(вирус-шифровальщик Vault) Что могло грохнуть все файловые базы 1С? #751371

Все закрытые базы вдруг переименовались в 1Cv8.1CD.vault и уменьшены в размерах в сотни раз!?

вирус-шифровальщик

это северный пушной зверёк детали внутри файлов, там всё расписано

В последнее время всё чаще слышно такие новости

Скорбим

Бекапов я полагаю нет ?

Думаю, последний всплеск пошел, последние три месяца слали стабильно по понедельникам-вторникам боты, на этой неделе вчера и сегодня вижу уже ручную отправку со взломанных ящиков, т.е. присутствует оригинальная подпись владельца ящика, и реальное имя в поле to. Видимо, боты уже неэффективны.

Спс, но там много написано... Есть способ борьбы?

Либо писать вражине и платить деньги, или восстанавливать из архива

главное, не грохнуть vault key

и уменьшены в размерах в сотни раз!? А никого это не смущает ? Вроде размер должен тот же остаться. Так то получается что чуваки изобрели афигенный архиватор.

почему? Им разве кто-то платит?

Я платил 1500 р. все получилось.)

если нет архива, то да

кстате меня всегда мучал вопрос , почему в платформе 8.2 файл СД называется 1cv8.1 ?

потому что он называется не так

мда, без лоха и жизнь плоха

не врите, он называется 1Cv8.1CD

.1CD = 1C Database. Ваш К.О.

странно как-то. На меня бы наверное в суд подали, если б я базу не сберег

Это не на своей работе. Так ... халтурка.

И ты заплатишь, когда стоимость восстанавливаемой инфы будет несколько миллионов, а бэкапов не будет.

Всмысле в суд? Такое возможно?

Не факт... Может в поток инфу залили. Размер файла может составлять и 0 байт, а на диске он будет занимать несколько гигабайт.

Реально могут засудить, если база грохнется?

"стоимость восстанавливаемой инфы будет несколько миллионов",  "бэкапов не будет" Ну на таких-то лохах и мир стоит

vault key не нашел!?

да не факт. Просто я как программист думаю в первую очередь по шапке бы получил

Не засудят. ТК его защитит. Максимум удержат по максимуму из з.п. и уволят. Это все на что способен работодатель. Увы, иногда админам нормальные бэкапы делать запрещают начальники. Типа - "Это дорого. Выкручивайтесь сами".

Зависит от договора

Одни мои клиенты платили 25000 за это, другим те же товарищи  запросили 60000 евро и они простились с данными, делали всё заново

не 60000, а 6000

а 25000 рублей

Условия договора ущемляющие права работника оговоренные в ТК, считаются ничтожными.

Да базы не рабочие, не на сервере - демки и копии рабочих баз, доработки в них делаю... Как прекратить это безобразие? Осталась одна база, в которую держу открытой!

интересно, можно поторговаться с ними?)

таким начальникам надо показывать эту и подобные ветки

vault key должен находится в Program Files в одной из папок откуда запускался шифровальщик

ТО есть и договор о полной материальной ответствености тоже? Можно устроиться на работу кладовщиком, разворовать весь склад, а потом уйти, заплатив максимум оклад?

Да... можно

Ух ты! А ты смелый. :) Смотри процессы... удаляй неизвестные. Ты же знаешь что у тебя в процессах обычно весит? Знаешь какие svhost запущены и откуда? Включи отображение строки запуска в диспетчере задач.

мат ответственность вроде вешается в виде конкретных ОС, нет?

кладовщиком не работал, не знаю.

У меня шифровальщик был чисто автоматический. Вообще не с кем общаться было.

не обязательно

Ух ты! А ты смелый. :) Смотри процессы... удаляй неизвестные. Ты же знаешь что у тебя в процессах обычно весит? Знаешь какие svhost запущены и откуда? Включи отображение строки запуска в диспетчере задач. Заодно проверь файлы тех процессов которые запущены. Сохрани их куда ни будь. Возможно еще и восстановить получится.

Сорри за два сообщения. Прокси глючит.

Мат ответственность это другое. Могут из зарплаты , а могут и через суд , думаю.

Восстановить не получится... я одно время неделю на это потратил, используя ваульт кей и различные алгоритмы пробовал дешифровать... но :((

Моих мозгов не хватило

Платил?

Как оценить стоимость информации? Я то знаю несколько способов, но ни один суд их к рассмотрению не примет.

