем. Но на будущее сделай выводы: бекапы надо хранить на другом компе, и в нерасшаренной папке. Или на съемном диске.

(7) К сожалению, что в вашем случае я не знаю. Но попытка не пытка. В целях общего развития.

(0) Говорят, ребята из Касперского могут помочь дешифровать файлы, но для обращения к ним нужна лицензия на антивирус.

спасибо всем за помощь!

Пробуй, попытка не пытка
https://forum.kasperskyclub.ru/index.php?showtopic=48525

(12) спасибо! нашел на их форуме темы с этим вирусом, пишут что нету дешифровщика, могут только от вируса устройство избавить...

Есть дешифровщик. Мы тоже поймали такую заразу. Конторка в Москве берется за декодирование. За деньги. И не маленькие. Не хочу делать им рекламу, но вышел на них через поиск в Яндексе.

(14) так немаленькие деньги можно и создателям шифровальщика заплатить

(14) Если конторка расшифровывает, значит вирус распространяет она, т.к. ключи расшифровки только у злоумышленников, других способов расшифровать нет. Иначе давно бы спецы из Drweb или Каспера написали дешифровщики.

(0)

Тему внимательно не читал.
В общем всё выглядит так:

Если зловред правильно использует какое-нибудь популярное опенсорсное шифрование то без закрытого ключа всё глухо. Возможно кто-то в АНБ может расшифровать, но они не расшифруют.

Если зловред написан без грубых ошибок то закрытый ключ есть только у вымогателя или ни у кого нет. То есть без выкупа всё сложно.
Иногда ключи утекают в паблик, возможно в результате гуманизма вымогателей, возможно в результате выкупа ключей антивирусописателями с оптовой скидкой, возможно в результате применения к вымогателям терморектального криптоанализа.

У правильного шифрования только одна проблема, оно медленное. По этому иногда авторы пытаются написать своё шифрование. Оно ломается, в отличии от опенсорсного.

(0) Извиняюсь конечно, но как вы его запустили этот "присланый" файлик?

(0) Вирус не шифрует весь фал, а только какой-то первый набор байтом, даже просто килобайт...

(17) обычно шифруют не всю базу, а только начало. Тогда всё очень быстро, за несколько секунд.

(16)
Варианты:
0. Они и есть вирусописатели.
1. Умение вести переговоры. Вирусописатели не знают ценности файлов и можно в принципе попробовать поторговаться. Но у меня это давно не срабатывает.
2. Оптовые скидки. Если посредник покупает ключи сотнями то она может получить у вирусописателей хорошую скидку.
3. Легализация. Если заплатить вирусописателям например биткоины полученные в результате какой-то противозаконной деятельности за которые невозможно отчитаться перед банком или налоговой то получить от клиентов легальные деньги может быть выгодно. Но в России такой проблемы практически нет.

я читал, что один программер отомстил вымогателям за заражение домашнего компа, проникнув в их сеть и выложив в открытый доступ ключи шифрования

(20) Стандартное шифрование не умеет "шифровать не всю базу (или файл) а только начало". При использовании стандартного шифрования на практике тупо поиск по маске и шифрование всего что найдено.

(23) вы это теоретически, а я вам как в реальности происходит. Я лично присутствовал. У нас распространение вируса остановили сисадмины через 5 минут. Тем не менее были зашифрованы практически все базы и даже базы, которые в сети расшаренные. То есть всё, докуда вирус смог дотянуться.

(8) Как бэкапить на другой комп так, чтобы туда вирус не добрался?

(25) Например, сливай бэкапы по ФТП с запретом удаления/изменения, т.е. чтобы этот логин мог только новые файлы закачивать, а к однажды закаченному у него доступа уже нет.

(24) Когда массовое распространение криптолокеров только началось почти все вирусописатели использовали самописное шифрование и часто ошибались. Вероятно одной из причин такого подхода было отсутствие опыта а второй относительная слабость компьютеров. Ошибки вирусописателей позволяли написать утилиту дешифровки.

В какой-то момент, ориентировочно лет пять- восемь назад, авторы вирусов начали массово отказываться от самописного шифрования. Именно потому что дешевле заплатить Касперскому чем вирусописателям. Дешифровать зашифрованное стандартными утилитами без ключа невозможно.  Но ещё года два-три можно было договориваться и торговаться с вирусописателем. Потом и эта тема накрылась. Там похоже робот сейчас.

Ваш случай это как раз попытка автора вируса для увеличения скорости отказаться от стандартного шифрования. В таком случае файлы часто можно восстановить.  Но это относительно редкий случай. Я с таким давно не сталкивался.

> У нас распространение вируса остановили сисадмины через 5 минут.

через 5 минут от какого момента? за 5 минут даже заявку не все успеют завести, а уж чтобы сразу зашевелились по ней в большой компании, это надо быть директором, ну или минимум входить в высшее руководство.

(0) беги форест, беги!!!!

все программисты делятся на тех кто ещё не делает бэкапы и кто уже

(28) что сисадмин у вас сам себе заявку пишет? И подписывает у директора? Круто.

(25) создаешь сетевой ресурс, доступный только определенному пользователю. Подключаешь этот ресурс на момент бэкапа. В остальное время он отключен

(30) да, у нас все базы остались целы. а все экселевские и вордовские файлы исчезли. Никто не додумался их копировать.

(34) и сообщение уж потом, бана то мало, ктотнитььда позвонит

(35) потри

рвать на попе волосы предлагали уже?

до шифровальщиков еще вирусы типа пенетратора были,которые просто файлы мусором затирают.
шифровальщик,в отличие от них работает медленнее.
и используется сессионный ключ,который живет только в памяти.
поэтому,процесс шифровпльщика можно остановить и сделать дамп памяти,что очень часто помогает в рамшифровке.

(32) Фуфло. Окно возможностей открывается в момент аттача сетевого ресурса.
Не так надо делать.

(19) разные дряни бывают.... был случай пока шифровались данные видеонаблюдения программист срочно выдернутый из дома (у охраны видео пропало со всех камер) успел до работы доехать охренеть от письма в текстовом файле на рабочем столе и отрубить по питанию все сервера.... базы 1С стались целые, а вот видеоархив - нет.

(0) Посмотри начало файла и его заголовок, обычно, шифровальщик портит, начало, конец.. максимум, вставляет мусор в середину файла.