Крымский форум (Crimea-Board) Поиск Участники Помощь Текстовая версия Crimea-Board.Net
Здравствуйте Гость .:: Вход :: Регистрация ::. .:: Выслать повторно письмо для активации  
 
> Рекламный блок.
 
 
 
 
 
> Ваша реклама, здесь
 
 
 

Страницы: (2) 1 2  ( Перейти к первому непрочитанному сообщению ) Start new topic Start Poll 

> Вирус зашифровал 1с базы, вознаграждение
Vacony | Профиль
Дата 2 Июля, 2013, 17:23
Quote Post




Group Icon

Группа: Старожил
Сообщений: 5053
Регистрация: 03.02.11
Авторитет: 77
Вне форума

Предупреждения:
(0%) -----


Кстати, да, вы 2 пост прочли ?
Файлы просмотрите - может это реально кодирование только первых 40 кило в файле и тот алгоритм поможет вам раскрыть обратно.
Понять это можно по любому объемному текстовику - тому же логу аськи или подобному


____________________
...мы редко до конца понимаем, чего в действительности хотим...
PMEmail Poster
Lincorn | Профиль
Дата 2 Июля, 2013, 17:54
Quote Post




Group Icon

Группа: Старожил
Сообщений: 3645
Регистрация: 28.09.10
Авторитет: 101
Вне форума

Предупреждения:
(0%) -----


окромя баз - на компе ниодного файла. Если есть желание - могу выслать любой файл из базы
PMEmail Poster
6/3224   
Lincorn | Профиль
Дата 2 Июля, 2013, 19:22
Quote Post




Group Icon

Группа: Старожил
Сообщений: 3645
Регистрация: 28.09.10
Авторитет: 101
Вне форума

Предупреждения:
(0%) -----


прислали инструкцию. Как всё сделаю - отпишусь
PMEmail Poster
Lincorn | Профиль
Дата 2 Июля, 2013, 22:49
Quote Post




Group Icon

Группа: Старожил
Сообщений: 3645
Регистрация: 28.09.10
Авторитет: 101
Вне форума

Предупреждения:
(0%) -----


всё работает
PMEmail Poster
KOC | Профиль
Дата 2 Июля, 2013, 23:36
Quote Post




Group Icon

Группа: Старожил
Сообщений: 6251
Регистрация: 22.10.08
Авторитет: 106
Вне форума

Предупреждения:
(0%) -----


Lincorn
Что работает?


____________________
PMEmail PosterUsers Website
Зверь | Профиль
Дата 2 Июля, 2013, 23:54
Quote Post




Group Icon

Группа: Абориген
Сообщений: 183
Регистрация: 03.03.08
Авторитет: 2
Вне форума

Предупреждения:
(0%) -----



Цитата(Lincorn @ 2 Июля, 2013, 20:49)
всё работает


как?
PM
1/147   
Lincorn | Профиль
Дата 2 Июля, 2013, 23:55
Quote Post




Group Icon

Группа: Старожил
Сообщений: 3645
Регистрация: 28.09.10
Авторитет: 101
Вне форума

Предупреждения:
(0%) -----


база 1с
PMEmail Poster
Зверь | Профиль
Дата 2 Июля, 2013, 23:58
Quote Post




Group Icon

Группа: Абориген
Сообщений: 183
Регистрация: 03.03.08
Авторитет: 2
Вне форума

Предупреждения:
(0%) -----


Lincorn

как получилось расшифровать? и нам инструкцию )))
PM
Lincorn | Профиль
Дата 2 Июля, 2013, 23:59
Quote Post




Group Icon

Группа: Старожил
Сообщений: 3645
Регистрация: 28.09.10
Авторитет: 101
Вне форума

Предупреждения:
(0%) -----


прислали инструкцию и код. пока-что данные по запросу в ЛС
PMEmail Poster
KOC | Профиль
Дата 3 Июля, 2013, 0:13
Quote Post




Group Icon

Группа: Старожил
Сообщений: 6251
Регистрация: 22.10.08
Авторитет: 106
Вне форума

Предупреждения:
(0%) -----


Lincorn
Мошенникам заплатили?


____________________
PMEmail PosterUsers Website
krs81 | Профиль
Дата 3 Июля, 2013, 0:36
Quote Post




Group Icon

Группа: Members
Сообщений: 48
Регистрация: 27.10.12
Авторитет: 2
Вне форума

Предупреждения:
(0%) -----


http://forum.esetnod32.ru/forum35/topic9700/
PMEmail Poster
Lincorn | Профиль
Дата 3 Июля, 2013, 0:39
Quote Post




Group Icon

Группа: Старожил
Сообщений: 3645
Регистрация: 28.09.10
Авторитет: 101
Вне форума

Предупреждения:
(0%) -----


Цитата(KOC @ 2 Июля, 2013, 23:13)
Мошенникам заплатили?

