#0
by moneyget
Второй раз сталкиваюсь с такой проблемой, заказчик идиот, а за сапорт платить не хочет. В общем, заплатил он за пароль, вот думаю, может кому поможет переписка с "создателем" вируса. Кстати вирус пришел по почте, в эксель файле с именем типа "прайс поставщика", ну его и открыли. Вот на хабре тоже самое описывают А вот и переписка: -------- Пересылаемое сообщение -------- От кого: Bredd Matter <rob1111stewar@hotmail.com> Кому: Марк Семенов <20--ty@list.ru> Дата: Воскресенье, 21 августа 2016, 23:09 +03:00 Тема: Re: Архив 8/21/2016 9:44 PM, Марк Семенов пишет: > Привет! > Все я перевел. > Жду от тебя информацию. > > > Воскресенье, 21 августа 2016, 17:38 +03:00 от Bredd Matter > <rob1111stewar@hotmail.com>: > > 8/21/2016 2:52 PM, Марк Семенов пишет: > > Читали)))Согласны,куда платить? > > > > > > Воскресенье, 21 августа 2016, 13:43 +03:00 от Bredd Matter > > <rob1111stewar@hotmail.com <;: > > > > 8/21/2016 9:13 AM, Марк Семенов пишет: > > > Согласны,у нас все равно нет вариантов))) > > > Есть хоть какие то варианты,что вы отдадите пароли? > > > > > > > > > Воскресенье, 21 августа 2016, 8:54 +03:00 от Bredd Matter > > > <rob1111stewar@hotmail.com <; > < > <;: > > > > > > 8/20/2016 4:47 PM, Марк Семенов пишет: > > > > Добрый день! > > > > Вы взломали нам 1с. > > > > Наш ID 185.---.---.26 > > > > > > > > > > > > -- > > > > Марк Семенов > > > Здравствуйте. > > > Ситуация такова: от вас требуется произвести оплату на кошелек > > > Bitcoin в > > > эквиваленте 19000р. Получаю деньги - выдаю пароль + > рекомендации по > > > "затычке дырок" в вашей системе и забываем друг о друге. > > > Оплата на Bitcoin производится через множество электронных > > > обменников, > > > можете их выбирать сами или можете воспользоваться вот этим > списком > > > официальных обменников, например по обмену "Сбербанк на Bitcoin": > > > > > > Там же можно выбрать и другие направления обмена (с другого > банка, с > > > QIWI и т.д.) > > > Счет и подробная инструкция будут выданы после подтверждения вами > > > готовности оплачивать указанную сумму. > > > > > > > > ну как бы архив с данными у вас лежит. Хотел бы кинуть - удалил бы > > просто все и сказал что данные у меня лежат, а после оплаты - > > слился > > бы.. Если сами не будете затягивать - то через 1-2 часа сможете > > продолжать работу как ни в чем ни бывало + избавитесь от лазеек в > > системе и никто вас более не потревожит. > > В конце концов почту мою загуглите.....Не вы первые не вы > > последние, но > > кинутых не было > > > > > 17WEQrXvfTmdjZRHqJQzKdp6ugENxuxwoM на этот счет Bitcoin > > 1.Определитесь, что у вас есть на руках, какого рода деньги - > сбербанк, > qiwi, альфабанк или еще что то? > 2. Открываете список обменников тут: > > 3.Слева выбираете, что вы отдаете, например сбербанк, справа - то > что вы > получаете, bitcoin > 4.По центру вам выдает список обменников, которые делают обмен в > нужном > вам выбранном направлении. Верхний с самым выгодным курсом. > 5.Идете уже на этот обменник и в нем опять выбираете что вы отдаете и > что получаете и вводите МОЙ адрес bitcoin который я вам написал. А > отдаете - уже свои данные, карта там, ФИО и прочее что запрашивается. > 6.Жмете обменять (или далее) и следуете дальнейшим инструкциям > обменника, оплачиваете и ждете исполнения заявки на обмен. > 7.Сообщаете мне что заявка выполнена. > 8.Я проверяю свой счет, если средства зачислены - выдаю вам ваш > пароль и > прочее. > > пароль 349230a* Поставьте политику сложных паролей для входа юзеров по RDP или разрешите вход на терминалку только из локальной сети или только определенным маскам IP адресов + запрет юзерам на действия с файлами на дисках с БД (удаление) и бекапами. и уберите уязвимость, связанную с выполнением команды REG ADD "HKLMSOFTWAREMicrosoftWindows NTCurrentVersionImage File Execution Optionssethc.exe" /v Debugger /t REG_SZ /d "C:windowssystem32cmd.exe"
#1
by Гаврилин Игор
Коллега сталкивался прошлой осенью с этим роб стюартом (кстати, переводится rob как грабитель). Но там повезло, были свежие бэкапы на съемном носителе. Восстановили файлы сами. А так да, за глупость надо платить.
