Когда вирус зашифровал данные в 1с

Обновлено: 28.03.2024

обидно что вирус зашифровал и основной сервер Windows Server2008 и второй сервер, куда каждый день снимались архивы, на втором сервере 580 архивов за каждый день - тоже все зашифрованы.

сервера я восстановил программой Acronis backup recovery из образа с внешнего HDD (сделанного 1,5 года назад) сервера работают
А что делать с базой (и её архивами) ?

если админы дебилы - пусть платят из личных денег.

зы
бекапы должны быть недоступны .

сколько раз говорил - файловая база 1с только для тестов и демок .

даже простенький минисервер 1с спасает от напасти.

или работа через веб сервер.

>>>куда каждый день снимались архивы,

Вот тут у вас ошибка.
Архивы должны создаваться под отдельной учетной записью, даже не в домене.

(1) если в должностных админа регламентов на бэкапы нет (а значит нет ни нормативов, ни обеспечения, ни контроля), то с чего на исполнителей пинять?

Работал я в одной из фирм.. Там ребята-админы были с ушками на макушке: звонок по местному телефону: в ваш mail проскочил файл с подозрением на вирус. Не открывайте, пока мы не посмотрим.

(0) Теневое копирование тома - предыдущие версии тоже зашифрованы?

А пробовали - удаленные файлы восстановить поблочно разными альтернативными методами – преимущественно из потоков ($DATA, $MFT и др.) файловой системы NTFS?

(0) У моей клиентки шифровальщик поработал, у нее каспер стоял, но был выключен непонятно по каким причинам. Сразу к ним позвонили, они подключились забрали несколько файлов и через 8 дней расшифровали все.

А эти подонки, чей контакт был во всех директориях требовали 40 тыщ изначально за расшифровку.

Сочувствую. Но помочь здесь вряд ли чем можно - либо платите, либо забейте и начните жизнь с чистого листа. Либо поизголяйтесь как советовал (13)

Админам или "безопасникам" строгий выговор и - 25% премии в этом месяце

(16) согласен, но за IT-инфраструктурой в целом - можно, дабы избегать таких ситуаций в будущем. У нас, например, были несколько случаев, когда шифровались данные на локальных машинах клиентов, но не более. Про "вирусные" вещи автоматом делается рассылка дважды в день, а так же предусмотрен штраф за нарушение полученной инструкции.

только бэкапы спасают от этой напасти
к несчастью мелкие конторы не защищены полностью от шифровальщиков

(18) Любые конторы защищены где админ нормальный строит систему. Для бекапов и теневого не надо лишних ресурсов.

Нужно админам нормальную зарплату платить,тогда можно избегать этих шифровальщиков и даже после шифрования!

Если базы зашифрованы, то шифровальщик не сможет их повторно зашифровать, у меня напр вообще все локалка зашифрована!

(22) Да, что вы говорите.
Похоже на анекдот, в котором владелец бахчи, повесил записку, что 1 из арбузов отравлен, а на утро обнаружил приписку, что уже 2 арбуза отравлены.

(0) Единственный вариант - заплатить вымогателям.
Иначе - набивать с нуля.
А вообще бэкапы для этого делают.

(2) >>сколько раз говорил - файловая база 1с только для тестов и демок .

Сколько можно повторять этот бред?
Файловая база самый популярный и самый быстрый рабочий вариант.
На ней работает большинство.
SQL используется очень редко, ее имеет смысл использовать только при 5 и более пользователях одновременно работающих в базе.
Поднимать сервер ради одного- двух пользователей это абсурд.

(30) Что за бред?
Какая разница чем зашифрована база и как? База это файл!
Шифровальщик видит файл, и шифрует.
Все.
А что внутри файла - ему фиолетово.

Видимо тебе фиолетово. Вирус не сможет зашифровать базу пока не узнает её ключ! А ключ он никогда не узнает, нет ещё пока таких троянов!

Ключ нужен чтобы расшифровать и прочитать зашифрованное содержимое зашифрованного файла.
Шифровальщику читать содержимое файла не надо.

