Ваш компьютер атакован опаснейшим вирусом

Я хз, конечно, но в нормальной организации базы данных находятся на сервере, а не на клиентской машине, так что какие-то детские поделки типа этих шифровальщиков могут только заставить переставить систему на клиентской машине и провести разъяснительную работу с бухгалтерами о том, что делать можно, а что - нельзя.

Цитата (nike13 @ 26.02.2017 - 12:03)

Цитата (Adaril @ 25.02.2017 - 23:56) Вопрос - а если у меня 1с на удаленке И там Почта не юзается никакая и вообще файлы не гуляют - риск занести заразу какой? Он сетевые дики не трогает. У меня юристка поймала шифровальщика, все на компе зашифровало. Сетевые диски не тронул. Я в свое время всех заставлял переносить свои файлы в сеть. Только это и спасло.

Неправда. Если сетевые диски были подключены локально, то инфа на них также будет зашифрована. Могу прислать письмо-образец из коллекции

Цитата (75nizz @ 25.02.2017 - 23:55)

Это кидалово или они реально расшифровываются после оплаты?

Нет, не кидалово, в 99 % они честные жулики, и при перечислении денег они присылают ключ. Вся беда в том, что в последнее время этим пидорасы начали просить деньги в битках, без всяких карт и кошельков, поэтому вероятность их идентифицировать стремится к нулю

Это сообщение отредактировал Deniska1982 - 26 фев. 2017 г. в 11:22

Цитата (andrey2508 @ 26.02.2017 - 11:13)

Цитата (prosvet @ 26.02.2017 - 10:52) Цитата (andrey2508 @ 26.02.2017 - 10:46) Цитата (prosvet @ 26.02.2017 - 00:25) Надо почту в Линуксе открывать или в виртуалке или на выделенном компе без важных данных и подключения к внутренней сети. Расширения js, vbs, scr, com, bat, cmd,... запретить или назначить им запуск самописной программы с окном вызова Админа. Шифровальщиков сейчас в .doc файлах присылают . От этого уже не спасешься. от чего то неdoc спасёт ? в doc или в docm ? Именно в .doc , поэтому уже и не отфльтровать по расширению

я картинку выше выложил как в настройках Worda отключить ВСЕ макросы без предложений по их запуску.
Также на картинке выше в теле письма виден IP адрес отправителя письма, по которому можно фильтровать подозрительные письма - не может налоговая слать письма из Китая или из США... проверяющий антивирус почтового сервера должен бы предупреждать о подобных несуразностях несоответствия текста письма с адресом мыла (подменённым) и реальным IP адресом отправителя.... можно вааще запретить получать письма из-за границы своей страны.

Цитата (yaphunter @ 26.02.2017 - 11:19)

Цитата (nike13 @ 26.02.2017 - 12:03) Цитата (Adaril @ 25.02.2017 - 23:56) Вопрос - а если у меня 1с на удаленке И там Почта не юзается никакая и вообще файлы не гуляют - риск занести заразу какой? Он сетевые дики не трогает. У меня юристка поймала шифровальщика, все на компе зашифровало. Сетевые диски не тронул. Я в свое время всех заставлял переносить свои файлы в сеть. Только это и спасло. Неправда. Если сетевые диски были подключены локально, то инфа на них также будет зашифрована. Могу прислать письмо-образец из коллекции

Подтверждаю, если подключены сетевые диски, файлам на них так же будет пизда

Мне в таких случаях не раз помогала "Теневая копия".
Откатился на пол-дня и все в норме.
У меня все юзвери уже в курсе, при поступлении писем - сразу звонят и спрашивают.

Вечный вопрос

Цитата (Deniska1982 @ 26.02.2017 - 11:21)

Цитата (yaphunter @ 26.02.2017 - 11:19) Цитата (nike13 @ 26.02.2017 - 12:03) Цитата (Adaril @ 25.02.2017 - 23:56) Вопрос - а если у меня 1с на удаленке И там Почта не юзается никакая и вообще файлы не гуляют - риск занести заразу какой? Он сетевые дики не трогает. У меня юристка поймала шифровальщика, все на компе зашифровало. Сетевые диски не тронул. Я в свое время всех заставлял переносить свои файлы в сеть. Только это и спасло. Неправда. Если сетевые диски были подключены локально, то инфа на них также будет зашифрована. Могу прислать письмо-образец из коллекции Подтверждаю, если подключены сетевые диски, файлам на них так же будет пизда

Мало того если есть расшаренные папки с доступом на чтение и запись им тоже пизда...

