Как восстановить базу 1с после вируса шифровальщика
файлы были зашифрованы троянской программой Trojan-Ransom.Win32.Crusis. Было бы здорово если у кого получится открыть базу. Если я правильно проанализировал файл базы то шифратор меняет начало и конец файла.
По теме: думаю шансы "открыть" базу близки к нулю. Даже после работы дешифратора, присланного злоумышленниками, часто бывает, что база не оживает.
Банально, но - бекапы - наше все!
поддерживаю и желательно на какой то закрытый сторедж подальше от возможности заражения .
в целом аминь базе для ее расшифровки точнее подбора ключа, подойдет как раз парочка ферм для майнинга))
Как вариант попробовать их в чем то навернуть. Сказать что не всегда восстанавливает базы 1с. Как то получить результат, до передачи денег. )))
а вы как думаете ? если не уверены почитайте алгоритмы работы криптомалварей)), после работы малварь себя уничтожает .
Господа постараюсь в кратце ответить на ваши вопросы.
------- файл не заразный
------- есть тело вируса если кому надо.
------- да расшифровать базу или файл не реально, я и не требую расшифровки, нужно глянуть на возможность восстановления
------- почему я обращаюсь к 1с-кам , я считаю что каждый уважающий себя 1с-ик знает из чего состоит база данных и если он обладает навыками обработки шестнадцатеричных данных (hex) то он может подумать и дать свой вердикт.
-------- оф. ответ касперского Я получил информацию от вирусных аналитиков. Предоставленные Вами файлы были зашифрованы троянской программой Trojan-Ransom.Win32.Crusis. К сожалению, на данный момент, расшифровка не представляется возможной.
Шифровальщик использует криптографически стойкие, асимметричные алгоритмы. Публичные ключи (для шифрования) вшиты в сам шифровальщик, приватные ключи (для расшифровки) доступны только злоумышленникам. Иногда удаётся восстановить ключи анализом самого криптора, в большинстве случаев это трудная задача с непрогнозируемыми сроками.
Вирусные аналитики продолжат подбор ключей для расшифровки. Если информация в файлах со временем не утеряет своей актуальности, прошу сохранить их в удобном для Вас месте (облако, жесткий диск и т.д.) При успешном создании декриптора мы Вас обязательно уведомим. К сожалению, сориентировать по срокам создания утилиты-декриптора не могу. Данный процесс может занять как несколько месяцев, так и несколько лет.
--------Как вариант попробовать их в чем то навернуть. Блин да они даже ценник не хотят ронять.
--------Народ это бесполезно не стоит тратить время. Завтра с утра я постараюсь поговорить по поводу выкупа с руководством, а пока Ценник за восстановление базы начинаем с 5000.
Сейчас это нереально. раньше с старыми шифровальщиками было проще. они шифровали первые 256 байт и в середине столько-же. Поэтому базу можно было восстановить я так восстанавливал. но последнии так уже не получится они полностью шифруют базу.
"Сейчас это нереально. раньше с старыми шифровальщиками было проще. они шифровали первые 256 байт и в середине столько-же. Поэтому базу можно было восстановить я так восстанавливал. но последнии так уже не получится они полностью шифруют базу." Виталий, скажу сразу что вы даже не открывали мой файл базы. Там середина на 100% целая
А зачем мне открывать. я и так это знаю. или вы думаете вашу базу шифровал вирус двухгодичной давности? Те да так шифровали. новые так не шифруют я уже встречался с одним таким. нечего не получилось шифрован. Вам же Касперский просто так написал что-ли думаете.
В этот момент как обычно резервной копии 1С конечно же нет)))
Так вот вопрос: - Удавалось ли кому нибудь расшифровать данные без платы злоумышленникам.
второй вопрос: - Кто нибудь есть кто платил?
Не надо рассчитывать на расшифровку в принципе. Вводная должна быть, что пипец может подкрасться в любой момент, а то что не скопировано, то бесполезное и даже немного вредное.
По моей практике счёт 18:2 в пользу шифровальщика.
Даже расшифрованная база неработоспособна. Все удачные восстановления были только за счёт архивов. Чем выше частота архивов, тем удачнее. Оплата не поможет. Лучше заплатить тем, кто восстановит данные вручную и на будущее правильно настроит защиту, архивирование и научит пользователей думать перед нажатием кнопок.