#2
by Garykom
Это реклама "платите вымогателям" или реклама чего? Что бэкапы обязательны причем правильно сделанные?
#10
by DrZombi
Спасибо, но скоро он еще разок заплатит... Вымогатели они 100% начнут атаковать этого элемента :)
#11
by birkoFFFF
Там явно написано что клиент заплатил за пароль, а в переписке видно что пароль получил. Тут даже думать не надо.
#14
by Evgueni
Купили новый сервак и поставили на тестирование. Сегодня ночью хакер установил на сервак winrar, остановил службы 1С и SQL и зашифровал скульные базы и бакупы раром с паролем. Оставил записку: "К Вашему серверу был получен доступ в связи с непрофессиональной настройкой безопасности. Ваши базы и файлы были архивированы при помощи архиватора WinRAR с паролем. Для просмотра файлов откройте архив, для распаковки файлов требуется ввести пароль. За паролем, Вы можете обратиться, написав на электронный адрес winrar@protonmail.com В письме укажите свой ip адрес хх.ххх.ххх.ххх (был указан реальный адрес) Также вам будут даны подробные рекомендации по устранению недостатков в безопасности сервера, во избежания подобных ситуаций в будущем." Потом почистил за собой лог аудита. Ломился ко мне со следующего адреса: "Уровень безопасности сервера терминалов обнаружил ошибку в потоке протокола и отключил этот клиент. IP-адрес клиента: 213.80.168.34." Могу только сказать ему большое спасибо за проверку безопасности моего нового сервака в тестовом режиме :)
#15
by DrZombi
Ты хоть ему открытку вышли, за успешное тестирование. И подзадорить его, что он еще разок попробовал взломать :)
#16
by Evgueni
Вот когда пришлёт мне подробные рекомендации, вот тогда и пришлю ему открытку с Йоулупукки под новый год :)
#17
by shinobufag
> Поставьте политику сложных паролей для входа юзеров по RDP Открыли рдп наружу и сидят ждут пока кто нибудь к ним не заглянет. Мда.
#19
by Evgueni
Вообще-то на этот сервак был по непонятным причинам открыт RDP во внешний мир. ip адрес долго не испольлзовался, а старые правила остались.
Тэги: Админ
Ответить:
Комментарии доступны только авторизированным пользователям
Похожие вопросы 1С
- УСН. Книга доходов и расходов. Нет расходов уменьшающих базу.
- Бух 7.7 SQL. Базу в SQL сервере восстановил, в 1С нет данных????
- Безопасность: Куда, кроме винчестера, может прописаться вирус на компе?
- Нет возможности подключить базу на 1С-сервере
- Что за вирус и вирус ли?
- Загрузили информационную базу (.dt) не в ту базу
- ЗУП. Скорретировать облагаемую базу ПФР, не затронув облагаемую базу ФСС НС
- Как восстановить базу данных MS SQL, если нет журнала транзакций?
В этой группе 1С
- Циклится запуск bat при запуске из 1С
- Настольная книга 1С:Эксперта по технологическим вопросам
- Конвертация данных. Не загружается документ.
- ЗУП КОРП 3.1. А есть ли там упр. учет?
- Новые веяния в 1с?
- Криптопро не находит контейнер на Jacarta
- в RDP была только 7ка, сейчас надо и 8ку
- Как отключить программно некоторые кнопки на клавиатуре?
- Транслятор кода 1С в JavaScript
- Использовать только время из даты в запросе (1С 8.2 СКД)
- распределенная база ут 10,3
- Разыскивается стабильная платформа 1С 8.3.8
- ЗУП 3. Перевод организации на неполную рабочую неделю
- Справочник Варианты отчетов пустой
- v7: Ошибка при запуске 1С
- УТ 11.1 Формирование заказов поставщику по плану
- Событие "ПриАктивизацииСтроки" табличной части управляемой формы
- Обновление доп. реквизита на форме
- Сбивается нумерация документа
- Бухгалтерия 3.0 видимость реквизита зависящая от функциональной опции