Вирус-шифровальщик зашифровал базу и бэкапы

если админы дебилы - пусть платят из личных денег...


зы
бекапы должны быть недоступны !!!

сколько раз говорил - файловая база 1с только для тестов и демок !!!


даже простенький минисервер 1с спасает от напасти....

или работа через веб сервер...

Есть те, кто не делает бекапы.
А есть те, кто уже начал делать :)

(1) Поддерживаю... Админа расстрелять :)

>>>куда каждый день снимались архивы,

Вот тут у вас ошибка.
Архивы должны создаваться под отдельной учетной записью, даже не в домене.

Черный понедельник у кого-то...

(1) Да тут еще и права пользователей походу полные.

(0) а чем помочь то? кто вирус цепанул?

(8) Обычный путь №1 - через засвеченную корпоративную почту.
№2 - флешка с зипом с домашнего компа

(1) если в должностных админа регламентов на бэкапы нет (а значит нет ни нормативов, ни обеспечения, ни контроля), то с чего на исполнителей пинять?

(0) буквально недели 2 назад, знакомые заплатили в биткоинах за расшифровальщик порядка 200к рублев

Работал я в одной из фирм.. Там ребята-админы были с ушками на макушке: звонок по местному телефону: в ваш mail проскочил файл с подозрением на вирус. Не открывайте, пока мы не посмотрим.

(0) Теневое копирование тома - предыдущие версии тоже зашифрованы?

А пробовали - удаленные файлы  восстановить поблочно разными альтернативными методами – преимущественно из потоков ($DATA, $MFT и др.) файловой системы NTFS?

(0) У моей клиентки шифровальщик поработал, у нее каспер стоял, но был выключен непонятно по каким причинам. Сразу к ним позвонили, они подключились забрали несколько файлов и через 8 дней расшифровали все.

А эти подонки, чей контакт был во всех директориях требовали 40 тыщ изначально за расшифровку.

Сочувствую. Но помочь здесь вряд ли чем можно - либо платите, либо забейте и начните жизнь с чистого листа. Либо поизголяйтесь как советовал (13)

Админам или "безопасникам" строгий выговор и - 25% премии в этом месяце

(15) За всеми юзерами не уследишь..

(16) согласен, но за IT-инфраструктурой в целом - можно, дабы избегать таких ситуаций в будущем. У нас, например, были несколько случаев, когда шифровались данные на локальных машинах клиентов, но не более. Про "вирусные" вещи автоматом делается рассылка дважды в день, а так же предусмотрен штраф за нарушение полученной инструкции.

только бэкапы спасают от этой напасти
к несчастью мелкие конторы не защищены полностью от шифровальщиков

(18) Любые конторы защищены где админ нормальный строит систему. Для бекапов и теневого не надо лишних ресурсов.

Нужно админам нормальную зарплату платить,тогда можно избегать этих шифровальщиков и даже после шифрования!

Бывает и такое когда админы сами шифруют все базы)

Если базы зашифрованы, то шифровальщик не сможет их повторно зашифровать, у меня напр вообще все локалка зашифрована!

(22) Да, что вы говорите.
Похоже на анекдот, в котором владелец бахчи, повесил записку, что 1 из арбузов отравлен, а на утро обнаружил приписку, что уже 2 арбуза отравлены.

(22) подробнее плз

(22) Конкуренты по шифрованию... ;)

(0) Единственный вариант - заплатить вымогателям.
Иначе - набивать с нуля.
А вообще бэкапы для этого делают.

(22) С чего бы это? Какая разница что шифровать?

(22) не пори чушь, никто не мешает зашифровать твою базу как пофайлово, так и весь образ целиком.....

(2) >>сколько раз говорил - файловая база 1с только для тестов и демок !!!

Сколько можно повторять этот бред?
Файловая база самый популярный и самый быстрый рабочий вариант.
На ней работает большинство.
SQL используется очень редко, ее имеет смысл использовать только при 5 и более пользователях одновременно работающих в базе.
Поднимать сервер ради одного- двух пользователей это абсурд.

Большая.Если база зашифрована зарытым ключом  не один шифровальщик не сможет зашифровать повторно!

(30) Что за бред?
Какая разница чем зашифрована база и как? База это файл!
Шифровальщик видит файл, и шифрует.
Все.
А что внутри файла - ему фиолетово.

Видимо тебе фиолетово. Вирус не сможет зашифровать базу пока не узнает её ключ!  А ключ он никогда не узнает, нет ещё пока таких троянов!

(32) Нафига ему ключ?

Ключ нужен чтобы расшифровать и прочитать зашифрованное содержимое зашифрованного файла.
Шифровальщику читать содержимое файла не надо.