Директорам мало того, что данные каждую ночь копируются на другой сервер, который физически от основного находится в другом здании, так они еще раз в неделю забирают копии на переносной диск и кладут его в пожаростойкий сейф XD
Не стоит забывать, что компании делятся на два типа: кто не делает бэкапы и кто уже делает.
(3) вручную восстановить реально только если работаешь недавно.
когда в базе годы работ, то нереально наверное вручную восстановить
Всем доброго утра. Этим летом поймали шифровальщика. Зашифрованы были и бэкапы. Пришлось платить. Все базы были работоспособные после дешифратора. Своими силами параллельно смогли восстановить 3 базы из 4.
Своими силами параллельно смогли восстановить 3 базы из 4.
Вообще, давно напрашивается мысль, что файловые базы (а также документы) надо хранить на удаленном сервере с версионной файловой системой типа btrfs с периодическим созданием снапшотов. И тогда шифровальщик испортит лишь последнее состояние, а предыдущие снапшоты останутся целыми. Ну и архивирование, разумеется - на раздел, недоступный по сети.
(8) Пишет же человек. Поймали шифровальщика. Применили методику терморектального криптоанализа. До перегрева шифровальщик успел дешифровать три базы.
(8) своими силами. Пока общались с хозяевами шифровальщика, параллельно восстанавливали Файлы с зашифрованного диска с бэкапом
(0) Из того что навскидку вспомнилось:
1. Одна фирма платила. 3000р вроде бы. Это было дешевле, нежели что-то другое делать. Базы поднялись нормально.
2. Одна фирма связалась с производителем антивируса(не помню точно, либо ДрВеб, либо Касперский). Там были не базы зашифрованы, а "очень важные ексельки", но эти ексельки могли подождать. Через месяц, примерно, расшифровали.
(9) в раельности достаточно просто держать базу открытой 24 часа. открытые базы шифровальщик не трогает.
(17) Это костыль. Рабочие документы тоже постоянно открытыми держать? И в конце концов, что мешает шифровальщику подключиться к базе в режиме разделенного доступа, как одному из клиентов - и делать своё черное дело над всеми незалоченными страницами?
(15) Так правильно говорят, лучше эту плату дать тому, кто восстановит базу, либо вобьёт заново первичку.
(21) А версионный NAS сразу решает все проблемы. Кроме одной - гарантированного уничтожения данных при необходимости)
(18) он не сможет восстановить тогда, не путай, главная фишка у них восстановление базы после выплаты денег.
(24) я бы сказал, что главная фишка у них _получение_ денег. А уж с восстановлением как получится. Если что-то пойдет не так, они вряд ли будут за тобой бегать и говорить "давай попробуем восстановить еще раз" :)))
(24) Почему это не сможет? Создается файлик, куда пишутся смещения и размеры зашифрованных фрагментов, кладется рядышком с базой. И при расшифровке берутся эти координаты и проводится позиционирование на нужные позиции и расшифровка.
у нас как раз была ситуация, шифровальщик напал днем. Все бекапы, которые нашел и все тестовые базы и копии зашифровал, все рабочие базы целы, потому что в них сидели пользователи.
(28) Есть еще госконторы, где жмутся на сисадмина и на выделенный сервер. И потеря данных в таких фирмах очень болезненна. Именно они и являются целью для шифровальщиков.
(11) Вам повезло, что файлы были небольшие и шифрование было одинаковым для всех файлов. При объёме файла 1С больше 800 Мб база неработоспособна, даже если внешне выглядит восстановленной. ИМХО.
В 2012-м было дело на одном молзаводике. Заплатили 200 или 300 уе. Дешифровка файловую базу полностью оживила. С бэкапами была беда..
Один раз столкнулся с "ленивым" шифровальщиком, он большие файлы (а базы по несколько гиг же) не шифровал целиком, а только заголовки портачил )) Эти удалось восстановить своими силами. Знаю случай, когда хозяева платили - но там скромные аппетиты были у злодеев, что-то долларов 400 по тому ещё курсу получалось. Ну и недавно видел дневную атаку, он там много чего пошифровал, а вот базы ему не достались ) Один случай - "дырка" в протоколе RDP (не обновляли сервер), второй - простые пароли на удалённый вход, третий - троянский метод, через почту беспечный юзер поймал.
