Вирус зашифровал базу 1С, а копий нет #779113

Второй раз сталкиваюсь с такой проблемой, заказчик идиот, а за сапорт платить не хочет. В общем, заплатил он за пароль, вот думаю, может кому поможет переписка с "создателем" вируса. Кстати вирус пришел по почте, в эксель файле с именем типа "прайс поставщика", ну его и открыли. Вот на хабре тоже самое описывают А вот и переписка: -------- Пересылаемое сообщение -------- От кого: Bredd Matter <rob1111stewar@hotmail.com> Кому: Марк Семенов <20--ty@list.ru> Дата: Воскресенье, 21 августа 2016, 23:09 +03:00 Тема: Re: Архив 8/21/2016 9:44 PM, Марк Семенов пишет: > Привет! > Все я перевел. > Жду от тебя информацию. > > > Воскресенье, 21 августа 2016, 17:38 +03:00 от Bredd Matter > <rob1111stewar@hotmail.com>: > > 8/21/2016 2:52 PM, Марк Семенов пишет: > > Читали)))Согласны,куда платить? > > > > > > Воскресенье, 21 августа 2016, 13:43 +03:00 от Bredd Matter > > <rob1111stewar@hotmail.com <;: > > > > 8/21/2016 9:13 AM, Марк Семенов пишет: > > > Согласны,у нас все равно нет вариантов))) > > > Есть хоть какие то варианты,что вы отдадите пароли? > > > > > > > > > Воскресенье, 21 августа 2016, 8:54 +03:00 от Bredd Matter > > > <rob1111stewar@hotmail.com <; > < > <;: > > > > > > 8/20/2016 4:47 PM, Марк Семенов пишет: > > > > Добрый день! > > > > Вы взломали нам 1с. > > > > Наш ID 185.---.---.26 > > > > > > > > > > > > -- > > > > Марк Семенов > > > Здравствуйте. > > > Ситуация такова: от вас требуется произвести оплату на кошелек > > > Bitcoin в > > > эквиваленте 19000р. Получаю деньги - выдаю пароль + > рекомендации по > > > "затычке дырок" в вашей системе и забываем друг о друге. > > > Оплата на Bitcoin производится через множество электронных > > > обменников, > > > можете их выбирать сами или можете воспользоваться вот этим > списком > > > официальных обменников, например по обмену "Сбербанк на Bitcoin": > > > > > > Там же можно выбрать и другие направления обмена (с другого > банка, с > > > QIWI и т.д.) > > > Счет и подробная инструкция будут выданы после подтверждения вами > > > готовности оплачивать указанную сумму. > > > > > > > > ну как бы архив с данными у вас лежит. Хотел бы кинуть - удалил бы > > просто все и сказал что данные у меня лежат, а после оплаты - > > слился > > бы.. Если сами не будете затягивать - то через 1-2 часа сможете > > продолжать работу как ни в чем ни бывало + избавитесь от лазеек в > > системе и никто вас более не потревожит. > > В конце концов почту мою загуглите.....Не вы первые не вы > > последние, но > > кинутых не было > > > > > 17WEQrXvfTmdjZRHqJQzKdp6ugENxuxwoM на этот счет Bitcoin > > 1.Определитесь, что у вас есть на руках, какого рода деньги - > сбербанк, > qiwi, альфабанк или еще что то? > 2. Открываете список обменников тут: > > 3.Слева выбираете, что вы отдаете, например сбербанк, справа - то > что вы > получаете, bitcoin > 4.По центру вам выдает список обменников, которые делают обмен в > нужном > вам выбранном направлении. Верхний с самым выгодным курсом. > 5.Идете уже на этот обменник и в нем опять выбираете что вы отдаете и > что получаете и вводите МОЙ адрес bitcoin который я вам написал. А > отдаете - уже свои данные, карта там, ФИО и прочее что запрашивается. > 6.Жмете обменять (или далее) и следуете дальнейшим инструкциям > обменника, оплачиваете и ждете исполнения заявки на обмен. > 7.Сообщаете мне что заявка выполнена. > 8.Я проверяю свой счет, если средства зачислены - выдаю вам ваш > пароль и > прочее. > > пароль 349230a* Поставьте политику сложных паролей для входа юзеров по RDP или разрешите вход на терминалку только из локальной сети или только определенным маскам IP адресов + запрет юзерам на действия с файлами на дисках с БД (удаление) и бекапами. и уберите уязвимость, связанную с выполнением команды REG ADD "HKLMSOFTWAREMicrosoftWindows NTCurrentVersionImage File Execution Optionssethc.exe" /v Debugger /t REG_SZ /d "C:windowssystem32cmd.exe"

Коллега сталкивался прошлой осенью с этим роб стюартом (кстати, переводится rob как грабитель). Но там повезло, были свежие бэкапы на съемном носителе. Восстановили файлы сами. А так да, за глупость надо платить.

Это реклама "платите вымогателям" или реклама чего? Что бэкапы обязательны причем правильно сделанные?

ааа понял реклама статьи на хабре

Дак я не понял. Заплатили и пароль помог расшифровать архив?

И не говори, чем кончилось не ясно...

Да все ясно, заплатили деньги, им выслали пароль, они расшифровали базы.

знаю, как заплатить, а потом вернуть назад деньги

Это ?

Ну из этой грустной повести это явно не следует, зачем додумывать за автора.

Спасибо, но скоро он еще разок заплатит... Вымогатели они 100% начнут атаковать этого элемента :)

Там явно написано что клиент заплатил за пароль, а в переписке видно что пароль получил. Тут даже думать не надо.

нет

давай уже ссылку

Купили новый сервак и поставили на тестирование. Сегодня ночью хакер установил на сервак winrar, остановил службы 1С и SQL и зашифровал скульные базы и бакупы раром с паролем. Оставил записку: "К Вашему серверу был получен доступ в связи с непрофессиональной настройкой безопасности. Ваши базы и файлы были архивированы при помощи архиватора WinRAR с паролем. Для просмотра файлов откройте архив, для распаковки файлов требуется ввести пароль. За паролем, Вы можете обратиться, написав на электронный адрес winrar@protonmail.com В письме укажите свой ip адрес хх.ххх.ххх.ххх (был указан реальный адрес) Также вам будут даны подробные рекомендации по устранению недостатков в безопасности сервера, во избежания подобных ситуаций в будущем." Потом почистил за собой лог аудита. Ломился ко мне со следующего адреса: "Уровень безопасности сервера терминалов обнаружил ошибку в потоке протокола и отключил этот клиент. IP-адрес клиента: 213.80.168.34." Могу только сказать ему большое спасибо за проверку безопасности моего нового сервака в тестовом  режиме :)

Ты хоть ему открытку вышли, за успешное тестирование. И подзадорить его, что он еще разок попробовал взломать :)

Вот когда пришлёт мне подробные рекомендации, вот тогда и пришлю ему открытку с Йоулупукки под новый год :)

> Поставьте политику сложных паролей для входа юзеров по RDP Открыли рдп наружу и сидят ждут пока кто нибудь к ним не заглянет. Мда.

Хонипот? и вообще, в чем смысл выставлять скервер - даже на тестировании - наружу?

Вообще-то на этот сервак был по непонятным причинам открыт RDP во внешний мир. ip адрес долго не испольлзовался, а старые правила остались.