Реализация алгоритма шифрования RSA при известных параметрах p и q.

Построение модели протокола согласования ключей

Почитай

(30) А про закрытый ключ - вообще смешно.
Сразу видно что с шифрованием вы не знакомы.
Закрытым ключь это термин из ассиметричного шифрования.
И им никогда ничего не шифруют!
Шифруют открытым(публичным) ключом.
А закрытым расшифровывают.

Троян не сможет зашифровать повторна без закрытого ключа

повторно

(35) Какая нафиг реализация, нафига тут вообще алгоритмы?

У тебя есть зашифрованный файл.
Прочитать что там за информация ты не можешь.
Но ты можешь скопировать этот файл - он так и скопируется зашифрованным.
Или зашифровать его.


Берешь текстовый документ. Документ.doc
Шифруешь его с помощь архиватора WinRAR с ключом A%(Js,gytr6t6jh, получается зашифрованный архив Документ.rar

Так вот чтобы зашифровать зашифрованынй архиво Документ.doc не нужно знать ключ шифрования, и не нужно его расшифровывать.
Просто берешь файл  Документ.rar шифруешь его архиватором WinRAR.
В итоге у тебя получится зашифрованный архив Документ.rar внутри которго находится зашифрованный архив Документ.rar внутри которого находится документ Документ.doc

(30) повторюсь, бред. ))
Если файл доступен для изменения, то содержимое файла и его назначение шифровальщику фиолетово. Он берет файл и делает из него другой файл. Всё.

Троян сперва читает инвормацию, а потом уже шифрует

Неужели подобные проблемы с письмами нельзя решать на уровне какого-ть "АнтиСПАМБезопасногоФильтра" на почтовом хостинге? Ну или накрайняк локально установленного?

И как он может быть доступен для изменения если он зашифрован?

(43) (45) Не доходит. Жаль. Значит (3)

(43) Ты зашифровал текстовый документ - без ключа текст прочитать нельзя.
Но зашифрованный файл прочитать можно без проблем - это просто будет бессмысленный набор информации.

Шифроальщик читает этот бессмысленный набор информации и шифрует.

(45) Т.е ты считаешь что зашифрованный файл нельзя удалить?
И нельзя считать с диска?

(45) Ответь на простой вопрос. После шифрования твой файл останется файлом или нет?

Ну шифруйте тогда rarom и дальше, больше вам сказать ничего не могу!

(40) Ему фиолетово что в файле.
Или думаешь что он умеет читать и понимать все 100500 форматов что есть?

(39) мдя... тяжелый случай...

(50) А чем тебе не нравится шифрование в WinRAR и чем оно отличается от шифрования другими средствами?
Вы чем предлагаете шифровать?
В WinRAR - AES банальный.

(45) Если ты возьмешь буковки и выложишь из них какой-то текст, а потом перемешаешь их, что тебе помешает перемешать их еще раз? То же самое с шифрованием, не путай доступ к файлу с чтением.
Образно говоря, если ты перемешанные буковки спрячешь в ящик и закроешь его на ключ, то тогда да, никто их второй раз не перемешает, а вот если они перемешанные лежат на столе, то перемешивай их хоть до посинения.

(54) Перемешать 20-ть раз и всем успеть оплатить денежку :)

(47)-(48) Сдается мне, что этот чудак гордится тем, что у него раздел диска зашифрован. И тогда действительно, без пароля доступа к диску не получишь. Но такая схема все равно не защищена от проникновеня вируса в сеанс с введенным паролем.

А если например ты сам написал прогу для шифровки и дешифровки тогда что получается?

(57) Зашифруй свой файл, а потом удали его. И расскажи, как твое шифрование поможет вернуть удаленный файл.

(57) Получается: Суд, Срок, Тюрьма... и далее по жизни ты поэтапно повторяешь этот процесс, т.к. вор должен сидеть в тюрьме :)

(57) Какая разница кто написал программу?
Шифрование это перемешивание информации по определенному алгоритму.
После шифрования нельзя прочитать зашифрованный текст без ключа.
А само шифрованное сообщение может читать кто угодно - просто он не поймет какой в нем смысл.

Вот берем это шифрованное сообщение и шифруем его еще раз - т.е еще раз перемешиваем.

А попробуй зашифровать файл и удалить, а потом восстановить этот файл что получится?

(62) Проделай такой эксперимент, узнаешь что получится.
Думаю ты будешь удивлен.

(62) Если нормально удалишь - то восстановить не получится.
А если просто удалишь штатными средствами а потом восстановишь - получится тот же самый зашифрованный файл.

