Известная тема. И рабочая до сих пор, судя по всему. Знаю крупную одежную торговую сеть, отдавшую мошенникам за восстановление доступа к своим ресурсам более 20 млн рублей. Году в 2016м вроде. До этого они пытались с помощью именитых антивирусных контор избавиться от засланного вируса или чего там у них было. Не помогло. Только время потеряли.
Именно, инкримент с шагом в 2 часа, суточный инкримент, слитый, затем недельный и месячный дикримент. И идут все шифровплщики в жопу
Размещено через приложение ЯПлакалъ
Тут есть вопрос бюджетирования ИТ. Если не дают денег на инфраструктуру то причем тут ИТ специалист?!
А вам для бекапов нужна какая то охерительная инфраструктура? Их и на коленке сделать можно. Из старых хардрв, при желании
Размещено через приложение ЯПлакалъ
Антивирь каспер лицуха корпоративный.... Неловит :). В касперском руками разводят...типв ждите полгода года два...может поймают хпкеров и тогда есть шанс расшифровать. Я 3 разв налетал на этот пиздец. Все потому что бухи тупые тащут обновы с инетов с мутных сайтов типа постпвь это на свою платформу м отчеты будут создаваться сами.... Только бекап на другой сервак через софт для бекапа. И бекапный сервак вне домена с иным паролем.:). Все остальное неработает.
То есть ты как ИТ специалист ставишь на рабочую базу хуйпоймт что херпойми откуда? Или у тебя у духов полные права?
Размещено через приложение ЯПлакалъ
Вводных мало. "Взломали 1С" - это словами в чем выражается, кроме скриншота, непонятно с чего?
Ну как минимум надо знать пароль от кластера 1с, пароль от БД, пароль пользователя. Ну или получить доступ к консоли самого сервака. Каким образом это вышло непонятно, буду разбираться так как очень интересно в образовательных целях
Логи RDP наше всё, если они не "всё".
Да нет там RDP. Linux+1C-Сервер+Postgres. Работают тонким клиентом
Внешнюю 1совскую обработку могли получить по почте и открыть.
С правами внутри базы обычно никто не заморачивается.
Это сообщение отредактировал Primus525 - 18 фев 2022 в 08:59
Этой мульке лет 7. Присылают документ, который бух откроет в 95% случаях - грозное из налоговой, или о возврате денег. С вложением Там от примитивнейшего скрипта до хитрых программ. Бух кликает и сидит ждёт. Иногда кликает несколько раз. В первую очередь эта гадость лезет на сетевые диски.
И чо? Без прав адммина эта херабора пойдет в жопу. И любой более менее грамотный антивирь корпоративный может работать по признакам, например массовое переименование
Размещено через приложение ЯПлакалъ
вот поэтому если работаешь с базами данных, то БЕКАП делать надо как минимум раз в неделю
Как минимум каждые 15 минут логов, каждый день разностный и раз в неделю полный. Если так сделать то все эти мамины хакеры вызывают смех. Но бля вдруг нОлоговая. Поэтому бекап на флешке, флешка в правом яйце, яйцо правое у ссисадмина, а сисадмин у экономистов яйца подкатывает к Оленьке. Стоп... Флешка же, а нет бекап был 1 и на сервере с 1с......
Это сообщение отредактировал Spiser - 18 фев 2022 в 09:08
Внешнюю 1совскую обработку могли получить по почте и открыть.
С правами внутри базы обычно никто не заморачивается.
Не знаю такого. Разве что эту обработку открыли уже войдя в базу опять же с полными правами. Чтобы запущенная обработка прописалась в конкретную базу - нужно указать ей путь к БД, пользователя, пароль - или я чего-то не знаю? Шифровальщик переименовывает все файлы там даже запуск не сработает - а на картинке в теме видно открытое окно формы - значит по крайней мере запуск бд срабатывает, либо при запуске платформа лезет по перепрописанным путям куда положили пугалку. тогда надоть для начала посмотреть не перепрописали ли ...\1CEStart\ibases.v8i где путя прописываются. Тут уже танцы с бубном - вариантов может быть масса. С правами тут вообще весело. только у админа должны быть все права, иначе алес - потом хрен разберешься кто что накрутил, доступ к административным вещам тот же - журналы регистрации, включить историю изменений обязательно на ключевых объектах базы. У меня например пригорало бы если бы все пользователи имели доступ ко всему. Не сталкивались вы когда ведущий расчетчик орет на главного кадровика что она чтото там натворила, приходится целое расследование делать и глав буху на стол предоставвлять всю хронологию - кто, когда, чего наворотил.
Внешнюю 1совскую обработку могли получить по почте и открыть.
С правами внутри базы обычно никто не заморачивается.
Не знаю такого. Разве что эту обработку открыли уже войдя в базу опять же с полными правами. Чтобы запущенная обработка прописалась в конкретную базу - нужно указать ей путь к БД, пользователя, пароль - или я чего-то не знаю?
Юзер сидит в базе в клиенте, запускает обработку, всё.
Это может быть и 1сник, который качнул кривую внешнюю обработку для какого-нибудь регламента в базе.
Внешнюю 1совскую обработку могли получить по почте и открыть.
