Вход | Регистрация
 
Информационные технологии :: Математика и алгоритмы

Зашифровали базу

↓ [Волшебник, 22.06.20 - 18:20]
Зашифровали базу
Я
   Salimbek
 
15.06.20 - 20:20
У клиента такая вот хрень зашифровала все базы. Я файл бегло глянул - в начале до адреса 0x40000 сплошные нули, а далее типа такого:
{"_DOCUMENTJOURNAL14510_1",0,
{"_FLD977",0},
{"_DOCUMENTTREF",4},
{"_DOCUMENTRREF",16}
}
Т.е. файл где-то целенький...

Собственно вопрос, можно ли выцарапать данные из такого вот файла?
   Salimbek
 
1 - 15.06.20 - 20:24
Это база ЗУП-а,
другая, бухгалтерская с вот таким содержимым с того же адреса:

{"_CONSTCHNGR19381"...
   Ёпрст
 
2 - 15.06.20 - 22:18
(0) архивов нема ?
   Ёпрст
 
3 - 15.06.20 - 22:18
И..там врят ли тока заголовок, нынче модно мусор и в середину/конец пихать
   Salimbek
 
4 - 15.06.20 - 22:21
(2) Угуг, нема. Точнее архивы делались, но только в соседнюю папочку. А потому - они тоже превратились в тыкву. :-(
   Ёпрст
 
5 - 15.06.20 - 22:24
Если типовая, то hex редактором тупо вырежи кусок из демо-базы и вставь, потом через toolcd пробовать распаковать
   Salimbek
 
6 - 15.06.20 - 22:47
(5) Что-то я поискал это самое "toolcd" у себя и не нашел :-( Можешь прислать, пожалуйста, на мыло в личке?
   vde69
 
7 - 15.06.20 - 23:08
(5) не пройдет, две одинаковые базы будут иметь кучу различий в области начала

(0) >>> в начале до адреса 0x40000 сплошные нули
это точно НЕ шифрование, когда шифруют то там не нули...

это или кто-то пытался востановление с диска файла делать или преднамеренно ЗАТЕРЛИ часть базы, если копии нет - пиши пропало.
   timurhv
 
8 - 15.06.20 - 23:11
(0) В свойствах файла "1Cv8.1CD" случайно предыдущей версии нет? Если есть - то скопировать папки с базами на внешний носитель и восстановить.
   Salimbek
 
9 - 15.06.20 - 23:13
(8) файла "1Cv8.1CD" - самого уже нет, вместо него "1Cv8.1CD.id-_____.[openpgp@foxmail.com].pgp"
   timurhv
 
10 - 15.06.20 - 23:24
(9) А по папке?
Судя по всему дешифратора нет
https://forum.kasperskyclub.ru/topic/65574-shifrovalschik-openpgpfoxmailcompgp-i-server-1s/
   Dmitry1c
 
11 - 16.06.20 - 05:23
Обратись к местному расшифровщику. У него недавно платная тема была. Заодно отпишешься о результате
   craxx
 
12 - 16.06.20 - 05:42
(0) Это не зашифровали, это испортили
   Волшебник
 
Модератор
13 - 16.06.20 - 08:09
(0) Попробуй обратиться сюда https://market-gg.ru/
   Salimbek
 
14 - 16.06.20 - 12:04
(13) Спасибо, конечно, но это не "герои моего романа". Просто баз будет несколько, и если с ними разобраться и нащупать методику восстановления, то значит все их можно будет поднять. Если же нет, то, возможно, выгоднее будет заплатить хацкерам, чтобы тогда расшифровать все, вместе с прочими, довольно важными документами. А через товарищей - только базы вернуть, это хоть и нужно, но не столь выгодно.

Собственно говоря, руководство сейчас склоняется к варианту - посадить кучку бухов и забивать все данные заново...