обидно что вирус зашифровал и основной сервер Windows Server2008 и второй сервер, куда каждый день снимались архивы, на втором сервере 580 архивов за каждый день - тоже все зашифрованы.
сервера я восстановил программой Acronis backup recovery из образа с внешнего HDD (сделанного 1,5 года назад) сервера работают
А что делать с базой (и её архивами) ?
если админы дебилы - пусть платят из личных денег.
зы
бекапы должны быть недоступны .
сколько раз говорил - файловая база 1с только для тестов и демок .
даже простенький минисервер 1с спасает от напасти.
или работа через веб сервер.
>>>куда каждый день снимались архивы,
Вот тут у вас ошибка.
Архивы должны создаваться под отдельной учетной записью, даже не в домене.
(1) если в должностных админа регламентов на бэкапы нет (а значит нет ни нормативов, ни обеспечения, ни контроля), то с чего на исполнителей пинять?
Работал я в одной из фирм.. Там ребята-админы были с ушками на макушке: звонок по местному телефону: в ваш mail проскочил файл с подозрением на вирус. Не открывайте, пока мы не посмотрим.
(0) Теневое копирование тома - предыдущие версии тоже зашифрованы?
А пробовали - удаленные файлы восстановить поблочно разными альтернативными методами – преимущественно из потоков ($DATA, $MFT и др.) файловой системы NTFS?
(0) У моей клиентки шифровальщик поработал, у нее каспер стоял, но был выключен непонятно по каким причинам. Сразу к ним позвонили, они подключились забрали несколько файлов и через 8 дней расшифровали все.
А эти подонки, чей контакт был во всех директориях требовали 40 тыщ изначально за расшифровку.
Сочувствую. Но помочь здесь вряд ли чем можно - либо платите, либо забейте и начните жизнь с чистого листа. Либо поизголяйтесь как советовал (13)
Админам или "безопасникам" строгий выговор и - 25% премии в этом месяце
(16) согласен, но за IT-инфраструктурой в целом - можно, дабы избегать таких ситуаций в будущем. У нас, например, были несколько случаев, когда шифровались данные на локальных машинах клиентов, но не более. Про "вирусные" вещи автоматом делается рассылка дважды в день, а так же предусмотрен штраф за нарушение полученной инструкции.
только бэкапы спасают от этой напасти
к несчастью мелкие конторы не защищены полностью от шифровальщиков
(18) Любые конторы защищены где админ нормальный строит систему. Для бекапов и теневого не надо лишних ресурсов.
Нужно админам нормальную зарплату платить,тогда можно избегать этих шифровальщиков и даже после шифрования!
Если базы зашифрованы, то шифровальщик не сможет их повторно зашифровать, у меня напр вообще все локалка зашифрована!
(22) Да, что вы говорите.
Похоже на анекдот, в котором владелец бахчи, повесил записку, что 1 из арбузов отравлен, а на утро обнаружил приписку, что уже 2 арбуза отравлены.
(0) Единственный вариант - заплатить вымогателям.
Иначе - набивать с нуля.
А вообще бэкапы для этого делают.
(2) >>сколько раз говорил - файловая база 1с только для тестов и демок .
Сколько можно повторять этот бред?
Файловая база самый популярный и самый быстрый рабочий вариант.
На ней работает большинство.
SQL используется очень редко, ее имеет смысл использовать только при 5 и более пользователях одновременно работающих в базе.
Поднимать сервер ради одного- двух пользователей это абсурд.
(30) Что за бред?
Какая разница чем зашифрована база и как? База это файл!
Шифровальщик видит файл, и шифрует.
Все.
А что внутри файла - ему фиолетово.
Видимо тебе фиолетово. Вирус не сможет зашифровать базу пока не узнает её ключ! А ключ он никогда не узнает, нет ещё пока таких троянов!
Ключ нужен чтобы расшифровать и прочитать зашифрованное содержимое зашифрованного файла.
Шифровальщику читать содержимое файла не надо.
(30) А про закрытый ключ - вообще смешно.