(30) А про закрытый ключ - вообще смешно.
Сразу видно что с шифрованием вы не знакомы.
Закрытым ключь это термин из ассиметричного шифрования.
И им никогда ничего не шифруют!
Шифруют открытым(публичным) ключом.
А закрытым расшифровывают.

(35) Какая нафиг реализация, нафига тут вообще алгоритмы?

У тебя есть зашифрованный файл.
Прочитать что там за информация ты не можешь.
Но ты можешь скопировать этот файл - он так и скопируется зашифрованным.
Или зашифровать его.

Берешь текстовый документ. Документ.doc
Шифруешь его с помощь архиватора WinRAR с ключом A%(Js,gytr6t6jh, получается зашифрованный архив Документ.rar

Так вот чтобы зашифровать зашифрованынй архиво Документ.doc не нужно знать ключ шифрования, и не нужно его расшифровывать.
Просто берешь файл Документ.rar шифруешь его архиватором WinRAR.
В итоге у тебя получится зашифрованный архив Документ.rar внутри которго находится зашифрованный архив Документ.rar внутри которого находится документ Документ.doc

(30) повторюсь, бред. ))
Если файл доступен для изменения, то содержимое файла и его назначение шифровальщику фиолетово. Он берет файл и делает из него другой файл. Всё.

Неужели подобные проблемы с письмами нельзя решать на уровне какого-ть "АнтиСПАМБезопасногоФильтра" на почтовом хостинге? Ну или накрайняк локально установленного?

(43) Ты зашифровал текстовый документ - без ключа текст прочитать нельзя.
Но зашифрованный файл прочитать можно без проблем - это просто будет бессмысленный набор информации.

Шифроальщик читает этот бессмысленный набор информации и шифрует.

(40) Ему фиолетово что в файле.
Или думаешь что он умеет читать и понимать все 100500 форматов что есть?

(50) А чем тебе не нравится шифрование в WinRAR и чем оно отличается от шифрования другими средствами?
Вы чем предлагаете шифровать?
В WinRAR - AES банальный.

(45) Если ты возьмешь буковки и выложишь из них какой-то текст, а потом перемешаешь их, что тебе помешает перемешать их еще раз? То же самое с шифрованием, не путай доступ к файлу с чтением.
Образно говоря, если ты перемешанные буковки спрячешь в ящик и закроешь его на ключ, то тогда да, никто их второй раз не перемешает, а вот если они перемешанные лежат на столе, то перемешивай их хоть до посинения.

(47)-(48) Сдается мне, что этот чудак гордится тем, что у него раздел диска зашифрован. И тогда действительно, без пароля доступа к диску не получишь. Но такая схема все равно не защищена от проникновеня вируса в сеанс с введенным паролем.

(57) Зашифруй свой файл, а потом удали его. И расскажи, как твое шифрование поможет вернуть удаленный файл.

(57) Получается: Суд, Срок, Тюрьма. и далее по жизни ты поэтапно повторяешь этот процесс, т.к. вор должен сидеть в тюрьме :)

(62) Если нормально удалишь - то восстановить не получится.
А если просто удалишь штатными средствами а потом восстановишь - получится тот же самый зашифрованный файл.

(60) >>> После шифрования нельзя прочитать зашифрованный текст без ключа.

Вы малыша путаете словом "Нельзя прочитать".
Правильно бы выразиться: Прочитать содержимое фала можно, но оно не будет содержать смысловой нагрузки. Т.к. Буковки там будут вперемежку и хаотично :)

(62) С больше степени вероятности, система частично затрет твой файл, своим мусором.
И при дешифровании вы будете очень огорчены :)

обидно что вирус зашифровал и основной сервер Windows Server2008 и второй сервер, куда каждый день снимались архивы, на втором сервере 580 архивов за каждый день - тоже все зашифрованы.

сервера я восстановил программой Acronis backup recovery из образа с внешнего HDD (сделанного 1,5 года назад) сервера работают
А что делать с базой (и её архивами) ?