З.Ы. Делайте бэкапы!
   Kigo_Kigo
 
15 - 16.06.20 - 13:19
(14) Есть маленький ньюнс, Делайте бэкапы в недоступном для шифровальщика месте, накрайняк в папку винды с расширением dll ))))
   timurhv
 
16 - 16.06.20 - 13:23
(15) В 3 местах: на локальном диске (если сломалась база и надо быстро восстановить), на другом сервере без доступа извне в этом здании (для защиты от вирусов), в другом здании (на случай пожара и потопа).
   Злопчинский
 
17 - 16.06.20 - 13:28
(16) " на другом сервере без доступа извне в этом здании" и как это сделать если бэкап формируется на родной машине? бэкап сформировался на родной машине, тут его злой вирус пожрал и пожранное закинули как нормальный бэкап на другой сервер?
   Галахад
 
18 - 16.06.20 - 13:29
(17) Будет хотя бы вчерашний бэкап...
   uno-group
 
19 - 16.06.20 - 13:35
(16) + В другой стране на случай революции, запрета интернета и т.п.
   Kigo_Kigo
 
20 - 16.06.20 - 13:36
(18) Злоп плохо понимает понятие стек бекапов, и если файл пожрал вирус, бекапер его не заберет, потому что надо настраивать маску забираемого бекапа и не все подряд тянуть
   arsik
 
21 - 16.06.20 - 13:46
(17) Ну для начала, правильный бэкапсофт, пока не отправит файл его не отпустит, соответственно и вирус ничего сделать не сможет.
   craxx
 
22 - 16.06.20 - 14:04
(17) я делаю просто. есть линуксовый сервачок, на который бэкапится в конкретную папку архивы. Ежедневно по крону архив копируется в папку с конкретной датой, и ставится read-only на эту папку. Никакой шифровальшик, не зная пароля рута, ничего оттуда удалить, или записать туда не может. Папка доступна, но только на чтение.
   Salimbek
 
23 - 17.06.20 - 00:31
(22) Ага, у меня примерно также: https://i.imgur.com/idc0Mx5.png
   Злопчинский
 
24 - 17.06.20 - 02:46
(20) Злоп нормально понимает стек бэкапов и в отличие от некоторых оптимистов рассматривает пессимистические сценарии когда зловреды тупо даже файл не переименуют. потому что зловреды.
   Злопчинский
 
25 - 17.06.20 - 02:47
(21) если бы все у всех было зашибись то и проблем бы не было.
   Повелитель
 
26 - 17.06.20 - 08:22
Вот у меня бэкапы на 2-х машинах.
Одна локально, рядом с базой, второй на другой машине на другом этаже, копируется по локалке. Копирование только в одну сторону, без удаления. Маску спасибо подсказали, сделал только .bak. Теперь если вирус к примеру сделает "17062020.bak-_____.[openpgp@foxmail.com].pgp", то файл просто не пройдет.

Вопрос к знающим людям. Шифровальщик же только шифрует файлы на текущем компе или еще шифрует всё в сетевых папках?
   piter3
 
27 - 17.06.20 - 08:25
(26) к чему доступ будет
   sitex
 
28 - 17.06.20 - 08:26
(26) Бывает и сетевые шпарит только в путь. У нас копирование без расширения, но по маске. Любое расширение не пройдет.
   Kigo_Kigo
 
29 - 17.06.20 - 08:27
(26) По линкам не ходит, пока по крайней мере не встречал, а вот если будет подключен сетевой диск как диск, то и там все за шифруется
   eklmn
 
30 - 17.06.20 - 09:15
А чё в облако никто не льет? )
 
 Рекламное место пустует
   Повелитель
 
31 - 17.06.20 - 09:20
(30) У меня сжатый архив основной базы 10 Гб. Никаких облаков не хватит. 2Тб уже архивами забил
   hhhh
 
32 - 17.06.20 - 09:56
(26) по сетевым папкам ходит. Надо 2 раза бекапы копировать, сначала на другой комп, а потом на этом компе еще и в несетевую папку.
   eklmn
 