С правами внутри базы обычно никто не заморачивается.
Не знаю такого. Разве что эту обработку открыли уже войдя в базу опять же с полными правами. Чтобы запущенная обработка прописалась в конкретную базу - нужно указать ей путь к БД, пользователя, пароль - или я чего-то не знаю?
Юзер сидит в базе в клиенте, запускает обработку, всё.
Это может быть и 1сник, который качнул кривую внешнюю обработку для какого-нибудь регламента в базе.
Здесь ключевое - сидит в базе. тогда поднимаются логи отдельно не через 1с и блокнотиком ковыряются тот еще трэш
Ну что, мошенники не спят. Сегодня знакомый прислал вот такую занятную вещь. Я если честно ни разу не видел такого, но суть простая. Взломали 1С, и требуют денег. Пока еще не знаю как произошло, но на моей практике такое первый раз.
А сами бэкапы (ежедневно) не делаете, что ли???... Тогда полный лохобес и уволить нахер такого придурка...-)
Ловушка для админа-рас3.14здяя. Значит антивирусная программа в жопе. А если еще и не бекапил ничего, то тогда с него шкуру сдирать надо начинать.
ЗЫ. А еще не надо по ссылочкам сомнительным переходить и запускать всякие файлики из почты.
Ты не совсем прав. Антивирус здесь не поможет, потому как шифровали обычным 7-zip, а это архиватор бесплатный. Переход по ссылкам не нужен, обычно шифровальщики направляют почтой с вложением вида "акт сверки срочно!!!". Это пользователей пиздить надо (толк будет, проверял). Если база файловая и находилась на том же компе, что и пользователь работал, то денег у фирмы на бэкап систему просто нет (или зажали). Но теперь точно "появятся"
Внешнюю 1совскую обработку могли получить по почте и открыть.
С правами внутри базы обычно никто не заморачивается.
Не знаю такого. Разве что эту обработку открыли уже войдя в базу опять же с полными правами. Чтобы запущенная обработка прописалась в конкретную базу - нужно указать ей путь к БД, пользователя, пароль - или я чего-то не знаю?
Юзер сидит в базе в клиенте, запускает обработку, всё.
Это может быть и 1сник, который качнул кривую внешнюю обработку для какого-нибудь регламента в базе.
Здесь ключевое - сидит в базе. тогда поднимаются логи отдельно не через 1с и блокнотиком ковыряются тот еще трэш
Не знаю, зачем нужна вся эта ебля, когда можно просто развернуть базу из бэкапа :)
Ловушка для админа-рас3.14здяя. Значит антивирусная программа в жопе. А если еще и не бекапил ничего, то тогда с него шкуру сдирать надо начинать.
Сервер 1C на Linux, нет там ни каких антивирусов. Порты закрыты, доступ через SSH по сертификату. Как так получилось непонятно, но очень интересно
Этой мульке лет 7. Присылают документ, который бух откроет в 95% случаях - грозное из налоговой, или о возврате денег. С вложением Там от примитивнейшего скрипта до хитрых программ. Бух кликает и сидит ждёт. Иногда кликает несколько раз. В первую очередь эта гадость лезет на сетевые диски.
Ага-ага, почтовая ссылка зайдет на линуксовый сервер с паролем рута и забекапит всю базу постгреса? Я понимаю, если комп у буха зашифруется, бывало такое, но по ссх на сервер - это что-то из области фантастики.
Бородатая байка:
Цитата
Начальник - секретарю: - Катенька, дорогая, перепиши месячную отчетность нашим партнерам, они сейчас к тебе подойдут. - Добрый день, это вам переписать oтчетность? - Добрый день, да, будьте так любезны, вот чистая дискета, можно на нее. - Да, конечно. Вставляет в дисковод. И.... # mkfs -t vfat -c /dev/fd0h1440 # mount -t vfat -o iocharset=koi8-r,codepage=866 /dev/fd0 /mnt/floppy # find / -noleaf -type f -name Otchet_april. [a-zA-Z] -exec cp '{ }'; /mnt/floppy \; # ls -la /mnt/floppy/Otchet_april. [a-z][A-Z] && sync && sleep 3 - Возьмите пожалуйста! Партнеры. - Ни фига себе!!! - Что такое?!... Я опять отмонтировать забыла?!
вот поэтому если работаешь с базами данных, то БЕКАП делать надо как минимум раз в неделю
неее бэк каждый вечер... только так.. и хранить в 2 местах
Вот как-то так: Все сервера на виртуалках MS SQL делает бэкапы баз 1С на Synology (на ней включена "корзина" Т.е. данные не удаляются. Вообще) Windows Сервера (SQL, RDP, 1C, AD) делают бэкапы самих себя штатным средством Hyper-V делает репликацию виртуалок на другую железяку и бэкап на Synology Synology делает бэкап на другой Synology в другом городе
Только зарегистрированные и авторизованные пользователи могут оставлять комментарии. Авторизуйтесь, пожалуйста, или зарегистрируйтесь, если не зарегистрированы.
1 Пользователей читают эту тему (1 Гостей и 0 Скрытых Пользователей)
Сразу видно- гуру 
тот еще трэш
yaplakal.com