(60) >>> После шифрования нельзя прочитать зашифрованный текст без ключа.

Вы малыша путаете словом "Нельзя прочитать".
Правильно бы выразиться: Прочитать содержимое фала можно, но оно не будет содержать смысловой нагрузки. Т.к. Буковки там будут вперемежку и хаотично :)

Не правильно

(62) С больше степени вероятности, система частично затрет твой файл, своим мусором.
И при дешифровании вы будете очень огорчены :)

(66) Что правильно? :)

(66) Что именно не правильно?

Файл восстановится в первоначальном виде, сам проверял на примере vaultа

Хриптографы

(70) Зашифруй свою базу данных, и пришли мне на почту.
Я ее зашифрую и вышлю тебе.

Давай почту?

(70) Расскажи как проверял, если не секрет конечно.

(74) Он побитово, на глазок :)

(73)Почта в личном кабинете.
Защищена капчей.

(73) Нафига почту? Выложи куда-нить, хоть на яндекс, хоть в гугл и опубликуй ссылку.

(76) (77) Вы правда верите в магию юного падавана? :)

(78) нет, хотят проверить, обойдёт ли он капчу

что именно провярял?

проверял

(81) Давай уже рассказывай, как файл в первоначальном виде восстановил, на примере vaultа?

Yrii-ay имелл ввиду быть может что шифровальщик не шифрует уже шифрованный файлы потому - что как он подразумевает: перед шифровкой вирус проверяет контент файла на предмет принадлежности к типу: эксель, 1с и т.д. по структуре заголовка, а так как файло уже зашифровано - то вирус его не трогает и идет к след. файлу.

(81) так? :)

Ты прав

Вы

все известные шифровальщики, которые прилетают по почте не смотрят на содержимое, тупо по маске файла шифруют и привет, и то не всё, а часть, как правило - заголовок и хвост. Так быстрее. Никто там по структуре файла не проверяет, что это за файло. Да и зачем ?

(83) Может, или нет... ясень пень, что у шифровальщика есть некая маска, которая проверяет расширение.
Но это ограничение чисто программное, и другой Злобный шифровальщик мог и не учесть этот момент ;)

А почему же они тогда и системные файлы не шифруют?

(0) вообще у нас бэкапы идут на юниксовый сервер, на котором не под рутом они только рид-онли. Ни один шифровальщик не зашифрует, как говорится, видит око да зуб неймет.

(88) доступа на изменение нет, це же очевидно

(88) Потому, что системные файлы некому не нужны. За них не платят деньги... Шустрый Админ, системные файлы всегда подымет из копии Установки ОС ;)

аналогично, mdf/ldf не сможет зашифровать или дбф-ки, если их база 1с "держит"

(88) Их легко восстановить. Они не уникальные.

А скоро уже будет: "Йа тибя по айпи вычеслю!" ?

в тему защиты: а может кто подскажет прогу в стиле cobian backup только чтоб еще была фича копирования в облако: гугл диск, яндекс диск, маил ру?

алгоритм:

делаем папочку с доступом только у одной учетки, и из под этой учетки бэкапим все в эту папку.
соотв. из под учетки пользователя - доступ у виря к бэкапам не будет.

можно конечно эту папку синхронизировать к облаку, но мало-ли вирусня доберется до бэкапов - они все шифрованные в облаке и синхронизируются.

вот и хочется чтоб в облако софт отсылал файлы и там они копились.

(88)Причин этому много-
1)Зачем шифровать системные файлы? Кто за них деньги будет платить, если можно просто систему переставить?
2)Нельзя зашифровать открытый на запись файл - а системные файлы зачастую открыты.
3)Если их зашифровать - система упадет. А задача шифровальщика оставить пользователю рабочую систему, без ценных пользовательских данных
5)На шифрование нужно время - зачем тратить его на ненужные вещи?

(94) Его Волшебник убил :)

(90) Даже если есть доступ он шифровать не будет.
Любое изменение системных файлов -и нарвешься либо на антивирус, либо уронишь систему.
А это совсем не нужно. За это денег не платят.

(95) Регишься на меге, получаешь своих бесплатных 50гб
Берешь консольную утилиту https://megatools.megous.com/
Кидаешь батник в планировщик задач и радуешься жизни.

Ну описанный им способ может дать очень слабенькую защиту, если пометить файлы так как их метит шифровальщик, чтобы их повторно не шифровать. Но от другой версии криптера это, конечно, не поможет.
Или изменить расширения файлов на нестандартные, но это глупая игра.
(98) Раньше же были локеры, которые не шифровали данные, а блокировали ОС, но это не перспективно.