| Регистрация Правила Главная форума Поиск |
| 0
- 15.02.2015 - 19:41
|
Сегодня в 5 утра произошла такая беда. Теперь имена файлов БД имеют следующий вид 1SACCSEL.DBF.id-{VEOQGICFZBOUIOMSGFLJXDCIVBAGTZYESYWC-15.02.2015 5@07@416114300**-email-base1c1c1c@gma...er-4.0.0.0.cbf Можно-ли с этим что-то поделать сейчас? И как обезопаситься в будущем?     | |
| 1
- 15.02.2015 - 19:56
| http://forum.drweb.com/index.php?showtopic=317016 http://forum.kasperskyclub.ru/index....showentry=1920 http://habrahabr.ru/post/206830/ И много их: http://yandex.ru/yandsearch?text=%D0...89%D0%B8%D0%BA А защитится не просто. Совсем не просто. А очень просто. Рецепт: Повторяй три раза в день: Я не работаю на компе под аккаунтом админи! Я не работаю на компе под аккаунтом админи! Я не работаю на компе под аккаунтом админи! Я не работаю на компе под аккаунтом админи! Потом настрой UAC, при необходимости. И всё....... Шифровщики и блокираторы идут лесом. | |
| 2
- 15.02.2015 - 20:11
|
(1)"Я не работаю на компе под аккаунтом админи" 1с файловая, поэтому пользователи имеют доступ к файлам. как здесь поможет ограничение аккаунта? | |
| 3
- 15.02.2015 - 20:18
|
(1) а вот это не поможет? http://forum.drweb.com/index.php?showtopic=317016 "Шифрует он не весь файл - а первые 255 байт. Поэтому декриптор можно написать - в dbf там как раз заголовки со структурой." каким ПО можно отредактировать зашифрованную часть файла dbf? | |
| 4
- 15.02.2015 - 21:03
|
(3) Ссылка старая, с тех пор уже не одно поколение этих вирусов сменилось. Про данный гуглится вот что: http://virusinfo.info/showthread.php?t=173152 http://virusinfo.info/showthread.php?t=170580 http://forum.kaspersky.com/index.php?showtopic=312780 А можно расшифровать или нет - об этом лучше DrWeb спрашивать, если лицензия на него есть. | |
| 5
- 15.02.2015 - 21:14
|
2-Looking > "1с файловая, поэтому пользователи имеют доступ к файлам. как здесь поможет ограничение аккаунта?" - ну что ты несешь, при чем здесь "файловая"? У меня все пользователи работают под ограниченными правами. Конечно, они имеют полный доступ. Но они не могут натравить никакую утилу на обработку этих файлов, если она не расположена в "правильном" месте (напр. Program Files"). А чтобы разместить утилу в "правильном месте" надо обладать правами админа. А UAC - это инструмент для управления "правильными местами". Все просто: пришедшая хрень по сети через браузер ("блокировщик") может что-то заблокировать, но не RESET на корпусе компа. А вот записать свое тельце в "правильном месте" никак не сможет. С .js несколько сложнее, но изначально виндовый браузер (и, вроде как другие брендовые браузеры) изначально настроены на запрещение исполнять .js Плюс бэкапы. в статье хабра приведено замечательное правило: бэкап может записать только специально для этого заведенная учетная запись. Читать бэкап ("восстанавливать с архива") - куча других. И тут "врагу" будет облом: добраться до архива, и прочитать-то он сможет, но вот испортить - никак, ибо нет прав записи. 3-Looking > Обратись к drweb. Не знаю. P.S. Я давний член клуба Любителей бэкапов. | |
| 6
- 15.02.2015 - 21:27
| (5) Да не надо там никуда в "правильное место" писать - вирус срабатывает одноразово, максимум для чего подобное зверье пытается прописать себя в автозагрузку - чтобы требования и координаты злоумышленника вывесить. Но в данной модификации его e-mail прямо в имени файла зашит, у меня один клиент пострадал от похожего (вот такого: http://www.yaplakal.com/forum3/topic985657.html), так тот и не пытался автозагрузку настроить - просто спустя день или два пришло на ту же почту письмо от вымогателя. Видимо, вирус уведомляет хозяина об успешном заражении. А то и ключ шифрования ему отсылает, так что остается только деньги платить паразиту, больше никто помочь не в силах. | |
| 7
- 15.02.2015 - 21:32
| (6)а "отдел К"? ведь он-же с какого-то мыла пишет? его вычислить нельзя? | |
| 8
- 15.02.2015 - 21:34
| (5)спасибо за подробный ответ! | |
| 9
- 15.02.2015 - 21:51
|
(6)у меня один клиент пострадал от похожего антивирус не помог? | |
| 10
- 15.02.2015 - 22:41
|
