Форум на Kuban.ru (http://forums.kuban.ru/)
-   Территория 1С (http://forums.kuban.ru/f1040/)
-   -   Вирус-шифровальщик - устранить последствия и обезопаситься на будущее (http://forums.kuban.ru/f1040/virus-shifroval-shik_-_ustranit-_posledstviya_i_obezopasit-sya_na_budushee-6514100.html)

Looking 15.02.2015 19:41

Вирус-шифровальщик - устранить последствия и обезопаситься на будущее
 
Сегодня в 5 утра произошла такая беда.
Теперь имена файлов БД имеют следующий вид 1SACCSEL.DBF.id-{VEOQGICFZBOUIOMSGFLJXDCIVBAGTZYESYWC-15.02.2015 [email]5@07@416114300**-email-base1c1c1c@gmail.com-ver-4.0.0.0.cbf[/email]

Можно-ли с этим что-то поделать сейчас? И как обезопаситься в будущем?

VZ 15.02.2015 19:56

[url]http://forum.drweb.com/index.php?showtopic=317016[/url]
[url]http://forum.kasperskyclub.ru/index.php?app=blog&module=display&section=blog&blogid=345&showentry=1920[/url]
[url]http://habrahabr.ru/post/206830/[/url]
И много их: [url]http://yandex.ru/yandsearch?text=%D0%92%D0%B8%D1%80%D1%83%D1%81-%D1%88%D0%B8%D1%84%D1%80%D0%BE%D0%B2%D0%B0%D0%BB%D1%8C%D1%89%D0%B8%D0%BA[/url]
А защитится не просто. Совсем не просто. А очень просто.
Рецепт: Повторяй три раза в день: Я не работаю на компе под аккаунтом админи! Я не работаю на компе под аккаунтом админи! Я не работаю на компе под аккаунтом админи! Я не работаю на компе под аккаунтом админи!
Потом настрой UAC, при необходимости.
И всё....... Шифровщики и блокираторы идут лесом.

Looking 15.02.2015 20:11

(1)"Я не работаю на компе под аккаунтом админи"

1с файловая, поэтому пользователи имеют доступ к файлам. как здесь поможет ограничение аккаунта?

Looking 15.02.2015 20:18

(1) а вот это не поможет?

[url]http://forum.drweb.com/index.php?showtopic=317016[/url]
[em]
"Шифрует он не весь файл - а первые 255 байт. Поэтому декриптор можно написать - в dbf там как раз заголовки со структурой."

каким ПО можно отредактировать зашифрованную часть файла dbf?[/em]

Ткачик 15.02.2015 21:03

(3) Ссылка старая, с тех пор уже не одно поколение этих вирусов сменилось. Про данный гуглится вот что:

[url]http://virusinfo.info/showthread.php?t=173152[/url]
[url]http://virusinfo.info/showthread.php?t=170580[/url]
[url]http://forum.kaspersky.com/index.php?showtopic=312780[/url]

А можно расшифровать или нет - об этом лучше DrWeb спрашивать, если лицензия на него есть.

VZ 15.02.2015 21:14

2-Looking > "[em]1с файловая, поэтому пользователи имеют доступ к файлам. как здесь поможет ограничение аккаунта?[/em]" - ну что ты несешь, при чем здесь "файловая"? У меня все пользователи работают под ограниченными правами. Конечно, они имеют полный доступ. Но они не могут натравить никакую утилу на обработку этих файлов, если она не расположена в "правильном" месте (напр. Program Files"). А чтобы разместить утилу в "правильном месте" надо обладать правами админа. А UAC - это инструмент для управления "правильными местами".
Все просто: пришедшая хрень по сети через браузер ("блокировщик") может что-то заблокировать, но не RESET на корпусе компа. А вот записать свое тельце в "правильном месте" никак не сможет.
С .js несколько сложнее, но изначально виндовый браузер (и, вроде как другие брендовые браузеры) изначально настроены на запрещение исполнять .js
Плюс бэкапы. в статье хабра приведено замечательное правило: бэкап может записать только специально для этого заведенная учетная запись. Читать бэкап ("восстанавливать с архива") - куча других. И тут "врагу" будет облом: добраться до архива, и прочитать-то он сможет, но вот испортить - никак, ибо нет прав записи.
3-Looking > Обратись к drweb. Не знаю.
P.S. Я давний член клуба Любителей бэкапов.

Ткачик 15.02.2015 21:27

(5) Да не надо там никуда в "правильное место" писать - вирус срабатывает [b]одноразово[/b], максимум для чего подобное зверье пытается прописать себя в автозагрузку - чтобы требования и координаты злоумышленника вывесить. Но в данной модификации его e-mail прямо в имени файла зашит, у меня один клиент пострадал от похожего (вот такого: [url]http://www.yaplakal.com/forum3/topic985657.html[/url]), так тот и не пытался автозагрузку настроить - просто спустя день или два пришло на ту же почту письмо от вымогателя. Видимо, вирус уведомляет хозяина об успешном заражении. А то и ключ шифрования ему отсылает, так что остается только деньги платить паразиту, больше [b]никто[/b] помочь не в силах.

Looking 15.02.2015 21:32

(6)а "отдел К"? ведь он-же с какого-то мыла пишет? его вычислить нельзя?

Looking 15.02.2015 21:34

(5)спасибо за подробный ответ!

Looking 15.02.2015 21:51

(6)[em]у меня один клиент пострадал от похожего [/em]

антивирус не помог?

Ткачик 15.02.2015 22:41

(9) Это просто невозможно: ключ ширования длинный, не подберешь, для каждого пострадавшего он уникальный и на компьютере его вообще не остается - только на сервере злоумышленника. Причем, ходят слухи, что ключи хранятся ограниченное время, если протянете время, то вообще никто помочь не сможет.

Так что если нужны данные - только платить, а если хочется покарать злодея - можете обращаться куда угодно и ждать, ждать, ждать...

VZ 15.02.2015 22:48

6-Ткачик > Пишет-пишет. Шифровальщик же надо куда-то скачать, правда? Не виндовым же гад пользуется?
Так что UAC рулит. И да, никогда не запускаю на исполнение архивы. Всегда вызываю контекстом архиватор (7z) и "Сохранить..."). Если знаю, что а архиве (от users.v8.1c.ru, напр.). Иначе предварительно "Открыть архив".
И все будет хорошо.
P.S. По твоей ссылке на первой же странице, некий Kurbis, цитата: "[em]...Легко произойдет при открытии письма на Win XP с Outlook 2007 (а то и 2003), у пользователя [b]у которого есть права админа[/b][/em]". Конец цитаты.
ЧиТД.

Looking 15.02.2015 22:49

(10)я имел ввиду - как он его подхватил? на ПК не было антивируса?

Ткачик 15.02.2015 23:01

(11) "Шифровальщик же надо куда-то скачать, правда?" - временные файлы Интернета чем не годятся?

(12) Точно, как в ссылке: письмо от судебных приставов открыли. Антивирус - не панацея, авторы постоянно модифицируют свою заразу.

У меня в качестве положительного опыта в конце прошлого года был случай, когда обратились люди, уже купившие ключ для расшифровки и не сумевшие им воспользоваться как раз из-за антивируса: заражение он не распознал, вируса не было в базах. Зато когда вирусу (шифровщик - он же и расшифровщик) скормили ключ и он приступил к расшифровке - НОД32 был уже в курсе и грохнул супостата, не дав закончить работу.

vah1 15.02.2015 23:48

12-Looking > как как, вариантов масса
сотр теамвьюером из дома поработал или на работе из андроида вайфай точку доступа сделал, что бы корпоративную блокировку сайтов обойти
ЗЫ некуй тырнет блокировать и внешние носители типа юсби, как работать-то юзерам? про программеров уже молчу

Sasha 16.02.2015 00:09

(13)Я своих запугал страшилками, провел презентацию по безопасной работе с электронной почтой, вложениями.
При малейшем подозрении на странность в электронном письме обращались в ИТ, так на днях всплыло два письма с вышеозначенным шифровальщиком: одно якобы от арбитражного суда о возбуждении административного производства, другое - акт сверки от клиента.
Знают злоумышленники на что давить )

vah1 16.02.2015 00:09

и вай-фай глушилки в бизнес центре фик поставишь, сразу сосэдские нищеброды набегут, типа калл-центров из х/ф Мамы

VZ 16.02.2015 00:19

Windows серьезно за безопасность взялся: [url]http://dml.compkaluga.ru/forum/index.php?showtopic=26342[/url]

VZ 16.02.2015 00:50

Вот еще хорошая статья: [url]http://www.winblog.ru/admin/1147768013-19031201.html[/url]
Шифровальщик в пролете ;)

vah1 16.02.2015 01:27

(17) вопрос сабжа не решает, имхо шифровальщик легко батничком можно сделать вполне на текстовом уровне, смд или скриптом
ЗЫ как впрочем и сам бат, смд или скрипт программно сформировать и потом прикокнуть после выполнения или перезагрузки
Фаервол надо серьезный, что б перед записью/перезаписью всего на C: всегда спрашивал. для домашнего пользования неудобно конечно, зато антивирь тогда не нужно если один юзер с паролем за рулем

vah1 16.02.2015 01:33

хотя конечно, вспоминая операторов ввода накладных в три смены круглосуточно начинаешь репу чесать - что такое ПК?

shotsdv2008 16.02.2015 20:54

Принципиально, раз и навсегда, вопрос с вирусами решает установка Линукса.

Ткачик 16.02.2015 21:02

(21) Зато может создать другие проблемы: клиент-банк, сайты госзакупок и отправки отчетности в ФНС&ПФР и прочее ПО, требующее IE и/или технологий, доступных только в Windows.

VZ 16.02.2015 21:58

21-shotsdv2008 > Ох, уж эти сказочники...