У меня когда я ковырялся, сложилось что он мало что зашифровал, но по ходу дела еще зашифрованные куски переставил по какому то алгоритму

У меня просто было несколько файлов не в оригинале не зашифрованные, и сравнивал их с зашифрованными, вообщем, непонятно мне как они там и что делали

Да.. платили.

Файл шифровальщик передавался как вложение от налоговой в почте. Его девушки менеджеры запустили на своём компе, ну он там и постарался

Я им сказал, где вы видели, чтобы налоговая рассылала проги?

Еще они кликабельные фотки с котиками могут присылать )

У нас такой был, сожрал все файлы. Бекапы sql не тронул, не знаю, может не добрался просто, но думаю он их не понимает. Просили 600$, там тьма нужной инфы. Даже в мыслях ни у кого не было платить. После этого каждую неделю скидываю на внешний hdd бекапы, вот и все затраты.

Да.. у нас тоже не все выбрал.. скорей всего он или по формату выбирает или по расширению

Не.. хлебозавод платил, у них он зашифровал 1с файловую базу, это еще до меня было. А с моими клиентами не стали платить, тем более там только на компе были доки и ексель таблицы..

:)

тоже не нашел!? Висит какой-то w3wp.exe - вроде раньше не наблюдалось такого

а че это вообще за тема, платить кому-то?

+ w3wp.exe под пользователем NETWORK SERVICE - он? Но мне источник нужен. ESET Smart Security он по зубам?

Шифровальщик отрабатывает только один раз и себя удаляет, и его не найти. Так что он не будет висеть в виде сервиса, потому что лаб касперского просили если надыбаю его ексзешник то к ним прислать

но  пока не надывбал

Из DT восстанавливаю... Как вычистить?

он на клиенте в автозагрузке...

Формат С. Обычно в подобных случаях выключают питание компьютера, а потом с вытащенным диском работают специалисты по восстановлению.

Отличная статья на эту тему . Кстати он 1Сник

Можно не искать, больше гадить не будет? Выскакивало сообщение: ваши файлы зашифрованы... за ключом обращайтесь на restoredz4xpmuqr.onion... не успел прочитать. Какой может быть ключь если из бызы 3 560 Мб (сейчас восстановил, вроде цела пока) он сделал 429 Мб!?

ну упаковал он базу, что тут такого?

Наивный...Не сможешь распаковать

В 7 раз?

Будет

В моей практике по клиентам счет 8:3 в пользу шифровальщика. В победных случаях помогали только специалисты и только с тем, который успели вырубить в жёстком режиме, т.е. не стали ждать и разбираться.

да, 7 чего-то мало. Когда 1с в dt пакует там раз в 20 получается.

Выгрузить в dt врямя надо... хотя не засекал сколько времени он шифровал.

К автору. Напиши какой у тебя антивирус, если он есть, просто интересно.

Знаю, что знакомые обращались в др веб ( у них он был куплен) и им расшифровывали, но долго. Про активизировались - поддержк.

мне расшифровывал др.вебМесяц ушло на это

Под сервером х64 нет, только под ХР ESET Smart Security, лень перезагружаться...

удавалось пару раз подобрать ключ к шифровальщикам с помощью лицензии антивируса Dr. Web (отправляли файл в их техподдержку). Один раз пришлось ждать целый месяц, пока появилось лекарство.

С утра все на месте, что из бекапов восстанавливал. На ночь ставил на проверку ESET Smart Security только системные диски, результаты проверки не смотрел.

, Кому такие письма перенаправлять, кто-то ими занимается?

Антивирус гонять бесполезно, перед отправкой письма авторы вируса проверяют его невидимость для антивирусов (существует аналог virustotal для подобного).

Кто-то из пострадавших мог извлечь исполняемые файлы той же версии и отправить их в антивирусные компании. Тогда со свежим обновлением может отловить. У меня с одним трояном было такое - утром не ловил, вечером уже ловил.

Так у него сам файл в размерах уменьшился. может он этт файл поделил на несколько частей?

И у Касперского и у других есть специалисты, которым можно отправить файлы. Важно найти и отправить исходный файл, упакованный вирусом файл и тело не убитого вирусного файла. Тогда есть вероятность, что через некоторое время вышлют лекарство.

Размер свободного пространства на диске резко возрос, все руки не доходили почистить... хоть за это спасибо.