(9) Это просто невозможно: ключ ширования длинный, не подберешь, для каждого пострадавшего он уникальный и на компьютере его вообще не остается - только на сервере злоумышленника. Причем, ходят слухи, что ключи хранятся ограниченное время, если протянете время, то вообще никто помочь не сможет. Так что если нужны данные - только платить, а если хочется покарать злодея - можете обращаться куда угодно и ждать, ждать, ждать... | |
| 11
- 15.02.2015 - 22:48
|
6-Ткачик > Пишет-пишет. Шифровальщик же надо куда-то скачать, правда? Не виндовым же гад пользуется? Так что UAC рулит. И да, никогда не запускаю на исполнение архивы. Всегда вызываю контекстом архиватор (7z) и "Сохранить..."). Если знаю, что а архиве (от users.v8.1c.ru, напр.). Иначе предварительно "Открыть архив". И все будет хорошо. P.S. По твоей ссылке на первой же странице, некий Kurbis, цитата: "...Легко произойдет при открытии письма на Win XP с Outlook 2007 (а то и 2003), у пользователя у которого есть права админа". Конец цитаты. ЧиТД. | |
| 12
- 15.02.2015 - 22:49
| (10)я имел ввиду - как он его подхватил? на ПК не было антивируса? | |
| 13
- 15.02.2015 - 23:01
|
(11) "Шифровальщик же надо куда-то скачать, правда?" - временные файлы Интернета чем не годятся? (12) Точно, как в ссылке: письмо от судебных приставов открыли. Антивирус - не панацея, авторы постоянно модифицируют свою заразу. У меня в качестве положительного опыта в конце прошлого года был случай, когда обратились люди, уже купившие ключ для расшифровки и не сумевшие им воспользоваться как раз из-за антивируса: заражение он не распознал, вируса не было в базах. Зато когда вирусу (шифровщик - он же и расшифровщик) скормили ключ и он приступил к расшифровке - НОД32 был уже в курсе и грохнул супостата, не дав закончить работу. | |
| 14
- 15.02.2015 - 23:48
|
12-Looking > как как, вариантов масса сотр теамвьюером из дома поработал или на работе из андроида вайфай точку доступа сделал, что бы корпоративную блокировку сайтов обойти ЗЫ некуй тырнет блокировать и внешние носители типа юсби, как работать-то юзерам? про программеров уже молчу | |
| 15
- 16.02.2015 - 00:09
|
(13)Я своих запугал страшилками, провел презентацию по безопасной работе с электронной почтой, вложениями. При малейшем подозрении на странность в электронном письме обращались в ИТ, так на днях всплыло два письма с вышеозначенным шифровальщиком: одно якобы от арбитражного суда о возбуждении административного производства, другое - акт сверки от клиента. Знают злоумышленники на что давить ) | |
| 16
- 16.02.2015 - 00:09
| и вай-фай глушилки в бизнес центре фик поставишь, сразу сосэдские нищеброды набегут, типа калл-центров из х/ф Мамы | |
| 17
- 16.02.2015 - 00:19
| Windows серьезно за безопасность взялся: http://dml.compkaluga.ru/forum/index...howtopic=26342 | |
| 18
- 16.02.2015 - 00:50
|
Вот еще хорошая статья: http://www.winblog.ru/admin/1147768013-19031201.html Шифровальщик в пролете ;) | |
| 19
- 16.02.2015 - 01:27
|
(17) вопрос сабжа не решает, имхо шифровальщик легко батничком можно сделать вполне на текстовом уровне, смд или скриптом ЗЫ как впрочем и сам бат, смд или скрипт программно сформировать и потом прикокнуть после выполнения или перезагрузки Фаервол надо серьезный, что б перед записью/перезаписью всего на C: всегда спрашивал. для домашнего пользования неудобно конечно, зато антивирь тогда не нужно если один юзер с паролем за рулем | |
| 20
- 16.02.2015 - 01:33
| хотя конечно, вспоминая операторов ввода накладных в три смены круглосуточно начинаешь репу чесать - что такое ПК? | |
| 21
- 16.02.2015 - 20:54
| Принципиально, раз и навсегда, вопрос с вирусами решает установка Линукса. | |
| 22
- 16.02.2015 - 21:02
| (21) Зато может создать другие проблемы: клиент-банк, сайты госзакупок и отправки отчетности в ФНС&ПФР и прочее ПО, требующее IE и/или технологий, доступных только в Windows. | |
| 23
- 16.02.2015 - 21:58
| 21-shotsdv2008 > Ох, уж эти сказочники... | |
| 24
- 17.02.2015 - 08:46
|