33 - 17.06.20 - 10:18
(31) это стоит копейки, если уж пару тыщ в год это много, то в чем ценность ваших данных?
   arsik
 
34 - 17.06.20 - 10:19
(31) Зачем тебе 200 бэкапов?
   hhhh
 
35 - 17.06.20 - 10:28
(34) у него наверно не одна база. А так вообще-то если оставлять один архив, то за 10 лет накапливается 120 архивов. Ну и в текущем году нужно явно больше архивов, чем один в месяц. В последний месяц желательно ежедневные хранить - это еще 30 архивов.
   ptiz
 
36 - 17.06.20 - 10:55
Правильная защита от шифрования - это клиент-сервер, когда доступ к базе блокирован СУБД.
   ДенисЧ
 
37 - 17.06.20 - 10:57
(36) А потом появляется хитрый шифровальщик, который стопит службу и...
   ptiz
 
38 - 17.06.20 - 11:03
(37) Я не стал это писать :) Кстати, сейчас они так умеют? Ну и права админа шифровальщику надо получить, а они часто без этих прав гадят.
   ptiz
 
39 - 17.06.20 - 11:03
+(37) Да и шифровальщик тогда будет вычислен мгновенно, при отвале СУБД.
   opus70
 
40 - 17.06.20 - 11:05
(38) да лично столкнулся в прошлом году умеют стопить SQL MS на 100%
   hhhh
 
41 - 17.06.20 - 11:16
(39) тут речь не о базах, а о бэкапах. Базы-то легко защитить. Даже файловые. Просто оставлять пользователей в базе круглосуточно и всё.
   ДенисЧ
 
42 - 17.06.20 - 11:16
(39) Выберет время, посмотрит пользователей... )))
   Salimbek
 
43 - 22.06.20 - 18:00
Докладуваю последние новости с фронтов.
Руководство конторы решило, все же, заплатить. После этого прислали какую-то софтину, которая пробежалась по дискам и собрала ключи, с помощью которых происходила шифровка. Примерно 30-40 штук разных ключей нашлось. Эти ключи скинули хацкерам, те запросили еще платеж. И в письме прислали список e-mail с которыми они, типа, работали. Смогли найти из них несколько контор в России, связаться с ними и уточнить, на сколько можно доверять и не "кидают" ли. И хотя учредители были против, их все же убедили и вторая сумма тоже ушла. После этого почти через сутки прислали длинную портянку с ключами для дешифровки. Ее скормили той же самой софтине, которая собирала инфу и за пару часов все расшифровало. Около 300 тыс. файлов.

Отсель советы: Делайте бэкапы. Не выводите сервер с паролем "123" в свободное подключение по РДП из интернета. Меняйте имена пользователей на более сложное, чем просто "Администратор", "Admin" или, в данном случае, "marina".

А конкретно на счет данного вида шифровщиков и общения с вымогателями:
1) Можно готовить систему для расшифровки, в которой сложить только самые необходимые файлы. Старинные бэкапы - можно выкинуть. Быстрее будет.
2) Если зашифровано несколько компов, то можно все самое ценное и зашифрованное с них собрать на одной машине для дешифровки. Чтобы софтина для них для всех вынула ключи. Иначе придется несколько раз платить.
3) По той же причине - не надо прятать от коллектора ключей(она же утилита для дешифровки) какие-либо из файлов. Иначе ключ может не попасть в список утилиты - и значит вам от этих файлов могут не прислать дешифровальный ключ. И потому придется платить снова.
4) На сколько меня просветили на счет внутренней кухни всего этого - общается с пострадавшими посредник, и потому платеж идет в два захода, первую сумму получает хацкер, вторую - сам посредник. Поэтому сейчас, чаще всего, нужно быть готовым ко второму платежу.