если админы дебилы - пусть платят из личных денег.

зы
бекапы должны быть недоступны .

сколько раз говорил - файловая база 1с только для тестов и демок .

даже простенький минисервер 1с спасает от напасти.

или работа через веб сервер.

>>>куда каждый день снимались архивы,

Вот тут у вас ошибка.
Архивы должны создаваться под отдельной учетной записью, даже не в домене.

(1) если в должностных админа регламентов на бэкапы нет (а значит нет ни нормативов, ни обеспечения, ни контроля), то с чего на исполнителей пинять?

Работал я в одной из фирм.. Там ребята-админы были с ушками на макушке: звонок по местному телефону: в ваш mail проскочил файл с подозрением на вирус. Не открывайте, пока мы не посмотрим.

(0) Теневое копирование тома - предыдущие версии тоже зашифрованы?

А пробовали - удаленные файлы восстановить поблочно разными альтернативными методами – преимущественно из потоков ($DATA, $MFT и др.) файловой системы NTFS?

(0) У моей клиентки шифровальщик поработал, у нее каспер стоял, но был выключен непонятно по каким причинам. Сразу к ним позвонили, они подключились забрали несколько файлов и через 8 дней расшифровали все.

А эти подонки, чей контакт был во всех директориях требовали 40 тыщ изначально за расшифровку.

Сочувствую. Но помочь здесь вряд ли чем можно - либо платите, либо забейте и начните жизнь с чистого листа. Либо поизголяйтесь как советовал (13)

Админам или "безопасникам" строгий выговор и - 25% премии в этом месяце

(16) согласен, но за IT-инфраструктурой в целом - можно, дабы избегать таких ситуаций в будущем. У нас, например, были несколько случаев, когда шифровались данные на локальных машинах клиентов, но не более. Про "вирусные" вещи автоматом делается рассылка дважды в день, а так же предусмотрен штраф за нарушение полученной инструкции.

только бэкапы спасают от этой напасти
к несчастью мелкие конторы не защищены полностью от шифровальщиков

(18) Любые конторы защищены где админ нормальный строит систему. Для бекапов и теневого не надо лишних ресурсов.

Нужно админам нормальную зарплату платить,тогда можно избегать этих шифровальщиков и даже после шифрования!

Если базы зашифрованы, то шифровальщик не сможет их повторно зашифровать, у меня напр вообще все локалка зашифрована!

(22) Да, что вы говорите.
Похоже на анекдот, в котором владелец бахчи, повесил записку, что 1 из арбузов отравлен, а на утро обнаружил приписку, что уже 2 арбуза отравлены.

(0) Единственный вариант - заплатить вымогателям.
Иначе - набивать с нуля.
А вообще бэкапы для этого делают.

(2) >>сколько раз говорил - файловая база 1с только для тестов и демок .

Сколько можно повторять этот бред?
Файловая база самый популярный и самый быстрый рабочий вариант.
На ней работает большинство.
SQL используется очень редко, ее имеет смысл использовать только при 5 и более пользователях одновременно работающих в базе.
Поднимать сервер ради одного- двух пользователей это абсурд.

(30) Что за бред?
Какая разница чем зашифрована база и как? База это файл!
Шифровальщик видит файл, и шифрует.
Все.
А что внутри файла - ему фиолетово.

Видимо тебе фиолетово. Вирус не сможет зашифровать базу пока не узнает её ключ! А ключ он никогда не узнает, нет ещё пока таких троянов!

Ключ нужен чтобы расшифровать и прочитать зашифрованное содержимое зашифрованного файла.
Шифровальщику читать содержимое файла не надо.

(30) А про закрытый ключ - вообще смешно.
Сразу видно что с шифрованием вы не знакомы.
Закрытым ключь это термин из ассиметричного шифрования.
И им никогда ничего не шифруют!
Шифруют открытым(публичным) ключом.
А закрытым расшифровывают.