Сразу видно что с шифрованием вы не знакомы.
Закрытым ключь это термин из ассиметричного шифрования.
И им никогда ничего не шифруют!
Шифруют открытым(публичным) ключом.
А закрытым расшифровывают.
(35) Какая нафиг реализация, нафига тут вообще алгоритмы?
У тебя есть зашифрованный файл.
Прочитать что там за информация ты не можешь.
Но ты можешь скопировать этот файл - он так и скопируется зашифрованным.
Или зашифровать его.
Берешь текстовый документ. Документ.doc
Шифруешь его с помощь архиватора WinRAR с ключом A%(Js,gytr6t6jh, получается зашифрованный архив Документ.rar
Так вот чтобы зашифровать зашифрованынй архиво Документ.doc не нужно знать ключ шифрования, и не нужно его расшифровывать.
Просто берешь файл Документ.rar шифруешь его архиватором WinRAR.
В итоге у тебя получится зашифрованный архив Документ.rar внутри которго находится зашифрованный архив Документ.rar внутри которого находится документ Документ.doc
(30) повторюсь, бред. ))
Если файл доступен для изменения, то содержимое файла и его назначение шифровальщику фиолетово. Он берет файл и делает из него другой файл. Всё.
Неужели подобные проблемы с письмами нельзя решать на уровне какого-ть "АнтиСПАМБезопасногоФильтра" на почтовом хостинге? Ну или накрайняк локально установленного?
(43) Ты зашифровал текстовый документ - без ключа текст прочитать нельзя.
Но зашифрованный файл прочитать можно без проблем - это просто будет бессмысленный набор информации.
Шифроальщик читает этот бессмысленный набор информации и шифрует.
(40) Ему фиолетово что в файле.
Или думаешь что он умеет читать и понимать все 100500 форматов что есть?
(50) А чем тебе не нравится шифрование в WinRAR и чем оно отличается от шифрования другими средствами?
Вы чем предлагаете шифровать?
В WinRAR - AES банальный.
(45) Если ты возьмешь буковки и выложишь из них какой-то текст, а потом перемешаешь их, что тебе помешает перемешать их еще раз? То же самое с шифрованием, не путай доступ к файлу с чтением.
Образно говоря, если ты перемешанные буковки спрячешь в ящик и закроешь его на ключ, то тогда да, никто их второй раз не перемешает, а вот если они перемешанные лежат на столе, то перемешивай их хоть до посинения.
(47)-(48) Сдается мне, что этот чудак гордится тем, что у него раздел диска зашифрован. И тогда действительно, без пароля доступа к диску не получишь. Но такая схема все равно не защищена от проникновеня вируса в сеанс с введенным паролем.
(57) Зашифруй свой файл, а потом удали его. И расскажи, как твое шифрование поможет вернуть удаленный файл.
(57) Получается: Суд, Срок, Тюрьма. и далее по жизни ты поэтапно повторяешь этот процесс, т.к. вор должен сидеть в тюрьме :)
(62) Если нормально удалишь - то восстановить не получится.
А если просто удалишь штатными средствами а потом восстановишь - получится тот же самый зашифрованный файл.
(60) >>> После шифрования нельзя прочитать зашифрованный текст без ключа.
Вы малыша путаете словом "Нельзя прочитать".
Правильно бы выразиться: Прочитать содержимое фала можно, но оно не будет содержать смысловой нагрузки. Т.к. Буковки там будут вперемежку и хаотично :)
(62) С больше степени вероятности, система частично затрет твой файл, своим мусором.
И при дешифровании вы будете очень огорчены :)
обидно что вирус зашифровал и основной сервер Windows Server2008 и второй сервер, куда каждый день снимались архивы, на втором сервере 580 архивов за каждый день - тоже все зашифрованы.
сервера я восстановил программой Acronis backup recovery из образа с внешнего HDD (сделанного 1,5 года назад) сервера работают
А что делать с базой (и её архивами) ?
если админы дебилы - пусть платят из личных денег.
зы
бекапы должны быть недоступны .
сколько раз говорил - файловая база 1с только для тестов и демок .
даже простенький минисервер 1с спасает от напасти.
или работа через веб сервер.
>>>куда каждый день снимались архивы,
Вот тут у вас ошибка.
