У клиента такая вот хрень зашифровала все базы. Я файл бегло глянул - в начале до адреса 0x40000 сплошные нули, а далее типа такого:
{"_DOCUMENTJOURNAL14510_1",0,
{"_FLD977",0},
{"_DOCUMENTTREF",4},
{"_DOCUMENTRREF",16}
}
Т.е. файл где-то целенький...

Собственно вопрос, можно ли выцарапать данные из такого вот файла?

Это база ЗУП-а,
другая, бухгалтерская с вот таким содержимым с того же адреса:

{"_CONSTCHNGR19381"...

(0) архивов нема ?

И..там врят ли тока заголовок, нынче модно мусор и в середину/конец пихать

(2) Угуг, нема. Точнее архивы делались, но только в соседнюю папочку. А потому - они тоже превратились в тыкву. :-(

Если типовая, то hex редактором тупо вырежи кусок из демо-базы и вставь, потом через toolcd пробовать распаковать

(5) Что-то я поискал это самое "toolcd" у себя и не нашел :-( Можешь прислать, пожалуйста, на мыло в личке?

(5) не пройдет, две одинаковые базы будут иметь кучу различий в области начала

(0) >>> в начале до адреса 0x40000 сплошные нули
это точно НЕ шифрование, когда шифруют то там не нули...

это или кто-то пытался востановление с диска файла делать или преднамеренно ЗАТЕРЛИ часть базы, если копии нет - пиши пропало.

(0) В свойствах файла "1Cv8.1CD" случайно предыдущей версии нет? Если есть - то скопировать папки с базами на внешний носитель и восстановить.

(8) файла "1Cv8.1CD" - самого уже нет, вместо него "1Cv8.1CD.id-_____.[[email protected]].pgp"

(9) А по папке?
Судя по всему дешифратора нет
https://forum.kasperskyclub.ru/topic/65574-shifrovalschik-openpgpfoxmailcompgp-i-server-1s/

Обратись к местному расшифровщику. У него недавно платная тема была. Заодно отпишешься о результате

(0) Это не зашифровали, это испортили

(0) Попробуй обратиться сюда https://market-gg.ru/

(13) Спасибо, конечно, но это не "герои моего романа". Просто баз будет несколько, и если с ними разобраться и нащупать методику восстановления, то значит все их можно будет поднять. Если же нет, то, возможно, выгоднее будет заплатить хацкерам, чтобы тогда расшифровать все, вместе с прочими, довольно важными документами. А через товарищей - только базы вернуть, это хоть и нужно, но не столь выгодно.

Собственно говоря, руководство сейчас склоняется к варианту - посадить кучку бухов и забивать все данные заново...

З.Ы. Делайте бэкапы!

(14) Есть маленький ньюнс, Делайте бэкапы в недоступном для шифровальщика месте, накрайняк в папку винды с расширением dll ))))

(15) В 3 местах: на локальном диске (если сломалась база и надо быстро восстановить), на другом сервере без доступа извне в этом здании (для защиты от вирусов), в другом здании (на случай пожара и потопа).

(16) " на другом сервере без доступа извне в этом здании" и как это сделать если бэкап формируется на родной машине? бэкап сформировался на родной машине, тут его злой вирус пожрал и пожранное закинули как нормальный бэкап на другой сервер?

(17) Будет хотя бы вчерашний бэкап...

(16) + В другой стране на случай революции, запрета интернета и т.п.

(18) Злоп плохо понимает понятие стек бекапов, и если файл пожрал вирус, бекапер его не заберет, потому что надо настраивать маску забираемого бекапа и не все подряд тянуть

(17) Ну для начала, правильный бэкапсофт, пока не отправит файл его не отпустит, соответственно и вирус ничего сделать не сможет.

(17) я делаю просто. есть линуксовый сервачок, на который бэкапится в конкретную папку архивы. Ежедневно по крону архив копируется в папку с конкретной датой, и ставится read-only на эту папку. Никакой шифровальшик, не зная пароля рута, ничего оттуда удалить, или записать туда не может. Папка доступна, но только на чтение.

(22) Ага, у меня примерно также: https://i.imgur.com/idc0Mx5.png

(20) Злоп нормально понимает стек бэкапов и в отличие от некоторых оптимистов рассматривает пессимистические сценарии когда зловреды тупо даже файл не переименуют. потому что зловреды.

(21) если бы все у всех было зашибись то и проблем бы не было.

Вот у меня бэкапы на 2-х машинах.
Одна локально, рядом с базой, второй на другой машине на другом этаже, копируется по локалке. Копирование только в одну сторону, без удаления. Маску спасибо подсказали, сделал только .bak. Теперь если вирус к примеру сделает "17062020.bak-_____.[[email protected]].pgp", то файл просто не пройдет.

Вопрос к знающим людям. Шифровальщик же только шифрует файлы на текущем компе или еще шифрует всё в сетевых папках?

(26) к чему доступ будет

(26) Бывает и сетевые шпарит только в путь. У нас копирование без расширения, но по маске. Любое расширение не пройдет.

(26) По линкам не ходит, пока по крайней мере не встречал, а вот если будет подключен сетевой диск как диск, то и там все за шифруется

А чё в облако никто не льет? )

(30) У меня сжатый архив основной базы 10 Гб. Никаких облаков не хватит. 2Тб уже архивами забил

(26) по сетевым папкам ходит. Надо 2 раза бекапы копировать, сначала на другой комп, а потом на этом компе еще и в несетевую папку.

(31) это стоит копейки, если уж пару тыщ в год это много, то в чем ценность ваших данных?

(31) Зачем тебе 200 бэкапов?

(34) у него наверно не одна база. А так вообще-то если оставлять один архив, то за 10 лет накапливается 120 архивов. Ну и в текущем году нужно явно больше архивов, чем один в месяц. В последний месяц желательно ежедневные хранить - это еще 30 архивов.

Правильная защита от шифрования - это клиент-сервер, когда доступ к базе блокирован СУБД.

(36) А потом появляется хитрый шифровальщик, который стопит службу и...

(37) Я не стал это писать :) Кстати, сейчас они так умеют? Ну и права админа шифровальщику надо получить, а они часто без этих прав гадят.

+(37) Да и шифровальщик тогда будет вычислен мгновенно, при отвале СУБД.

(38) да лично столкнулся в прошлом году умеют стопить SQL MS на 100%

(39) тут речь не о базах, а о бэкапах. Базы-то легко защитить. Даже файловые. Просто оставлять пользователей в базе круглосуточно и всё.

(39) Выберет время, посмотрит пользователей... )))

Докладуваю последние новости с фронтов.
Руководство конторы решило, все же, заплатить. После этого прислали какую-то софтину, которая пробежалась по дискам и собрала ключи, с помощью которых происходила шифровка. Примерно 30-40 штук разных ключей нашлось. Эти ключи скинули хацкерам, те запросили еще платеж. И в письме прислали список e-mail с которыми они, типа, работали. Смогли найти из них несколько контор в России, связаться с ними и уточнить, на сколько можно доверять и не "кидают" ли. И хотя учредители были против, их все же убедили и вторая сумма тоже ушла. После этого почти через сутки прислали длинную портянку с ключами для дешифровки. Ее скормили той же самой софтине, которая собирала инфу и за пару часов все расшифровало. Около 300 тыс. файлов.

Отсель советы: Делайте бэкапы. Не выводите сервер с паролем "123" в свободное подключение по РДП из интернета. Меняйте имена пользователей на более сложное, чем просто "Администратор", "Admin" или, в данном случае, "marina".

А конкретно на счет данного вида шифровщиков и общения с вымогателями:
1) Можно готовить систему для расшифровки, в которой сложить только самые необходимые файлы. Старинные бэкапы - можно выкинуть. Быстрее будет.
2) Если зашифровано несколько компов, то можно все самое ценное и зашифрованное с них собрать на одной машине для дешифровки. Чтобы софтина для них для всех вынула ключи. Иначе придется несколько раз платить.
3) По той же причине - не надо прятать от коллектора ключей(она же утилита для дешифровки) какие-либо из файлов. Иначе ключ может не попасть в список утилиты - и значит вам от этих файлов могут не прислать дешифровальный ключ. И потому придется платить снова.
4) На сколько меня просветили на счет внутренней кухни всего этого - общается с пострадавшими посредник, и потому платеж идет в два захода, первую сумму получает хацкер, вторую - сам посредник. Поэтому сейчас, чаще всего, нужно быть готовым ко второму платежу.

А потому - повторюсь снова и снова - делайте бэкапы в недоступное для шифровальщиков место!!!

(43) Фу! Покормили козлов!

(43) указанную сумму надо вычесть из личных ЗП ответственных....

(44) Ценник - забить все вручную заново, был раза в 2 больше. Но над таким способом выхода из ситуации тоже серьезно раздумывали. В итоге приняли вот такое вот решение.

(43) Такие как ВЫ и позволяют им жить и дальше развиваться.
Соблюдайте социальную дистанцию, носите маски и делайте бэкапы.
А вот распространять вирус и способствовать его развитию, не следует!

(46) Ну ок. Ветку в топку. Вам минус в карму и в кошелёк.

(16) в 4х.
4 место - секурное хранилище в другой стране.
На случай маски шоу.
Ибо в первые 3 места придут и вынесут все.

(43) Ради любопытства, а озвучьте порядок сумм или саму сумму, уплаченную молодым дарованиям

(43) Не выводите сервер с паролем "123" в свободное подключение по РДП из интернета.