(35) Какая нафиг реализация, нафига тут вообще алгоритмы?

У тебя есть зашифрованный файл.
Прочитать что там за информация ты не можешь.
Но ты можешь скопировать этот файл - он так и скопируется зашифрованным.
Или зашифровать его.

Берешь текстовый документ. Документ.doc
Шифруешь его с помощь архиватора WinRAR с ключом A%(Js,gytr6t6jh, получается зашифрованный архив Документ.rar

Так вот чтобы зашифровать зашифрованынй архиво Документ.doc не нужно знать ключ шифрования, и не нужно его расшифровывать.
Просто берешь файл Документ.rar шифруешь его архиватором WinRAR.
В итоге у тебя получится зашифрованный архив Документ.rar внутри которго находится зашифрованный архив Документ.rar внутри которого находится документ Документ.doc

(30) повторюсь, бред. ))
Если файл доступен для изменения, то содержимое файла и его назначение шифровальщику фиолетово. Он берет файл и делает из него другой файл. Всё.

Неужели подобные проблемы с письмами нельзя решать на уровне какого-ть "АнтиСПАМБезопасногоФильтра" на почтовом хостинге? Ну или накрайняк локально установленного?

(43) Ты зашифровал текстовый документ - без ключа текст прочитать нельзя.
Но зашифрованный файл прочитать можно без проблем - это просто будет бессмысленный набор информации.

Шифроальщик читает этот бессмысленный набор информации и шифрует.

(40) Ему фиолетово что в файле.
Или думаешь что он умеет читать и понимать все 100500 форматов что есть?

(50) А чем тебе не нравится шифрование в WinRAR и чем оно отличается от шифрования другими средствами?
Вы чем предлагаете шифровать?
В WinRAR - AES банальный.

(45) Если ты возьмешь буковки и выложишь из них какой-то текст, а потом перемешаешь их, что тебе помешает перемешать их еще раз? То же самое с шифрованием, не путай доступ к файлу с чтением.
Образно говоря, если ты перемешанные буковки спрячешь в ящик и закроешь его на ключ, то тогда да, никто их второй раз не перемешает, а вот если они перемешанные лежат на столе, то перемешивай их хоть до посинения.

(47)-(48) Сдается мне, что этот чудак гордится тем, что у него раздел диска зашифрован. И тогда действительно, без пароля доступа к диску не получишь. Но такая схема все равно не защищена от проникновеня вируса в сеанс с введенным паролем.

(57) Зашифруй свой файл, а потом удали его. И расскажи, как твое шифрование поможет вернуть удаленный файл.

(57) Получается: Суд, Срок, Тюрьма. и далее по жизни ты поэтапно повторяешь этот процесс, т.к. вор должен сидеть в тюрьме :)

(62) Если нормально удалишь - то восстановить не получится.
А если просто удалишь штатными средствами а потом восстановишь - получится тот же самый зашифрованный файл.

(60) >>> После шифрования нельзя прочитать зашифрованный текст без ключа.

Вы малыша путаете словом "Нельзя прочитать".
Правильно бы выразиться: Прочитать содержимое фала можно, но оно не будет содержать смысловой нагрузки. Т.к. Буковки там будут вперемежку и хаотично :)

(62) С больше степени вероятности, система частично затрет твой файл, своим мусором.
И при дешифровании вы будете очень огорчены :)


Последующие попытки запуска рабочей среды 1С также не увенчались успехом. Бухгалтер связалась с компанией, обслуживающей вычислительную технику их организации, и запросила техническую поддержку. Специалистами обслуживающей организации выяснено, что проблемы куда более масштабные, так как кроме того что файлы базы 1С Бухгалтерии 7.7 были зашифрованы и имели расширение “BLOCKED“, зашифрованными оказались и файлы с расширениями doc, docx, xls, xlsx, zip, rar, 1cd и другие. Также обнаруживался текстовый файл на рабочем столе пользователя, в котором сообщалось, что файлы зашифрованы с использованием алгоритма RSA 2048, и что для получения дешифратора необходимо оплатить услуги вымогателя. Резервное копировании 1С баз осуществлялось ежедневно на другой жесткий диск установленный в этом же ПК в виде создания zip архива с папкой 1С баз, и копия архива помещалась на сетевой диск (NAS ). Так как ограничения доступа к резервным копиям не было, то вредоносное программное обеспечение имело доступ и к ним.

