Вирус-шифровальщик - устранить последствия и обезопаситься на будущее - Страница 2- Территория 1С

Гость

0 - 15.02.2015 - 19:41

Сегодня в 5 утра произошла такая беда.
Теперь имена файлов БД имеют следующий вид 1SACCSEL.DBF.id-{VEOQGICFZBOUIOMSGFLJXDCIVBAGTZYESYWC-15.02.2015 5@07@416114300**-email-base1c1c1c@gma...er-4.0.0.0.cbf

Можно-ли с этим что-то поделать сейчас? И как обезопаситься в будущем?

Гость

41 - 01.06.2016 - 19:16

Держите все файлы в сети и не мапте ресурсы

rm1965

42 - 23.03.2017 - 22:27

Когда прихожу к заказчику прежде чем начать с ним работать всегда снимаю копию базы 1С. И если не забываю (шифровальщиков уже много ловили) , переименовываю расширение архива например в *.111

Begemot

43 - 24.03.2017 - 10:42

Цитата:

Сообщение от rm1965

Главное верь. Смотрел два компьютера, зараженных шифровальщиком. Общее - шифровали в выходные дни. Все "хитрые" способы (типа отдельный пользователь на бэкапы) не помогли. У меня сложилось впечатление что работали не вирусы а хакеры. Если человеку хватило ума подключиться к компу, то хватит и на найти "спрятанные" архивы.
зы "прячь" архивы в папку с виндовс.

rm1965

44 - 24.03.2017 - 19:50

Да, точно , это тоже выход, спасибо.

Гость

45 - 27.03.2017 - 10:18

Цитата:

Сообщение от Begemot

прячь" архивы в папку с виндовс

И что это даст?

Begemot

46 - 27.03.2017 - 12:39

Цитата:

Сообщение от Странный аттрактор

И что это даст?

Если это вирус, то папку с виндовс не трогает. Но это не факт. Этих вирусов сейчас как собак не резанных.

Гость

47 - 27.03.2017 - 13:05

Цитата:

Сообщение от Begemot

Но это не факт. Этих вирусов сейчас как собак не резанных

да вот же и я об этом

Begemot

48 - 27.03.2017 - 13:37

Цитата:

Сообщение от Странный аттрактор

да вот же и я об этом

Людям свойственно во что о верить. Вот rm1965 верит в переименование расширения. Это действительно может помочь в каких то случаях. В каком то случае может помочь папка виндовс (задача хакера убить данные а не систему. Система должна работать и показывать реквизиты платежа). Я вот все сильнее начинаю верить в отдельно стоящий компьютер для бэкапов, на который нет доступа по сети.

Гость

49 - 27.03.2017 - 14:59

Цитата:

Сообщение от Begemot

Людям свойственно во что о верить.

Согласен. Я вот тоже верю в переименование расширения, ибо наивно полагаю, что шифровальщик работает по типу файла, а не по содержимому, ибо работает быстро, а значит, структуру не сканирует. Но, как ты пральна раньше сказал, если до компа добрался человек, а не вирус - спасёт только вера в разумное, доброе и вечное.

Цитата:

Сообщение от Begemot

задача хакера убить данные а не систему. Система должна работать и показывать реквизиты платежа

убитые архивы в папке виндовс, очевидно, оставят её, систему, вполне себе работоспособной. Так что смело можно сканировать диск Ц и шифровать все встреченные по пути архивы.

Гость

50 - 27.03.2017 - 15:03

net use z: \\serve\arj /user:****
copy today.zip z:
net uze z: /delete

Я знаю пароль, я вижу банкомат, я верю что папа совсем не будет рад...

Begemot

51 - 27.03.2017 - 17:46

Цитата:

Сообщение от Странный аттрактор

Я вот тоже верю в переименование расширения, ибо наивно полагаю, что шифровальщик работает по типу файла

Я видел только два зараженных компа. На одном зашифровано было выборочно winrarом. На другом зашифрованы были ВСЕфайлы . Открываешь папку "Моя папка" - а там файл "мояпапка.emailMeплз". Естественно, что шифровальщик может пробежаться и по папке виндовс на наличие архивов. Но вот зашифровать там все файлы - он физически не сможет.

Гость

52 - 29.03.2017 - 01:39

Чтиво по теме:
http://www.spyware-ru.com/kak-vossta...-instruktsiya/

Чучундер

53 - 29.03.2017 - 22:57

звонок. бухня. "у нас тут ккм-онлайн ставят, но нет прав на установку драйверов (логично, как бы админ запилил установку всего "левого"). "надо дать права, чтобы установил драйверы".
что он там попутно принес и что установится с драйверами - яхз. и не верю всяким приходящим. и себе-то не верю, а тут ваааще... были мягко "посланы" к сисадмину

oops!

54 - 30.03.2017 - 05:22

Одно могу добавить ко всему вышесказанному: храните пиво в тёмном месте, и лучше в холодильнике, чтобы оно ещё было и холодным, а вот морозить его точно не стоит!

Гость

55 - 30.03.2017 - 08:51

Цитата:

Сообщение от oops!

а вот морозить его точно не стоит!

https://yandex.ru/search/?text=морож...955453&win=162

Гость

56 - 30.03.2017 - 09:10

С вечера история приключилась..
Старый сервак. Вооружён одним хардом скази и рэйдом из сата. На скази система, на рэйд писал архивы. Намедни сервак как-то тупанул, замер и ушёл в перезагрузку. На чёрном экране любезный контроллер выписал, что один из дисков находится в состоянии degraded, и что, мол, хозяин делать? Ну вынул я этого деграданта, полюбовался бэдами его в mhdd и положил в стол. Сервер перезагрузил с одним диском, на что любезный виндовс отреагировал чекдиском на всю ночь. В итоге на втором диске все файлы нулевой длины.
Хорошо, что копии этих архивов на NAS писал. Вот так, защищая архивы от шифровальщика, спас их от сдохшего рэйда. Но осадочек остался..

Гость

57 - 30.03.2017 - 12:17

какой неправильный странный трактор

СпецХ

58 - 30.03.2017 - 14:49

такая "идея" для баз 7.7 - вешать(запускать ) какой нибудь процесс, который держит "открытыми" все файлы dbf базы. тогда вирус не сможет их удалить. держать запущенную 1С можно, но вирус теоретически может перед шифрованием прибивать запущенные процессы 1сv7.exe .

Гость

59 - 02.04.2017 - 22:26

Цитата:

Сообщение от СпецХ

Идея неплохая, но не всегда рабочая.
У меня робот работает 24 часа в сутки. Год назад шифровальщик обошел открытые файлы стороной. А месяц назад зашифровал, но не переименовал.

Бэкапы рулят.

Вирус-шифровальщик - устранить последствия и обезопаситься на будущее

Интернет-форум Краснодарского края и Краснодараг. Краснодар, Краснодарский край 2022г.

Интернет-форум Краснодарского края и Краснодара
г. Краснодар, Краснодарский край 2022г.