Robotron460 17.02.2015 08:46

Этой осенью дважды попали на paycrypt@gmail_com - зараза каждый раз разная и не ловится ни Касперским ни Авирой.
--
Как в моем случае поймали:
По почте (неважно через почт.клиент или браузер)приходит безобидное письмо - типа "Акт сверки.....", само письмо безопасное, но в нем вложение обязательно в архиве. Жертва открывает письмо, открывает архив, бдительность - 0, а в архиве обязательно длинное имя, также безобидного вида - "Акт сверки ....", но оно настолько длинное, что "Жертва" пока не раздвинет на весь экран не увидит, что расширение файла - js. На значек в начале файла уже не смотрят.
--
После чего выходит безобидное сообщение "Ошибка архива" или что-то подобное.
--
Жертва закрывает окно и работает как ни в чем не бывало. А в это время шифруются все доки, все графические файлы, все PDF.
--
Расшифровать нереально судя по сообщениям в инете. Зараза в текстовом файле просит ~4500 евро.
--
Как лечил - никак система после перезагрузки ничем не заражена -просто удалил все файлы с расширением - paycrypt@gmail_com
--
Меня частично спасло, то что, хотя в сети более 100 комп. но она разделена сегменты по VLAN.
--
В первом случае все зашифрованное восстановил из почты, кроме личных фото. Во втором потери были, но несущественные, 1С не тронуло т.к. локально ничего нет и все прописано по полному пути через IP.
--
Скорость шифрования очень высокая, в первую очередь шифрует локальные и сетевые диски.

Robotron460 17.02.2015 08:50

Да, после "заразы" чистил все временные файлы.

Bitas 17.02.2015 11:05

Не пойму один момент: если комп жертвы входит в сеть, то шифруются только его файлы или и те, которые находятся на сервере? Как вирус до сервера может добраться?

VZ 17.02.2015 11:36

26-Bitas > Зараза наследует права на доступ от юзера.

Robotron460 17.02.2015 11:52

Шифрует даже все, что расшарено у соседних пользователей в сегменте VLAN.
--
Выводы делайте сами, я дважды всех обходил и все подробно объяснял. После чего были еще две попытки (наверно больше), но юзеры были готовы.
--
Поменьше, я бы вообще запретил, юзерам что-либо расшаривать кроме принтеров.

shotsdv2008 17.02.2015 18:44

(22) Никаких проблем. Ставишь Виртуал Бокс и в него любимую винду, которая ходит только в банк и на площадки.
(23) Я в этой "сказке" живу уже 13 лет.

VZ 17.02.2015 20:11

29-shotsdv2008 > А я с виндой 20 лет. И что?
Совершенно не вижу причин, чтоб сабжевый "шифровальщик" не смог поразить линукс. Рут/администратор ему, собсно, и не нужен. Единственно, что нужно: как можно больше декстопов. Сейчас их много больше с виндой.
Ничего, он еще на смарфонах и планшетах порезвиться :)

shotsdv2008 18.02.2015 15:46

Меряться письками будем? Тогда я свою первую программу написал в 76 году...
В линуксе, в отличие от винды, все нужно запускать руками. Безусловно, если пользователь поставит вайн и САМ запустит вирус, то он поразит базы 1С. Но тогда проще взять и стереть эти базы и не надо для этого никаких вирусов.

shotsdv2008 18.02.2015 15:48

Одно из принципиальных отличий линукса от винды, это то, что линукс не ставит себя выше пользователя, а винда это делает постоянно.

VZ 18.02.2015 16:33

32-shotsdv2008 > Совершенно бессмысленные слова...

Helen1986 18.02.2015 16:44

[img]http://s4.live4fun.ru/pictures/s3img_12398122_8474_0.jpg[/img]

smaharbA 18.02.2015 18:31

В виндус 7 и 8 есть замечательное свойство файлов - "предыдущие версии"

VZ 18.02.2015 18:41

35-smaharbA > в (18) дана ссылка.
Но кардинально проблема решается либо облачным сервисом по автоматическому сохранению всего содержимого компа, либо мощным эвристическим преданализом.

med 20.02.2015 10:42

Мы являемся клиентами DrWeb и он нам помог , правда времени прошло около 2 недель, но после обращения в службу поддержки был прислан расшифровальщик - расшифровал все файлы и 1С и картинки и pdf и документы офиса.

kalibo 30.05.2016 19:26

Блин, помучился я с этим Cbf. Перепробовал много разных антивирусов и программ антишпионов и тулзов от Касперского, уже был готов платить за разблокировку, но на этом сайте ([url]http://itsecurity-ru.com/viruses/cbf[/url]) нашел бесплатную программу ShadowExplorer которая каким-то образом отбекапила почти все файлы!

user1C 31.05.2016 10:27

нонешние шифровальщики(от спецов) теневые копии не забывают прибивать... только восстановление из грамотного бекапа спасает от этой заразы после ее работы


Текущее время: 07:48. Часовой пояс GMT +3.