А потому - повторюсь снова и снова - делайте бэкапы в недоступное для шифровальщиков место!!!
   Волшебник
 
Модератор
44 - 22.06.20 - 18:06
(43) Фу! Покормили козлов!
   vde69
 
45 - 22.06.20 - 18:12
(43) указанную сумму надо вычесть из личных ЗП ответственных....
   Salimbek
 
46 - 22.06.20 - 18:12
(44) Ценник - забить все вручную заново, был раза в 2 больше. Но над таким способом выхода из ситуации тоже серьезно раздумывали. В итоге приняли вот такое вот решение.
   Djelf
 
47 - 22.06.20 - 18:18
(43) Такие как ВЫ и позволяют им жить и дальше развиваться.
Соблюдайте социальную дистанцию, носите маски и делайте бэкапы.
А вот распространять вирус и способствовать его развитию, не следует!
   Волшебник
 
Модератор
48 - 22.06.20 - 18:20
(46) Ну ок. Ветку в топку. Вам минус в карму и в кошелёк.
   palsergeich
 
49 - 22.06.20 - 18:46
(16) в 4х.
4 место - секурное хранилище в другой стране.
На случай маски шоу.
Ибо в первые 3 места придут и вынесут все.
   Kuzmich123
 
50 - 22.06.20 - 18:48
(43) Ради любопытства, а озвучьте порядок сумм или саму сумму, уплаченную молодым дарованиям
   Василий Алибабаевич
 
51 - 22.06.20 - 18:59
(43) Не выводите сервер с паролем "123" в свободное подключение по РДП из интернета.

1. Сложность пароля не сильно спасает. В конце концов подберут.
2. "свободное подключение по РДП из интернета." За такое убивать мало (ЦЫ).
Или через VPN. Или только с йапишника в белом списке. И то и другое должно быть организовано не средствами которые расположены на сервере.
Не с помощью брандмауэра. Его отключат.
Не с помощью локальных политик. Их перепишут так как нужно.
Не надеясь на админский доступ. Его получат.
Исключительно настройками файрвола на роутере. К роутеру доступ исключительно из локальной сети + конкретного айпи.
3. бекапы бессмысленно делать на винты локально подключенные к серверу. Если так, то хотя бы убивать к ним доступ по букве. Шифровальщики парни прямые как лом и в "тяжело доступные места" не лезут.
   Lady исчезает
 
52 - 22.06.20 - 19:09
(43) Непонятно, каким образом делали платёж, на счёт кого? Официально со счёта организации? Обычно хакеры предпочитают это делать через частные переводы биткоинов на анонимные счета в разных странах.  


А организовать копирование на  QNAP?
   Lady исчезает
 
53 - 22.06.20 - 19:13
(50) Обычно много не просят с мелких организаций, чтобы людям было проще расплатиться, чем гемороиться ручным восстановлением данных и связываться с официальным расследованием, которое ни к чему заведомо не приведёт.
   Василий Алибабаевич
 
54 - 22.06.20 - 19:18
(52) Уточните плз термин QNAP. Насколько я понимаю это бренд производителя NAS? Почему вопрос относится конкретно к QNAP?

Если вы сможете копировать на NAS - то и шифровальщик сможет там все пошифровать. С чего восстанавливаться будете?
   Василий Алибабаевич
 
55 - 22.06.20 - 19:20
+ (54) Система архивирования не должна допускать непосредственного доступа к архивам.
   Salimbek
 
56 - 22.06.20 - 19:21
(52) Биткойны. Замучались покупать еще, с рисками, что кинут...
Сейчас контора закупила два хранилища от WD, с помощью их утилиты собираются настраивать бэкапы. Я предпочитаю другой вариант, но в чужой монастырь - не лезу.