Цитата (JIR @ 26.02.2017 - 06:05)

Цитата (sam19751 @ 26.02.2017 - 05:43) сижу прикрытый  лицухой известного антивиря с сетевой поддержкой и думаю..... вот нахуа  людишечки  себе  на попульки  ищут проблемы то .... стоит на работе  лет питсот  1С  и не разу никогда не легла изза подобной херни.. ответьте  пожалуста  ЗАЧЕМ ВАМ ЭТО ВСЕ , ну купите  вы достойный антивир Попроси распечатать лицуху на свой антивирус. Желательно в цвете и с печатью. Потом сверни её в трубочку и смажь вазелином. После всех этих операций, разверни и маши как флагом ЛГБТ

как это делаешь ты???
а потом бегаешь с горящей лицухой в жопе с криком ПОМОГИТЕ РАСШИФРОВАТЬ БАЗЫ

Цитата (dedpixai @ 25.02.2017 - 23:47)

Где то читал что парни вродь разобрались как с этой бедой бороться, получалось у них вроде как

Чё? 128-битный ключ? Не зная алгоритма шифрования??? Там брутфорса на несколько миллионов лет. А не имея вторичной инфы нельзя применить ни один математический алгоритм ибо опять же там только анализа шифрации тоже на несколько десятков лет.

Это сообщение отредактировал LazYap - 26 фев. 2017 г. в 11:42

Цитата (simyth11 @ 26.02.2017 - 07:00)

Любой антивирус это зарубит на корню. Ваш любимый бухгалтер этого может и не заметить. И вот не надо насчет расширений .doc и прочего. Это, скорее, расширение .doc____exe, какое-нибудь. Ну мне такие периодически приходят. Никаких геморроев не было.

заметил скока типаяадмин минусят. но хуй кто признает свою ошибку.

если админ лох то это надолго

Цитата (zoleg @ 25.02.2017 - 23:54)

помогает ежедневный бэкап.

Добавлю: лучше на отдельный сервер, по iSCSI. Если бэкапирование происходит на доступный из системы локальный или сетевой диск - не поможет.
На прошлой работе ловили такое. Просили 30 000. Позапрошлой осенью такую херь поймали клиенты: аппетиты вымогателей уже выросли до 3 раз по 100 0000 на три разных кошелька.
В первом случае бэкапы были также зашифрованы, но повезло: бэкеапный диск заменили буквально неделей раньше, и старый остался. Но все наработки за этот срок пропали. Во втором случае спас отдельный подключенный по iscsi бэкапный сервер на freenas, так что даже испугаться не успели :)

Цитата (Alice9tails @ 26.02.2017 - 00:02)

Цитата (dedpixai @ 25.02.2017 - 23:47) Где то читал что парни вродь разобрались как с этой бедой бороться, получалось у них вроде как Хреново, когда теорию информации не преподают. Всё, что шифруется, может быть расшифровано. Итак, имеем некий входной файл, некий алгоритм и выходной файл. Берём декомпилятор алгоритма, выцепляем порядок перестановок байт и их обработку ключом. Далее - исходный файл и шифрованный файл. На руках три из четырёх неизвестных. Обратная перестановка, обработка, получаем четвёртое неизвестное - ключ шифрования. А дальше дело техники.

10 класс 1 четверть. Слышал звон, да не понял от куда он.

Хапнул года 2 назад такую хрень, просили 5т.р., платить не стал, на старом компе почти всё было.

Бэкап, бэкап и еще раз бэкап...

Нужно резервное копирование на ЦОДы делать. Облака - без них никуда.

Ну хотя бы за расширениями файлов которые открываешь поглядывать надо, если в конце типа .doc.exe или .jpg.js и тому подобное то открывать это точно не стоит. Но для этого нужно включить показ расширений в свойствах папки.

Цитата (dedpixai @ 25.02.2017 - 22:47)

Где то читал что парни вродь разобрались как с этой бедой бороться, получалось у них вроде как

поменяли обратно расширение файлов?