Оценив масштаб проблемы, специалисты обслуживающей организации выполнили копирование только шифрованных файлов на отдельный накопитель и произвели переустановку операционной системы. Также из почтового ящика бухгалтера были удалены письма, содержащие вредоносное ПО . Попытки расшифровки с использованием популярных дешифраторов антивирусных компаний на тот момент результата не дали. На этом обслуживающая организацию компания закончила свои работы.

Перспективы начать с ввода первичной документации в новую 1С базу, не сильно радовали бухгалтеров. Посему были рассмотрены дальнейшие возможности восстановления шифрованных файлов.

Поэтому сразу приступаем к анализу файлов, структуры которых хорошо известны. В данном случае удобно использовать для анализа DBF файлы из базы 1С, так как структура их весьма предсказуема. Возьмем файл 1SENTRY.DBF.BLOCKED (журнал бухгалтерских проводок), размер данного файла 53 044 658 байт



рис. 2

Рассматривая шифрованный DBF файл, обращаем внимание на то, что первые 0x35 байт не зашифрованы, так как присутствует заголовок, характерный для данного типа файлов, и наблюдаем часть описания первого поля записи. Произведем расчет размера файла. Для этого возьмем: WORD по смещению 0x08, содержимое которого равно 0x04C1 (в нем указан размер заголовка DBF файла), WORD по смещению 0x0A, содержимое которого равно 0x0130 (в нем указан размер одной записи в базе), DWORD по смещению 0x04, содержимое которого равно 0x0002A995 (количество записей), и 0x01 – размер конечного маркера. Решим пример: 0x0130*0x0002A995+0x04C1+1=0x0032965B2 (53 044 658) байт. Размер файла, согласно записи файловой системы, соответствует расчетному на основании информации в заголовке DBF файла. Выполним аналогичные проверки для нескольких DBF файлов и удостоверимся, что размер файла не был изменен вредоносным ПО.

Анализ содержимого DBF показывает, что небольшие файлы начиная со смещения 0x35 зашифрованы целиком, а крупные нет.



рис. 3

Номера счетов, даты и суммы изменены, чтобы не нарушать соглашения о конфиденциальности в том числе и в зашифрованном участке.

Начиная со смещения 0x00132CB5 обнаруживаем отсутствие признаков шифрования до конца файла, выполнив проверки в иных крупных файлах подтверждаем предположение, что целиком шифруются только файлы менее 0x00132CB5 (1 256 629) байт. Многие авторы вредоносного ПО выполняют частичное шифрование файлов с целью сокращения времени искажения пользовательских данных. Руководствуются вероятно тем, чтобы их вредоносный код за минимальное время нанес максимально возможный ущерб пользователю.

Приступим к анализу алгоритма шифрования



рис. 4

На рис. 4 на месте заголовков полей DBF файла присутствуют почти одинаковые последовательности из 16 байт (смещения 0x50, 0x70, 0x90), также видим частичное повторение последовательностей из 16 байт (смещения 0x40,0x60,0x80), в которых есть отличия только в байтах, где должно прописываться имя поля и тип поля.

Исходя из особенностей строения заголовков DBF файлов и изменений байт в последовательностях, можно сделать предположение, что шифрование выполнено посредством XOR операции над данными с неким паттерном. Также можно сделать предположение, исходя из длины повторяющихся последовательностей, что длина паттерна 16 байт (128 бит). Заголовок базы равен 0x04C1 байт, размер описания одного поля в заголовке 0х20 (32) байт. Из этого следует, что заголовок данного DBF файла содержит (0x4C1-0x21)/0x20=0x25 (37) описаний полей. На рис. 4 подчеркнуты красным фрагменты записей двух полей начиная со смещения 0x10, которые в случае 1С как правило имеют нулевые значения, кроме самого 0x10 (так как по этому смещению указывается размер поля), на основании этого можно полагать, что уже имеем 15 из 16 байт ключа шифрования 0x97 0x99 0xE6 0xBF 0x4B 0x6C 0x77 0x76 0x3A 0x80 0x0B 0xXX 0xAF 0x45 0x6A 0xB7.

Для нахождения последнего байта в ключе возьмем другой фрагмент этого же DBF файла.



рис. 5

На рисунке 5 обратим внимание на нулевой столбец, точнее на его нешифрованную часть, и видим, что там преобладает значение 0x20 (код пробела согласно ASCII таблицы). Соответственно, и в шифрованной части столбца будет преобладать некое одинаковое значение. Легко заметить, что это 0xFA. Для получения оригинального значения недостающего байта ключа необходимо выполнить 0xFA xor 0x20=0xDA.

Подставив полученное значение на недостающую позицию, получим полный ключ 0x97 0x99 0xE6 0xBF 0x4B 0x6C 0x77 0x76 0x3A 0x80 0x0B 0xDA 0xAF 0x45 0x6A 0xB7.

После выполнения процедуры xor операции с полученным ключом над шифрованными участками получили оригинальное содержимое файла



рис. 6

Для окончательного контроля проведем операцию расшифровки zip архива, затем распакуем архив. Если все файлы извлеклись и не возникало ошибки CRC для какого-либо файла, то можно окончательно подтвердить корректность ключа. И финальным этапом будет распаковка остальных файлов согласно технического задания.

Данный пример говорит о том, что вероятно не все высказывания авторов вредоносного программного обеспечения правдивы. И нередко можно решить задачу восстановления пользовательских данных посредством анализа измененных данных.

Наряду с подобными простыми случаями встречаются трояны-шифровальщики, которые действительно будут использовать современные криптографические алгоритмы и в случае их атаки подобное простое решение в принципе невозможно. Посему будьте предельно осторожны при открытии любых файлов, полученных по электронной почте даже от доверенных источников. Регулярно обновляйте антивирусное ПО и делайте резервное копирование таким образом, чтобы ваши данные во всех копиях не были доступны кому-либо единовременно.

Есть возможность как либо расшифровать наш архиф. Есть ли программы дешифраторы. Или сколько это стоит.

  • Вопрос задан более трёх лет назад
  • 1753 просмотра

Простой 2 комментария

iiiBird

CityCat4

Подобные темы периодически возникают на форумах пользователей Касперского, Др.Веба и Нода32 - сотрудники соответствующих антивирусов пытаются помочь решить такую проблему; на форумах уже лежат десятки средств, которые могут помочь в попытке дешифровки.

Как вариант, если вы так хотите заплатить, свяжитесь с вымогателями, которые зашифровали вам базу.

Jump

Нет, расшифровать не имея ключа шифрования практически невозможно.

Вытаскивайте базу из бэкапа и работайте дальше - только так.

CityCat4

На такие вопросы есть злорадный и грустный (для Вас) но очень правильный ответ:

Все админы делятся на:
- тех, кто еще не делает бэкапы
- тех, кто уже их делает
- тех, кто уже их делает и периодически проверяет, как они восстанавливаются

Я конечно понимаю, что Вам не до шуток, но увы - думать надо было раньше.

World Wild Web.

SagePtr

Может быть и невозможным, если ключ шифрования рандомно сгенерировался в памяти компьютера и после шифрования был удалён. Либо если шифрование было произведено по ассиметричному публичному ключу, а приватный к нему отсутствует.

Не совсем понял но совсем маленькие куски базы разшифровали с помощью Касперского. А большие он не тенет. Я есть очень большие. Мы расшифровали через Касперского файлы до 100 мб, а 500 мб он не берет. А есть ещё 2 по 1.5 Гб файлов.

Читайте также: