Шифровальщик зашифровал все файлы, но ms sql-сервер героически защищает свои файлы.
Как вытащить mdf-файлы ?

(52) Если ту же картинку запустить в браузере, то вполне можно выполнить код.

(53) Туши уже компьютер, чудо в перьях
Выдергиванием из розетки

(55) Какой формат файла?

Например те же pdfки любят открывать через браузер виндовый

(58) pdf - формат картинки?!!
Все, тушите свет, сливайте воду

(56) я ему уже на другом ресурсе час назад сказал из розетки выдернуть, сделать копию диска и запустить сервак с другого загрузочного диска.

(59) Причем тут свет и вода? Я же пишу по факту, что вирусом могут быть заражены остальные файлы. При желании можно и в картинке его запустить, через тот же браузер. Почитайте переписку всю. Вы же утверждаете, что этот вирус никак не вызвать и не запустить без другой вредоносной программы. Картинка тут была лишь как пример, можно использовать и более уязвимые файлы.

(54) (54)
4. программа просмоторщик использует уязвимую либу которая передает управление коду внутри картинки

а при "любви" многих пользователей к обновлениям, это вполне вероятно

(62) https://www.opennet.ru/opennews/art.shtml?num=50857 -- вот пример как вирус в чисто текстовом файле бывает

(62) пускай человек верит, что переустановка винды решит все его проблемы с вирусами.

И уязвимостей ведь не бывает в виндовых приложениях, через которые эти файлы открываются. Винду же пишут святые люди.

(63) +древний пример с виндовой дыркой, как раз с картинкой, гуглить 'JPEG of Death"

(60) Да ему и здесь уже в (25) написали, но чукча не читатель по ходу

(66) Эти дыры давно закрыты и неактуальны. Новых пока не обнаружили

(61) Еще раз, мы говорили исключительно про картинки
Если какой-то идиот из этого сделает вывод, что, к примеру, и в файлах офиса не может быть ничего плохого, то это проблемы идиота
Не нужно из утверждения "Вирус может сохраниться в файле docx и потом выполниться при открытии этого файла вордом" делать вывод "Вирус может выполниться при открытии чего угодно, bmp, gif, jpg и пр."

(62) У программы просмоторщика есть имя?

(63) Я правильно понимаю, что ты мне приводишь примеры, когда в программах просмотра/редактирования предусмотрено выполнение кода, каким-либо образом, не важно?
Если так, то еще раз, прочитай (54) пункт 3
И еще раз, мы говорили ИСКЛЮЧИТЕЛЬНО про картинки
И да, разные другие форматы и разные другие программы вполне себе возможно, что МОГУТ выполнять код из файла

(69) Если вы прочитаете мое начальное сообщение на эту тему, то помимо картинок я привел еще несколько типов файлов. Но даже ту же картинку можно использовать для запуска вируса, пример тому запуск через браузер и эксплойты в нем. Это тоже будете отрицать? Вполне возможно есть эксплойты и в виндовой проге просмотра картинок.

(68) да? часто CVE мониторишь? я за 5 секунд дыру 19 года нагуглил вот https://learn.microsoft.com/en-us/security-updates/securitybulletins/2015/ms15-029

(64) Да хватит уже так старательно натягивать сову на глобус, у совы уже глаза повылазили

Не понимаю, зачем вы так рьяно привязались именно к картинке. Моя мысль была проста, что нужно с осторожностью и пониманием запускать оставшиеся на компе файлы после вирусной атаки.

(72) Все, я заканчиваю, разговор о сферическом коне в вакууме

+(76) Тут ТС розетку дернуть никак не соберется, какие нахрен вирусы в джепеге

(77) Так он наверное уже винчестер снимает, думаю, через пару часиков отпишется)

(75) Спасибо, Кэп

(73) Дядя, 2019 год был три года назад

(78) Пока он ни хрена не снимал, все норовил в SMS зайти

(71) не пункт 3, а то что достаточно, в некоторых случаях, просто зайти в папку где лежит 'специально сформированный файл с картинкой' - чтобы выполнился код
запускать ничего не надо, достаточно не ставить на винду апдейты и качать файлы непойми откуда

конечно такой сценарий нечастый но вполне реальный

(80) тут каждый второй 'я отключил апдейты в винде'
дядя ты на win server на 1С каждый месяц апдейты ставишь? тут подавляющая часть мисты так почти гарантированно не делает

(81) бяда...

(84) Ну, запорет сейчас боевые базы, напишет, что делать, если бекапов нету, а боевые зашифрованы, уа, уа, памажите пажжалуйстааа

(83) Раз в неделю

(85) На это я ему уже дал совет в (10)

(86) молодец, а остальные?
у меня в марте куча народа консультировалось (не на мисте, а вообще) как апдейты отключить, а некоторые радостно вопили что 'воот! правильно! я сразу как систему ставлю все вырубаю чтобы враги ничего не поломали'

(88) Да че мне до остальных ? Не хотят "мыться" раз в неделю - будут ходить как чушки.
А от грязи (0) заводится ...

Интереснее всего, как умудрились этот вирусняк поймать и куда смотрел админ

У нас простые смертные юзверы сильно ограничены в доступе в инет, исполняемые файлы скачать не могут. 1ска хранится но отдельном серве, доступы туда так же ограниченные. Бекапы пишутся на отдельную машинку для этих дел, так же с ограниченными правами. Сложно представить, что надо сделать, чтобы словить такой шифровальщик и пролюбить еще и бекапы.

(3) Вирус зашифровал бэкапы и не смог зашифровать рабочие базы? Это какой-то недоделанный вирус.

Если базы действительно в рабочем состоянии (в чем я сомневаюсь), делай выгрузку в dt.

(92) Файлы базы могут быть открыты скулем монопольно, что не дает их модифицировать. Как только скуль потушится, вирусняк их скушает.

(92) Вот еще один специалЫст
Вирус работает под определенной учеткой
Совершенно нормально, что на файлы скуля есть права только у скуля и поэтому они остались незашифрованными
Совершенно нормально, что на файлы бекапов права не только у скуля и поэтому они зашифровались
Одинеска при этом, скорее всего, и это тоже нормально, работать не будет, потому что что-нибудь нужное для работы зашифровалось
Поэтому не очень понятно, что такое выгрузить в dt
И не очень понятно, почему dt не зашифруется на лету
И не очень понятно, чем это лучше скулевых бекапов
Если тем, что SMS уже не запускается, так это вообще последний звонок, что нужно тушить сервер, а не dt пробовать выгрузить

(93) В прошлом году в одной конторе было так. Бот сканирует порты, находит RDP, подбирает пароль (или ломает, если старая уязвимая версия; как было в этом случае не знаю). Дальше управление передается человеку. Он заходит, смотрит, где лежат, базы, где бэкапы, тушит скуль и запускает шифровальщик. В логах остались следы всех этих действий, с зачисткой не стали париться.

Частичная автоматизация оказывается эффективнее полной.

P.S. Базу восстановили с дт-шника, сохраненного на компе пользователя. Он их иногда делал по старой памяти, еще со времен файловой.

(94) Возможно и не сработает, но если скуль жив, можно попробовать.

В совеременных версиях скуль при установке на папку бэкапов назначает права только себе.

"Бот сканирует порты, находит RDP, подбирает пароль" - это ппц какая дыра в безопасности, просто так жопку сервака во внешку выставлять. По уму должна быть ВПНка поднята и через нее удаленка оформлена. Или это вирусняк уже внутри компании доступы подбирал с зараженного компа?

(95) Это уже не вирусная, а полноценная хакерская атака

(0) а dt то не выгрузить с другого компьютера, пока sql героически сражается?

(99) он от сетки отсоединил сервак, боится, что вирус остальные компы заразит

Интересно, а на линухе можно dt выгрузить? Через Исполнитель какой-нибудь или как-то еще...

(0) машина то хоть какая? физический доступ есть к дискам?

Всем спасибо за участие.
Оказывается хакеры не все предусмотрели, и нам повезло USB флешка с Live CD увидела райд и позволила с ним работать.
Мы вытащили MDF + LDF файлы и через SQL сервер знакомых конвертировали в DT файлы.
У нас базы еще помещаются в файловых форматах 1С.

Так что глБух перестала лить слезы ручьем в преддверии ручного набивания данных за год.

(103) И что планируете делать, чтобы подобной свистопляски не повторилось?) Завтра может по второму кругу все пойти, если забить на проблему.

(104) Главный принцип - НЕ РАБОТАТЬ на сервере 1с. Когда он не соблюдается, возникает вот это. Вероятность использования сетевой уязвимости на несколько порядка меньше, чем запуска юзером-раздолбаем вредоноса из интернета или с флешки.

(105) Давай, объясни это миллионам, работающим в терминале. :)
Ну и админский доступ по-любому есть, админов-раздолбаев тоже хватает.

(106) Работа в терминале - особый случай, требующий жесткого ограничения прав простых юзеров, и высокой квалификации админов, знающих что можно запускать а что нельзя.

(106) Так терминальник - это обычно отдельный сервак. Там где все в одном, такая задница и получается.

Кстати, а кто скажет, вот сейчас распространяется Астра Линукс, надо ли на него ставить антивирус? Или шифровальшику пофигу?

(109) Лучше поставить. "Или шифровальшику пофигу" - смотря как код написан

(9) я написал: если бардак и разгильдяйство - см (5)

(109) Так же как с виндой. Если в системе работают пользователи, то надо. Если только службы вроде 1с сервера и SQL то толку ноль, вред только

(34) (21) Вот вы фантасты ребята.
Вирусы в бут-секторах, в биосе, сами собираются из mp3 и jpg.

Вся информация по этми вирусам в свободном доступе, посмотрите как они работают.
Вариантов конечно много, но не такие же фантастические.

Сейчас часть шифровальщиков работает так. В случае получения нужного доступа, вирус сигнализирует владельцу. Владелец удаленно входит и контролирует процесс.
Поэтому есть случаи, когда систему переставил, а вирус опять шифрует. Просто у вас остался открытый доступ. И в вашей сети, хакер как дома уже.
У знакомого так было, их зашифровли и они переписывались с хакером 3 дня, не хотели платить, но сделать ничего сами так не смогли. Так как были зашифрованы базы, бэкапы и второй сервер с бэкапами. Хакер признался, что поработал у них удаленно. В итоге заплатили 0,1 биткоина ему. Расшифровали.

Поэтому как тут уже писали. После атаки первые действия, это переставлять зараженную ОС и второе срочно закрывать доступ, менять пароли для доступа везде.

(113) "Вирусы в бут-секторах, в биосе" -вы считаете, что вирусов там быть не может?
"сами собираются" - это же как обычные приложения по своеобразному манифесту. Что в этом фантастического? Взять того же "Computer Killer" - "При получении управления вирус выделяет себе блок памяти посредством вызова функции PageAllocate и “собирает себя по частям” в единое целое в этом выделенном участке памяти"
"mp3 и jpg" - это всего лишь возможные контейнеры для вируса, возможно использующие эксплойты системных приложений.

(0) Ты уже второй мой близкий знакомый кому зашифровали данные.
И это всего за месяц.
Очень страшно жить с такими случаями.
Благо работаю на компанию где думаю с безопасностью норм.
А вот я боюсь про домашний комп.
Там в принципе ничего жалко кроме фото семьи за 15 лет!

(114) В обычной жизни, я думаю "Вирусы в бут-секторах, в биосе", когда он туда случайно попал.
Считаю что такое возможно только в случае целенаправленной хакерской атаке. Поэтому считаю это маловероятно. Я лично как ответственный за сохранность и работу баз, не переживаю из-за этого.
Так как шифровальщики напали на 2-х моих хороших знакомых. Один из них я написал в (113).
То я переговорил с руководством об реальной опасности шифровальщиков, провел некоторые работы. Самое главное, в каждом офисе стоит бэкап сервер, который включается по расписанию и забирает бэкапы в себя, в сети не отсвечивает, к интернету не подключен. Руководство одобрило данное решение.

(116) В обычной жизни, я думаю "Вирусы в бут-секторах, в биосе", когда он туда случайно попал, практически исключено.

(115) У меня дома бэкапы в 2 места, первое это на внешнем диске и ещё второй комп собрал из старого железа. Включаю второй комп раз в месяц, чтобы слить на него бэкапы важной информации, в том числе и фото/видео.
Так же важные данные бэкапы в облаку делаю.
Самый простой вариант, купить внешний диск, его подключать только для того, чтобы слить на него бэкапы.

(118) У меня в доме 3 компа большинство файлов продублировано именно фото и видео семейное. ))

ПО - ходу самый действенный способ защиты - это отдельный человек, который раз в день будет переписывать бэкапы на внешний диск, лучше на два ))

когда началась вся заваруха у нас издали отдельное распоряжение помимо обычных бэкапов раз в неделю переносить копии основных баз на отдельный внешний диск который хранится отключенным от компутера.

(120) Самый действенный - автоматический.
Отдельный человек накосячит обязательно

(120) У одного моего клиента в 3 места бекап пишется, один рядом на сервак, другой на сетевой NAS, а третий пишется на удаленный сервер. Везде различные ограничения по доступу.

(123) Думаете это спасет от мотивированных , грамотных хакеров?

(124) В большинстве случаев-да

(124) это не скуль сразу в 3 места пишет. Это делают разные проги. Еще вроде зеркальная копия сервака через акронис делается время от времени и скидывается на удаленный сервак.

На сколько я понял причиной всегда это простой пароль на сервера который подбирается на раз два.
Ввели бы более серьезные пароли который подобрать сложно не было этого у большинства.

(127) Тогда бы их стали в файликах сохранять на рабочем столе или на стикерах подписывать

(127) + еще и девайсы сетевые оставляют с дефолтными логинами и паролями.

(128) В чем проблема запомнить пароль из 8 знаков?) Это делается на подкорке после раза 10-20 ввода.

(130) У меня сейчас активных 37 паролей ;-)

(131) И один мастер пароль "admin"?)

(130) Сегодня 8 знаков уже мало. На арендованном GPU кластере подбирается за часы.

(133)  От этого спасет политика попыток неправильного ввода пароля - Например 3 попытки , далее блок учетки на час.

(134) От офлайн подбора не спасает. Если удается перехватить сетевой трафик при входе пользователя, там передается хэш пароля. Дальше офлайн подбор.

В даркнете давно существуют гигабайтные таблицы хэш/пароль. Методу шифрования знать надо только.

(136) Для простых и словарных паролей да. Для сложных нет. Там уже не гигабайты, а петабайты будут, Интернет лопнет.

(137) Так таких простых и словарных 99.(9)%

(130) Если бы это был один пароль) А то каждый сервис требует свою авторизацию. И пароли по идее должны быть уникальными. Что вступает в противоречие с возможностями человека - нереально обычному не-гению помнить десятки бессмысленных комбинаций.
Отсюда делаем вывод, что пароли в современных условиях - профанация защиты.

Раз уж пошла такая тема, есть Qnap подключен в общую сеть на сервере MS sql как IScsi. Включается по расписанию , назначенный bat файл копирует свежие бэкапы, Qnap выключается.
Так два раза в сутки. Wake on lan отключен.
Насколько это оптимально и безопасно ? Может есть более интересные способы?

(140) А старые бэкапы кто стирает?

(141) Эникей )

(140) А бекапы хоть как-то проверяются на корректность? Если вирус уже как с месяц бекапы шифрует, а остальное не трогает?) В итоге старые бекапы перезапишутся новыми зашифрованными, а узнаете вы об этом, только когда решите развернуть базу с бекапа, или когда вирусняк получит команду зашифровать систему.

(143) Раз в неделю минимум восстанавливаю из бэкапа базы в тестовые копии для разработки.

(137) Там вроде тема была, что если мы перехватили хэш и знаем метод вычисления хэша, то по таблице просто подбираем пароль, которые дает такой-же хэш и всё - типа этот пароль подойдет. Или сейчас все сложнее?

(145) Сейчас всё то же самое.
Во-первых: размер таблицы? Например, прямая таблица хеш-пароль; md5 и 10-ти символьный пароль большие-маленькие латинские буквы + цифры: строка таблицы - 128 бит хеш + 10 байт пароль + (разделители полей, но х.. с ним) = 26 байт; стойкость пароля 62 бита (26+26+10); 62^10*26 = 19 эксабайт (это которые за пета), Карл!
Во-вторых: Скорость генерации таких таблиц? Как правило чистые хэш-функции не используются, добавляется хотя бы соль, т.е. для каждого значения алгоритм/соль нужна своя таблица. Тащемто повсеместно используются алгоритмы типа md5 + соль(n) поверх sha1 100500 раз, как раз для повышения трудоёмкости расчёта, сиречь снижения скорости подбора/генерации пар хеш-пароль.
Таким образом криптостойкий (нигде не повторяющийся, случайносгенерированный, от 12 символов большие/маленькие/цифры/спецсимволы) - считается невосприимчивым к брутфорсу/подбору_по_таблицам.
Есть конечно нюансы, типа криптоуязвимостей алгоритмов, радужных таблиц, спектральных подборов и т.д., но если на стороне криптопроцессинга всё сделано как полагается, то это всего лишь нюансы.

(146) Хороший расклад. А то недавно спорил с коллегой, который утверждал что пароли это всё ерунда, так как в среднем делают 8-10 символов и на видеочипах, которые по нескольку миллионов хэшей в секунду перебирают, подберут любой пароль.
Моя же позиция такая. Хакеру нет смысла к каждой учетке пароль подбирать, если это занимает много времени, или ему нужно будет брать в аренду сервер на видеочипах, платить за это деньги. Хакера заинтересует это если он будет уверен, что данная учетка принесет ему большой куш. Таким образом криптостойкий (нигде не повторяющийся, случайносгенерированный, от 8-10 символов большие/маленькие/цифры/спецсимволы) уже считается очень надежным.
И вторая моя позиция, на данный момент когда пишут, что кого-то сломали, я практически не встречал что кто-то подобрал пароль, обычно его слили. Сколько сообщений, то Яндекс базу сольёт, то Пикабу, то ВБ, то ещё кто-то. А если учесть что у многих 1 пароль на всё, то это просто подарок хакерам. Если на предприятии с безопасностью проблему, а сисадмину наговнили, то этот сисадмин берет базу и сливает в сеть. В Яндекс-браузере как-то появился сервис по хранилищу паролей, который выдает регулярно сообщения, такие-то и такие учетки на них скомпрометирован пароль, поменяйте.
Поэтому переборов я лично не боюсь, проблема в слитых данных.

Хотя в 2014 году столкнулся с перебором. У нас админ один недалекий, открыл RDP на сервере порт стандартный 3389, учетка была "Администратор" пароль там был 111, блокировка по количеству неверных паролей отключена. Примерно через неделю шифровальщик был уже на сервере и всё там зашифровал.

Достаточно такой пароль примерно.

WERsdf!1 или XCVsdf@2

(148) Скорее всего, все легко запоминаемые клавиатурные комбинации уже включены в эти гигатаблицы для подбора. Так что запоминать нужно истинно случайные символы.

(149) А ведь у меня так и мысля была. Значит буду придумывать себе новые пароли везде.

(150) держи идею "Lacio мерде"

(150) ? Как ты думаешь вот такой пароль комп (программа переборщик) быстро подберет: "Я волком бы выгрыз бюрократизм"

(130) Доживёте до моих лет, поглядеть бы как вы запоминаете 8-байтные пароли :)

помню в старые добрые времена учебы в универе сисадмины заставляли менять пароль каждый месяц кажется.
и при этом напоминание о необходимости его смены выходило уже через 2 недели, что бесило разумеется.
поэтому каждый раз при смене пароля в конец дописывалось очередное матерное слово в адрес этих @#%$@@!!
и главное было при вводе пароля не перепутать порядок.
рекомендую.
Xnj, xthnb lhfkb "nb[ ljk,fys[ Blbjnjd rjnjhst ghblevfkb Negjq vt[fybpv t;tvtczxyjq cvtys {htyjds[ gfhjktq!!!111
это очень мягко и примерно одна четверть от того что было реально использовано
думаю это не подобрать по таблицам.