да
PMEmail Poster
Lincorn | Профиль
Дата 3 Июля, 2013, 0:44
Quote Post




Group Icon

Группа: Старожил
Сообщений: 3645
Регистрация: 28.09.10
Авторитет: 101
Вне форума

Предупреждения:
(0%) -----


что, если этот код связан с МАС адресом интфейса? берем МАС уже вылеченного компа и применяем дешифратор+секретный код купленный.

Если кто хочет проэкспериментировать - могу прислать дешифратор, коды и зашифрованные файлы. Поднять всё это на виртуалке с моим МАСом
PMEmail Poster
YooMax | Профиль
Дата 4 Июля, 2013, 11:03
Quote Post






Группа: Пpохожий
Сообщений: 2
Регистрация: 04.07.13
Авторитет: 0
Вне форума

Предупреждения:
(0%) -----


30.06.13 попался на эту же гадость, базы 1с зашифрованны, файлы в доступных каталогах так-же. Что странно, у пользователей с правали "пользователи" документы на рабочих столах и в моих документах остались не тронутыми. Либо шифратор не доработал, либо шифровали выборочно и спешно вручную. Так же каталоги с длинными названиями на русском и большим кол-вом подкаталогов остались не тронутыми, Т.к. день простоя предприятия стоит дорого, решили оплатить. Сомнение что не вышлют дешифратор конечно были. Дешифратор выслали через 30 мин. после оплаты, система дешифрована. Теперь по поводу привязки к железу, по словам взломщиков нет ее, сам еще не экспериментировал, но в ходе переписки с шифровальщиками выяснялось что дешифровать можно на любой машине используя их дешифратор+ключ, я так понимаю он уникален для каждой машины и не привязан к железу, ну и при размере файла менее 8 бит. разрешение не ставиться. Заражение, или точнее взлом: скан портов, стандартный порт RDP, перебор. Вывод: меняйте стандартный порт RDP если он у вас торчит в инет, усложняйте пароли юзеров (у меня сейчас не менее 12 сим.), настраивайте файер. Удачи.
PMEmail Poster
1/1   
Vacony | Профиль
Дата 4 Июля, 2013, 11:58
Quote Post




Group Icon

Группа: Старожил
Сообщений: 5053
Регистрация: 03.02.11
Авторитет: 77
Вне форума

Предупреждения:
(0%) -----


Код привязан к GUID установленной винды


____________________
...мы редко до конца понимаем, чего в действительности хотим...
PMEmail Poster
YooMax | Профиль
Дата 4 Июля, 2013, 12:14
Quote Post






Группа: Пpохожий
Сообщений: 2
Регистрация: 04.07.13
Авторитет: 0
Вне форума

Предупреждения:
(0%) -----


а какой код? тот который в "ЧТО_С_ЭТИМ_ДЕЛАТЬ.TXT" или тот который для дешифровки?
PMEmail Poster
Vacony | Профиль
Дата 4 Июля, 2013, 13:11
Quote Post




Group Icon

Группа: Старожил
Сообщений: 5053
Регистрация: 03.02.11
Авторитет: 77
Вне форума

Предупреждения:
(0%) -----


YooMax тот, которым шифруются ваши файлы. Разновидностей этого вируса уже много, но в одном из вариантов именно этот ГУИД.


____________________
...мы редко до конца понимаем, чего в действительности хотим...
PMEmail Poster
1/6443   
XXXLer | Профиль
Дата 4 Июля, 2013, 15:29
Quote Post




Group Icon

Группа: Silver Member
Сообщений: 755
Регистрация: 27.01.06
Авторитет: 35
Вне форума

Предупреждения:
(0%) -----


в виду узкоспециализированности вируса вполне может, что в текстовике просто идентификатор системы, и ключ шифрования выдается из БД по идентификатору
PMEmail Poster
1/2962   
dimonkdu | Профиль
Дата 7 Сентября, 2013, 21:58
Quote Post




Group Icon

Группа: Silver Member
Сообщений: 877
Регистрация: 27.08.07
Авторитет: 22
Вне форума

Предупреждения:
(0%) -----


Если на предприятии кто-то хоть иногда думает о сохранности баз 1С, то должны быть автоматически создаваемые резервные копии каждый день, желательно не только на данном пк, но и на втором по сети. Не говоря уже о том что эти копии так же создаются зашифрованными, дабы быть бесполезными для чужих. Админ, который допустил такой исход ситуации не отрабатывает свою зарплату.
PMEmail PosterUsers Website
Vacony | Профиль
Дата 8 Сентября, 2013, 0:20
Quote Post




Group Icon

Группа: Старожил
Сообщений: 5053
Регистрация: 03.02.11
Авторитет: 77
Вне форума

Предупреждения:
(0%) -----


dimonkdu ну ругать после всего это проще простого ... )


____________________
...мы редко до конца понимаем, чего в действительности хотим...
PMEmail Poster

Topic OptionsСтраницы: (2) 1 2  Start new topic Start Poll 

 



[ Script Execution time: 0.0987 ]   [ 12 queries used ]   [ GZIP включён ]


Создание и продвижение сайтов в Крыму



Top