1. Сложность пароля не сильно спасает. В конце концов подберут.
2. "свободное подключение по РДП из интернета." За такое убивать мало (ЦЫ).
Или через VPN. Или только с йапишника в белом списке. И то и другое должно быть организовано не средствами которые расположены на сервере.
Не с помощью брандмауэра. Его отключат.
Не с помощью локальных политик. Их перепишут так как нужно.
Не надеясь на админский доступ. Его получат.
Исключительно настройками файрвола на роутере. К роутеру доступ исключительно из локальной сети + конкретного айпи.
3. бекапы бессмысленно делать на винты локально подключенные к серверу. Если так, то хотя бы убивать к ним доступ по букве. Шифровальщики парни прямые как лом и в "тяжело доступные места" не лезут.

(43) Непонятно, каким образом делали платёж, на счёт кого? Официально со счёта организации? Обычно хакеры предпочитают это делать через частные переводы биткоинов на анонимные счета в разных странах.  


А организовать копирование на  QNAP?

(50) Обычно много не просят с мелких организаций, чтобы людям было проще расплатиться, чем гемороиться ручным восстановлением данных и связываться с официальным расследованием, которое ни к чему заведомо не приведёт.

(52) Уточните плз термин QNAP. Насколько я понимаю это бренд производителя NAS? Почему вопрос относится конкретно к QNAP?

Если вы сможете копировать на NAS - то и шифровальщик сможет там все пошифровать. С чего восстанавливаться будете?

+ (54) Система архивирования не должна допускать непосредственного доступа к архивам.

(52) Биткойны. Замучались покупать еще, с рисками, что кинут...
Сейчас контора закупила два хранилища от WD, с помощью их утилиты собираются настраивать бэкапы. Я предпочитаю другой вариант, но в чужой монастырь - не лезу.

(50) В сумме - значительно больше 100

(55) Вроде пока более-менее надёжная система хранения. Ну если уж совсем заморачиваться, можно каждый день на внешний накопитель руками копировать, отключать его, везти и закрывать в сейфе в другом населённом пункте. )

НЕПОСРЕДСТВЕННОГО доступа и нет. Возможно, это вопрос времени. Технологии развиваются с обеих сторон, причём, по-моему, фирмы, работающие на защиту информации, напрямую заинтересованы в том, чтобы их клиентов периодически взламывали. Получается - рука руку моет.

(54) обычно доступ идет "наоборот", то есть система бекапа имеет доступ на все ресурсы, но эти ресурсы нифига не имеют доступ к бекапам, система бекапа просто забирает то что считает нужным и складывает туда куда решит.

на самом сервере ничего не бекапируется вообще, сервер и локалки обычно даже не знают что их бекапируют

(58) Всё верно, так и есть.

Что работа паразитов оплачена, конечно, фу, но тема то важная -- может не топить?
ЗЫ завтра напишу служебку для ревизии безопасности :)))

(58) "система бекапа имеет доступ на все ресурсы"
Та да. "А теперь попробуем со всей этой херней взлететь." Это так только система архивирования
1. расположена на сервере. Шифровальщик получит такой же доступ.
или
2. запускается под учеткой с доступом "везде". За ввод таких учеток нужно давать лет по 7 пожизненного расстрела.

(60) Я посмотрел на список электромыл, там и без нас очень много раз было уплочено. Кроме того, помониторил их кошелек, через него с 5-го числа прошло более 4-х биткойнов...

О, еще кто-то попался, еще один платеж около 12:00 прилетел...

(51) как сделать через VPN, если его блочит провайдер? единственный доступный

(57) никто никогда так морочиться не будет. максимум через месяц сломаются и перестанут отключать веники.

(63) Тогда надо использовать другие варианты.
Например есть такая вещь Fail2Ban - изначально под никсы, но сделали аналог и под Win. Вполне можно брутфорсеров отпинывать.
Второй способ - portknocking только удаленным клиентам надо перед началом работы спец.прогу запускать, чтобы стучалась правильно.

(54)  У NAS свои пароль. Или несколько паролей с разными полномочиями. Уровень доступа позволяющий писать с одним паролем, уровень доступа позволяющий потереть снапшоты например с другим паролем. Одни пароль на сервере c которого делается бэкап есть, другого нет. Но это сложно для небольших компаний. И место на диске жрёт. Ну или рабочее время.
(51)
2. Проще. И технически и организационно. Передать всем кому нужно ключи и пароли, сделать это в разумные сроки и более-менее безопасно, обеспечить совместимость с тем зоопарком который на клиентских машинах не такая простая задача.

я один из лохов, что начал платить.
алгоритм тот-же что и у    Salimbek
но, полагаю, что вымогание может продолжиться безрезультатно.
и вторую часть платежа не вносил.
т.к. об этом не было изначально оговорено.
вымогатели - мошенники.
делайте бэкапы )

вымогатели - мошенники
пххххх