(50) В сумме - значительно больше 100
   Lady исчезает
 
57 - 22.06.20 - 19:35
(55) Вроде пока более-менее надёжная система хранения. Ну если уж совсем заморачиваться, можно каждый день на внешний накопитель руками копировать, отключать его, везти и закрывать в сейфе в другом населённом пункте. )

НЕПОСРЕДСТВЕННОГО доступа и нет. Возможно, это вопрос времени. Технологии развиваются с обеих сторон, причём, по-моему, фирмы, работающие на защиту информации, напрямую заинтересованы в том, чтобы их клиентов периодически взламывали. Получается - рука руку моет.
   vde69
 
58 - 22.06.20 - 19:38
(54) обычно доступ идет "наоборот", то есть система бекапа имеет доступ на все ресурсы, но эти ресурсы нифига не имеют доступ к бекапам, система бекапа просто забирает то что считает нужным и складывает туда куда решит.

на самом сервере ничего не бекапируется вообще, сервер и локалки обычно даже не знают что их бекапируют
   Lady исчезает
 
59 - 22.06.20 - 19:39
(58) Всё верно, так и есть.
   vvspb
 
60 - 22.06.20 - 19:42
Что работа паразитов оплачена, конечно, фу, но тема то важная -- может не топить?
ЗЫ завтра напишу служебку для ревизии безопасности :)))
 
 Рекламное место пустует
   Василий Алибабаевич
 
61 - 22.06.20 - 19:42
(58) "система бекапа имеет доступ на все ресурсы"
Та да. "А теперь попробуем со всей этой херней взлететь." Это так только система архивирования
1. расположена на сервере. Шифровальщик получит такой же доступ.
или
2. запускается под учеткой с доступом "везде". За ввод таких учеток нужно давать лет по 7 пожизненного расстрела.
   Salimbek
 
62 - 22.06.20 - 20:03
(60) Я посмотрел на список электромыл, там и без нас очень много раз было уплочено. Кроме того, помониторил их кошелек, через него с 5-го числа прошло более 4-х биткойнов...

О, еще кто-то попался, еще один платеж около 12:00 прилетел...
   DJ Anthon
 
63 - 22.06.20 - 20:12
(51) как сделать через VPN, если его блочит провайдер? единственный доступный
   DJ Anthon
 
64 - 22.06.20 - 20:14
(57) никто никогда так морочиться не будет. максимум через месяц сломаются и перестанут отключать веники.
   Salimbek
 
65 - 22.06.20 - 21:51
(63) Тогда надо использовать другие варианты.
Например есть такая вещь Fail2Ban - изначально под никсы, но сделали аналог и под Win. Вполне можно брутфорсеров отпинывать.
Второй способ - portknocking только удаленным клиентам надо перед началом работы спец.прогу запускать, чтобы стучалась правильно.
   pessimist
 
66 - 23.06.20 - 01:09
(54)  У NAS свои пароль. Или несколько паролей с разными полномочиями. Уровень доступа позволяющий писать с одним паролем, уровень доступа позволяющий потереть снапшоты например с другим паролем. Одни пароль на сервере c которого делается бэкап есть, другого нет. Но это сложно для небольших компаний. И место на диске жрёт. Ну или рабочее время.
(51)
2. Проще. И технически и организационно. Передать всем кому нужно ключи и пароли, сделать это в разумные сроки и более-менее безопасно, обеспечить совместимость с тем зоопарком который на клиентских машинах не такая простая задача.
   egorium1
 
67 - 23.06.20 - 08:00
я один из лохов, что начал платить.
алгоритм тот-же что и у    Salimbek
но, полагаю, что вымогание может продолжиться безрезультатно.
и вторую часть платежа не вносил.
т.к. об этом не было изначально оговорено.
вымогатели - мошенники.
делайте бэкапы )
   DJ Anthon
 
68 - 23.06.20 - 08:32
вымогатели - мошенники
пххххх


Список тем форума
Рекламное место пустует  Рекламное место пустует
ВНИМАНИЕ! Если вы потеряли окно ввода сообщения, нажмите Ctrl-F5 или Ctrl-R или кнопку "Обновить" в браузере.