Вирус-шифровальщик забрал базу 1С #753198

Здравствуйте. Клиент подцепил какого-то трояна, открыв письмо с почты. Троян поселился в том числе и в базе 1С. В каталоге с базой вместо файла 1Сv8.CD с тем размером, с каким была база, указан, по-моему, трояндетектор.exe, и появились два файла блокировок базы. База не запускается, говорит, что файл не найден. Компьютер был просканирован Нортоном и утилитами Касперского, но пока результатов никаких. Можно ли как-то спасти базу? Копий они не делали давно.

Не из этой оперы?

зевая в поиск тема шифровальщиков обсосана до костей

гуглю

Продолжайте не делать копии.

так им уже сколько раз говорил об этом

Если Вы говорили, а товарищам пох - то какая может быть грусть/печаль? Пусть страдают с первичкой.

одинэсники - они такие одинэсники... превращаются в буЛгахтеров - главное "сказать"... - ты им сказал под подпись? под приказ обо ознакомлении? или просто пиzduna погонял с пользвоателями?

А если ТС подписант? )))

Троян в базе? Что за чушь?

Соболезную. И радуйтесь... Начинайте по новой. Возможно не будете делать прошлых ошибок :)

Да у него троян подменил тебя на файл БД. А он место того, что бы снять винт и начать поиск с удаленных файлов. Продолжил работать с "сервером"... Если так можно назвать :) ... А так, это говорит об том, что файловый вариант 1С, только для Демонстрации. :)

подменил тебя  - подменил 1Сv8.CD на себя :)

Бэкапы не делали, хотя их предупреждали? - ну так пусть теперь платят денежку вымогателям. Их же предупреждали.

наверное внешняя обработка с выключенным безопасным режимом, работает при запуске базы и просит денег. При отказе сама проводит документы с банком, считает налоги, закрывает месяц. ;)

оказался шифровальщик троян-энкодер (trojan.encoder). Нортон и утилиты Касперского ничего не увидели. Выслали файлы в техподдержку Касперского. Посмотрим, что ответят

тут уже был?

На ответ можно?

сейчас Касперский кинет денех на кошелек и все будет ок, чего непонятного

Ответ на : пусть страдают, раз так. По ссылке был, пока не помогло

Сколько денег хотят?

не знаю, я файлы шифровальщика не открывал, может, там внутри какая-то сумма и есть, а сообщений никаких у них не было

Посмотрим, что аналитики Касперского и Веба скажут

Первичку уже вбивать начали?

файлы dt тоже шифруются

доступ на запись в папку с бэкапом должна быть у специального пользователя. Под этим пользователем из шедулера и делаются бэкапы. Все пользователи, которые могут работать за компом, получать почту и чего-то запускать - доступа на запись к папке не имеют

Сколько же граблей переломится, пока люди нормально настроят бэкапы и запретят выполнение скриптов.

Эта музыка будет длиться вечно :)

А как от такого защитится, если пользователям в почту всякая хрень прилетает и они ее открывают

бэкапами и отсутствием прав у пользователей

какие права надо у пользователя ограничить?

Запуск скриптов для начала.

>> Копий они не делали давно. В этом суть проблемы.

варианта два: 1. платить деньги вымогателям и вычесть из ЗП админа / адинесника 2. бить вручную всю первичку не надо надеяться на касперских и дрвебов, только время потеряешь

права на доступ в папку с бэкапами, на выполнение скриптов в почте и т.д.

по дефолту у пользователя вообще должен быть минимальный набор прав

Мммм, а как на файловую базу права ограничить? )

в почте можно ограничить и на доступ к бэкапам, а больше и ненадо

никак. А зачем?

а вот щас говорят у кого итс проф - само в облако бкеапится...

если б бухгалтера делали регулярные бекапы, у одинесников было бы меньше работы)

невозможно

врут

ты о чем, пардон.. бухгалтера не будут делать бэкапы, у них забота - отчитаться, и домой, кормить семью. Бэкап - забота 1с-ника, рука-об-руку с сисадмином

Я тоже хочу поставить двойку тому, чьи это клиенты. И более того, за то, что прибежал на форум. Афигеть! Так болеет за клиентов! Не можешь устранить последствия - предохраняйся!

Не только у пользователей надо ограничивать. У меня и админ не имеет прав на бэкапы и теневые копии.

Чтобы открыть какой-то исполняемый файл, его надо сначала скачать на диск, и запустить оттуда. Так вот сохраняется он явно не в папку программ файлз, или виндовс. А запуск программ должен быть разрешен только из этих директорий.

Бухгалтер может об этом не думать, но ему самому потом заново вбивать первичку.

тут крайнего будут искать.. догадываешься, кого найдут? :)