Этой осенью дважды попали на paycrypt@gmail_com - зараза каждый раз разная и не ловится ни Касперским ни Авирой. -- Как в моем случае поймали: По почте (неважно через почт.клиент или браузер)приходит безобидное письмо - типа "Акт сверки.....", само письмо безопасное, но в нем вложение обязательно в архиве. Жертва открывает письмо, открывает архив, бдительность - 0, а в архиве обязательно длинное имя, также безобидного вида - "Акт сверки ....", но оно настолько длинное, что "Жертва" пока не раздвинет на весь экран не увидит, что расширение файла - js. На значек в начале файла уже не смотрят. -- После чего выходит безобидное сообщение "Ошибка архива" или что-то подобное. -- Жертва закрывает окно и работает как ни в чем не бывало. А в это время шифруются все доки, все графические файлы, все PDF. -- Расшифровать нереально судя по сообщениям в инете. Зараза в текстовом файле просит ~4500 евро. -- Как лечил - никак система после перезагрузки ничем не заражена -просто удалил все файлы с расширением - paycrypt@gmail_com -- Меня частично спасло, то что, хотя в сети более 100 комп. но она разделена сегменты по VLAN. -- В первом случае все зашифрованное восстановил из почты, кроме личных фото. Во втором потери были, но несущественные, 1С не тронуло т.к. локально ничего нет и все прописано по полному пути через IP. -- Скорость шифрования очень высокая, в первую очередь шифрует локальные и сетевые диски. | |
| 25
- 17.02.2015 - 08:50
| Да, после "заразы" чистил все временные файлы. | |
| 26
- 17.02.2015 - 11:05
| Не пойму один момент: если комп жертвы входит в сеть, то шифруются только его файлы или и те, которые находятся на сервере? Как вирус до сервера может добраться? | |
| 27
- 17.02.2015 - 11:36
| 26-Bitas > Зараза наследует права на доступ от юзера. | |
| 28
- 17.02.2015 - 11:52
|
Шифрует даже все, что расшарено у соседних пользователей в сегменте VLAN. -- Выводы делайте сами, я дважды всех обходил и все подробно объяснял. После чего были еще две попытки (наверно больше), но юзеры были готовы. -- Поменьше, я бы вообще запретил, юзерам что-либо расшаривать кроме принтеров. | |
| 29
- 17.02.2015 - 18:44
|
(22) Никаких проблем. Ставишь Виртуал Бокс и в него любимую винду, которая ходит только в банк и на площадки. (23) Я в этой "сказке" живу уже 13 лет. | |
| 30
- 17.02.2015 - 20:11
|
29-shotsdv2008 > А я с виндой 20 лет. И что? Совершенно не вижу причин, чтоб сабжевый "шифровальщик" не смог поразить линукс. Рут/администратор ему, собсно, и не нужен. Единственно, что нужно: как можно больше декстопов. Сейчас их много больше с виндой. Ничего, он еще на смарфонах и планшетах порезвиться :) | |
| 31
- 18.02.2015 - 15:46
|
Меряться письками будем? Тогда я свою первую программу написал в 76 году... В линуксе, в отличие от винды, все нужно запускать руками. Безусловно, если пользователь поставит вайн и САМ запустит вирус, то он поразит базы 1С. Но тогда проще взять и стереть эти базы и не надо для этого никаких вирусов. | |
| 32
- 18.02.2015 - 15:48
| Одно из принципиальных отличий линукса от винды, это то, что линукс не ставит себя выше пользователя, а винда это делает постоянно. | |
| 33
- 18.02.2015 - 16:33
| 32-shotsdv2008 > Совершенно бессмысленные слова... | |
| 34
- 18.02.2015 - 16:44
|  | |
| 35
- 18.02.2015 - 18:31
| В виндус 7 и 8 есть замечательное свойство файлов - "предыдущие версии" | |
| 36
- 18.02.2015 - 18:41
|
35-smaharbA > в (18) дана ссылка. Но кардинально проблема решается либо облачным сервисом по автоматическому сохранению всего содержимого компа, либо мощным эвристическим преданализом. | |
| 37
- 20.02.2015 - 10:42
| Мы являемся клиентами DrWeb и он нам помог , правда времени прошло около 2 недель, но после обращения в службу поддержки был прислан расшифровальщик - расшифровал все файлы и 1С и картинки и pdf и документы офиса. | |
| 38
- 30.05.2016 - 19:26
| Блин, помучился я с этим Cbf. Перепробовал много разных антивирусов и программ антишпионов и тулзов от Касперского, уже был готов платить за разблокировку, но на этом сайте (http://itsecurity-ru.com/viruses/cbf) нашел бесплатную программу ShadowExplorer которая каким-то образом отбекапила почти все файлы! | |
| 39
- 31.05.2016 - 10:27
| нонешние шифровальщики(от спецов) теневые копии не забывают прибивать... только восстановление из грамотного бекапа спасает от этой заразы после ее работы | |
Интернет-форум Краснодарского края и Краснодара |