Цитата (zoleg @ 26.02.2017 - 00:12)

Цитата (anikifya @ 26.02.2017 - 00:07) Цитата Только лишь бухгалтер откроет это письмо, как во всей локальной сети происходит шифрование баз данных "1С" прекратите писать хуйню. у пользователя не должно хватить прав на что то, кроме папки "рабочий стол" и "мои документы" И уж точно - на открытие портов или запуск левых соединений, или запуск экзешников не из "программ файлз" Если хватило- это вопрос к админу. Хватит ходить в вытянутом свитере с отщеренным еблом и починять принтеры. Время наводить порядок в сети. обычно базы 1С ставят на на полные права пользователям в группе, иначе не работает - это DBF. Что в большинстве используется в 7.7, и на папки с 8 файлами, со своим форматом. Шифровальщик запускается под пользователем и шифрует все до чего может дотянуться, включая базы данных, где есть доступ. Так что про свитерок ты рановасто .

Один Эсс версии 7.7???
Кто-то еще ездиет на говне мамонта?

у меня SUSE, все нужное от окон в VM, и да! мне насрать на вирусняк...

любители окон минусуют?

Если все правильно понял, то шифровальшик после окончания шифрования стирает исходники файлов... пробовал кто восстановить стертые файлы? R-Studio может помочь?

Это сообщение отредактировал Prizm08 - 26 фев. 2017 г. в 12:22

Цитата (viktori7 @ 26.02.2017 - 03:21)

Я считаю, первое средство от этих мошенников-это полное закрытие полупрозрачных платёжных систем. Все мошенники пользуются платёжными средствами, где нет контроля. Пай-пэл, яндекс-деньги, да много, где нет контроля за собственником счёта. И некому предъявить финансовые претензии. Когда это прикроют, то все эти мошенники исчезнут, поскольку не будет неконтролируемых финансовых потоков. Сразу будет ясно куда идут деньги.

Ага попробуйте закройте всякие биткоины/даркоины и тд, Яровой вы наш

Цитата (Alice9tails @ 26.02.2017 - 00:02)

Цитата (dedpixai @ 25.02.2017 - 23:47) Где то читал что парни вродь разобрались как с этой бедой бороться, получалось у них вроде как Хреново, когда теорию информации не преподают. Всё, что шифруется, может быть расшифровано. Итак, имеем некий входной файл, некий алгоритм и выходной файл. Берём декомпилятор алгоритма, выцепляем порядок перестановок байт и их обработку ключом. Далее - исходный файл и шифрованный файл. На руках три из четырёх неизвестных. Обратная перестановка, обработка, получаем четвёртое неизвестное - ключ шифрования. А дальше дело техники.

Да, расшифровать можно все. Брутфорсом на крайняк. Лет за тыщщу-миллион.

Это сообщение отредактировал QPSK6471 - 26 фев. 2017 г. в 12:04

Если кто-то придумал, как зашифровать, обязательно найдется тот, кто расшифрует. Иначе быть не может. Просто кому надо этим заниматься даром? Но рано или поздно найдется и тот, кто заплатит стороннему программисту, может быть, и сумму побольше, чем требуют вымогатели (просто из принципа, чтобы не платить преступникам).

Шифровальщик действенный действительно. В плане хуй взломаешь перебрать, имея все "суперкомпьютеры пентагона" :) То есть можно, но это время + деньги несоизмеримые к выплате хацкерам или откатом бэкапа
Но вот попадает этот вирус через некомпетентность бухгалтеров. Сомнительные письма видны на раз и проверяются достаточно просто. Но увы, неграмотные в компьютерах бухгалтеры ведутся на "Налоговая платежка" и печати красивые.

Ну и админская безалаберность - доступ должен быть ровно настолько, насколько надо юзеру, а то из под пользователя шифровать весь сервак - странно. + бэкапы, в большинстве фирм будет некритично откатиться на вчерашнее число

Это сообщение отредактировал Archikoff - 26 фев. 2017 г. в 12:06

Цитата

расшифровали кодированное 128-битным ключом не имея его ???

Как это невозможно? Возможно, расшифровка SHA (считался стойким к дешефрации) ключа занимает не больше суток, таки взломали его, теперь только SHA2 (SHA256). Так что скорей всего они пользуют 256-бит ключи, а может даже и больше...
Шифровальщик это одно, но бухгалтер чё сидит под админскими правами чтоль? Запускается маленькая программка и висит в задачах чтоль?
А если у этого компа вообще нет инета, (только локалка) как тогда?
ЗЫ: Я это к этому - "человек запускает шифрование"

Это сообщение отредактировал RAMI - 26 фев. 2017 г. в 12:13