Архивы должны создаваться под отдельной учетной записью, даже не в домене.
(1) если в должностных админа регламентов на бэкапы нет (а значит нет ни нормативов, ни обеспечения, ни контроля), то с чего на исполнителей пинять?
Работал я в одной из фирм.. Там ребята-админы были с ушками на макушке: звонок по местному телефону: в ваш mail проскочил файл с подозрением на вирус. Не открывайте, пока мы не посмотрим.
(0) Теневое копирование тома - предыдущие версии тоже зашифрованы?
А пробовали - удаленные файлы восстановить поблочно разными альтернативными методами – преимущественно из потоков ($DATA, $MFT и др.) файловой системы NTFS?
(0) У моей клиентки шифровальщик поработал, у нее каспер стоял, но был выключен непонятно по каким причинам. Сразу к ним позвонили, они подключились забрали несколько файлов и через 8 дней расшифровали все.
А эти подонки, чей контакт был во всех директориях требовали 40 тыщ изначально за расшифровку.
Сочувствую. Но помочь здесь вряд ли чем можно - либо платите, либо забейте и начните жизнь с чистого листа. Либо поизголяйтесь как советовал (13)
Админам или "безопасникам" строгий выговор и - 25% премии в этом месяце
(16) согласен, но за IT-инфраструктурой в целом - можно, дабы избегать таких ситуаций в будущем. У нас, например, были несколько случаев, когда шифровались данные на локальных машинах клиентов, но не более. Про "вирусные" вещи автоматом делается рассылка дважды в день, а так же предусмотрен штраф за нарушение полученной инструкции.
только бэкапы спасают от этой напасти
к несчастью мелкие конторы не защищены полностью от шифровальщиков
(18) Любые конторы защищены где админ нормальный строит систему. Для бекапов и теневого не надо лишних ресурсов.
Нужно админам нормальную зарплату платить,тогда можно избегать этих шифровальщиков и даже после шифрования!
Если базы зашифрованы, то шифровальщик не сможет их повторно зашифровать, у меня напр вообще все локалка зашифрована!
(22) Да, что вы говорите.
Похоже на анекдот, в котором владелец бахчи, повесил записку, что 1 из арбузов отравлен, а на утро обнаружил приписку, что уже 2 арбуза отравлены.
(0) Единственный вариант - заплатить вымогателям.
Иначе - набивать с нуля.
А вообще бэкапы для этого делают.
(2) >>сколько раз говорил - файловая база 1с только для тестов и демок .
Сколько можно повторять этот бред?
Файловая база самый популярный и самый быстрый рабочий вариант.
На ней работает большинство.
SQL используется очень редко, ее имеет смысл использовать только при 5 и более пользователях одновременно работающих в базе.
Поднимать сервер ради одного- двух пользователей это абсурд.
(30) Что за бред?
Какая разница чем зашифрована база и как? База это файл!
Шифровальщик видит файл, и шифрует.
Все.
А что внутри файла - ему фиолетово.
Видимо тебе фиолетово. Вирус не сможет зашифровать базу пока не узнает её ключ! А ключ он никогда не узнает, нет ещё пока таких троянов!
Ключ нужен чтобы расшифровать и прочитать зашифрованное содержимое зашифрованного файла.
Шифровальщику читать содержимое файла не надо.
(30) А про закрытый ключ - вообще смешно.
Сразу видно что с шифрованием вы не знакомы.
Закрытым ключь это термин из ассиметричного шифрования.
И им никогда ничего не шифруют!
Шифруют открытым(публичным) ключом.
А закрытым расшифровывают.
(35) Какая нафиг реализация, нафига тут вообще алгоритмы?
У тебя есть зашифрованный файл.
Прочитать что там за информация ты не можешь.
Но ты можешь скопировать этот файл - он так и скопируется зашифрованным.
Или зашифровать его.
Берешь текстовый документ. Документ.doc
Шифруешь его с помощь архиватора WinRAR с ключом A%(Js,gytr6t6jh, получается зашифрованный архив Документ.rar
Так вот чтобы зашифровать зашифрованынй архиво Документ.doc не нужно знать ключ шифрования, и не нужно его расшифровывать.
Просто берешь файл Документ.rar шифруешь его архиватором WinRAR.
В итоге у тебя получится зашифрованный архив Документ.rar внутри которго находится зашифрованный архив Документ.rar внутри которого находится документ Документ.doc
(30) повторюсь, бред. ))
Если файл доступен для изменения, то содержимое файла и его назначение шифровальщику фиолетово. Он берет файл и делает из него другой файл. Всё.
Неужели подобные проблемы с письмами нельзя решать на уровне какого-ть "АнтиСПАМБезопасногоФильтра" на почтовом хостинге? Ну или накрайняк локально установленного?
(43) Ты зашифровал текстовый документ - без ключа текст прочитать нельзя.
Но зашифрованный файл прочитать можно без проблем - это просто будет бессмысленный набор информации.
Шифроальщик читает этот бессмысленный набор информации и шифрует.
(40) Ему фиолетово что в файле.
Или думаешь что он умеет читать и понимать все 100500 форматов что есть?
(50) А чем тебе не нравится шифрование в WinRAR и чем оно отличается от шифрования другими средствами?
Вы чем предлагаете шифровать?
В WinRAR - AES банальный.
(45) Если ты возьмешь буковки и выложишь из них какой-то текст, а потом перемешаешь их, что тебе помешает перемешать их еще раз? То же самое с шифрованием, не путай доступ к файлу с чтением.
Образно говоря, если ты перемешанные буковки спрячешь в ящик и закроешь его на ключ, то тогда да, никто их второй раз не перемешает, а вот если они перемешанные лежат на столе, то перемешивай их хоть до посинения.
(47)-(48) Сдается мне, что этот чудак гордится тем, что у него раздел диска зашифрован. И тогда действительно, без пароля доступа к диску не получишь. Но такая схема все равно не защищена от проникновеня вируса в сеанс с введенным паролем.
(57) Зашифруй свой файл, а потом удали его. И расскажи, как твое шифрование поможет вернуть удаленный файл.
(57) Получается: Суд, Срок, Тюрьма. и далее по жизни ты поэтапно повторяешь этот процесс, т.к. вор должен сидеть в тюрьме :)
(62) Если нормально удалишь - то восстановить не получится.
А если просто удалишь штатными средствами а потом восстановишь - получится тот же самый зашифрованный файл.
(60) >>> После шифрования нельзя прочитать зашифрованный текст без ключа.
Вы малыша путаете словом "Нельзя прочитать".
Правильно бы выразиться: Прочитать содержимое фала можно, но оно не будет содержать смысловой нагрузки. Т.к. Буковки там будут вперемежку и хаотично :)
(62) С больше степени вероятности, система частично затрет твой файл, своим мусором.
И при дешифровании вы будете очень огорчены :)
Есть возможность как либо расшифровать наш архиф. Есть ли программы дешифраторы. Или сколько это стоит.
Простой 2 комментария
Подобные темы периодически возникают на форумах пользователей Касперского, Др.Веба и Нода32 - сотрудники соответствующих антивирусов пытаются помочь решить такую проблему; на форумах уже лежат десятки средств, которые могут помочь в попытке дешифровки.
Как вариант, если вы так хотите заплатить, свяжитесь с вымогателями, которые зашифровали вам базу.
Нет, расшифровать не имея ключа шифрования практически невозможно.
Вытаскивайте базу из бэкапа и работайте дальше - только так.
На такие вопросы есть злорадный и грустный (для Вас) но очень правильный ответ:
Все админы делятся на:
- тех, кто еще не делает бэкапы
- тех, кто уже их делает
- тех, кто уже их делает и периодически проверяет, как они восстанавливаются
Я конечно понимаю, что Вам не до шуток, но увы - думать надо было раньше.
World Wild Web.
Может быть и невозможным, если ключ шифрования рандомно сгенерировался в памяти компьютера и после шифрования был удалён. Либо если шифрование было произведено по ассиметричному публичному ключу, а приватный к нему отсутствует.
Не совсем понял но совсем маленькие куски базы разшифровали с помощью Касперского. А большие он не тенет. Я есть очень большие. Мы расшифровали через Касперского файлы до 100 мб, а 500 мб он не берет. А есть ещё 2 по 1.5 Гб файлов.
Читайте также: