Когда вирус зашифровал данные в 1с

Эта статья призвана помочь всем тем, кто столкнулся с новой бедой ”хакерский взлом с целью вымогательства денег”. Эта беда все более и более набирает свои обороты.

Под прицелом как обычные домашние компьютеры и ноутбуки, так и что более страшно – корпоративные сервера.

Суть процесса заключается в том, что в одно прекрасное утро вы включаете компьютер и видите что все ваши важные файлы имеют не обычный вид, к ним приписывается в конце какое то новое расширение типа .EnCiPhErEd ( или .crypted или .Encrypted или .STOP .ARRESTED . и другие, их множество), а рядом лежит текстовый файл с названием РАСШИФРОВКА.txt или READ_ME_NOW. txt или КАК РАСШИФРОВАТЬ ВАШИ ФАЙЛЫ.txt. Открываем этот файл а там вам послание, у всех оно бывает разным, но суть одна и та же – свяжитесь со мной и указан контактный е-mail. Приведем здесь текст одно из посланий:

Доброго времени суток!

Ваш компьютер был атакован опаснейшим вирусом.

Вся ваша информация (документы, базы данных, архивы, бакепы и прочие файлы) были слиты с жестких дисков и зашифрованы с помощью самых криптостойких алгоритмов.

Восстановить файлы можно только при помощи дешифратора и пароля который в свою очередь знаем только мы.

Подобрать его невозможно, переустановка операционной системы ничего не изменит.

Не один системный администратор в мире не решит эту проблему не зная пароля. (если есть сомнения - дерзайте)

Не советуем изменять файлы, но если решились, сделайте резервные копии.

Проясним еще раз, все файлы слиты и зашифрованы, напишите нам в течении трех дней, иначе все данные будут проданы конкурентам (файлы форматов exel, docx, и базы 1с тоже будут переданы) а они в свою очередь найдут им применение.

Письма с угрозами не к чему хорошему не приведут!

Дальше все просто, пишем им с вопросом: вы что совсем! Что вам нужно? Как правило, в течение часа приходит ответ: что такую то сумму нужно перечислить туда то и будет вам счастье.


Здесь вас должно насторожить:

1) Почему на e-mail? Любой суд отправляет уведомление только заказным письмом почтой России.

2) Почему обращение не по фамилии имени и отчеству?

3) Указано что возбуждено уголовное дело. Арбитражный суд заводит административные дела. Уголовными занимается Прокуратура.

Ясно, что составитель данного письма в следующий раз может быть поумнее и составить без письмо без ляпов, но стоит запомнить что судебные приставы, суды и прочие структуры уведомляют только заказным бумажным письмом по фактическому адресу прописки.

Отличие вируса от трояна в том, что вирус сразу запускает шифрование у вас на компьютере. Троян же тихо ворует ваши пароли, в том числе от соединения по RDP, а именно IP, логин и пароль от подключения к удаленному рабочему столу.

Третий вариант – перебираются IP адреса по стандартному порту RDP 3389 и если ответ положительный – далее идет перебор имен пользователей и пароля.

Передача такой инфы – счастье для хакера, ведь теперь у него есть доступ к серверу организации. А с организации можно попросить в 10 раз больше чем с домашнего пользователя.

И далее шифруется в первую очередь базы 1С, и попутно все документы компании. Кстати хакеры умудряются удалить бэкапы если находят их или останавливают теневое копирование.

Внимание! Как не платить хакерам и все расшифровать?

В настоящее время есть такие способы!

Один из таких способов – обратится за помощью аналитикам Dr.Web. Эти ребята помогли уже не одной сотни людей, попавших в беду.

Правила такие:

Дожидаться ответа на Вашу почту вирусного аналитика и далее следовать его указаниям ведя с ним переписку по почте.

Как не наступать на одни и те же грабли? Оградить себя на будущее?

Здесь речь пойдет для тех у кого есть сервер на базе Windows Server 2003/2008 или 2012 и сотрудники работают в терминальном режиме.

В первую очередь бэкапы должны делаться каждую ночь в автоматическом режиме, естественно на другую машину. Лучше если это сетевое хранилище, доступ к которому возможен только через WEB интерфейс. Это хранилище само имеет доступ к серверу и копирует к себе данные в авто режиме.

Во вторых измените уже стандартный порт RDP 3389 на другой, например 35654. То есть для подключения к серверу организации из дома, нужно будет в конце IP адреса добавить через двоеточие этот ваш порт, например 82.1.26.78:35654.

В третьих, установите более сложные пароли всем, и тем более администратору. Должны быть и заглавные буквы и прописные и цифры и спец символы: например !,@. #

Ну и четвертое, самое важное – используйте VPN канал. Если такой возможности нет, то как минимум на вашем центральном фаерволе укажите список разрешенных адресов для подключения. Если подключаетесь из дома, заведите себе домой статичный IP адрес.

Dr.SHIFRO - единственная компания, которая специализируется на расшифровке файлов. Звоните - мы поможем!
РЕШЕНИЕ ПРОБЛЕМЫ


Восстанавливаем работоспособность 1С-Бухгалтерии после поражения любыми вирусами-шифровальщиками.
РЕШЕНИЕ ПРОБЛЕМЫ


Не платите злоумышленникам! Специалисты компании Dr.SHIFRO расшифруют Ваши файлы
ПОДРОБНЕЕ


Бухгалтерия 1С зашифрована и не запускается, а на носу квартальная отчетность. Звоните, мы поможем!


Привычные значки документов Word, Excel, Pdf заменились на непонятную абракадабру и не открываются? Есть решение!


Все фото из семейного архива стали недоступны, рабочий стол стал черным и на нем появились угрозы? Не вздумаейте платить злоумышленникам. Мы вернем Ваши фото!

ЗАКАЗАТЬ РАСШИФРОВКУ ФАЙЛОВ

Вы отсылаете нам для анализа несколько зашифрованных файлов


Наш специалист подъезжает к Вам в офис и мы подписываем договор.


Наш специалист демонстрирует работу дешифратора на своем оборудовании.


Вы оплачиваете сумму по договору.


Мы передаем Вам дешифратор.


Вы дешифруете все необходимые файлы.


Наш специалист выписывает БСО (бланк строгой отчетности).

от наших клиентов








Подхватили вирус Da Vinci Code. После поиска в интернете метода расшифровки нашли данный сайт. Специалист быстро и подробно описал что нужно сделать. Для гарантии расшифровали 5 пробных файлов. Озвучили стоимость и после оплаты все расшифровали в течении нескольких часов. Хотя зашифрован был не только компьютер но и сетевой диск. Спасибо огромное за помощь!

Даже не надеялись восстановить базы 1С. До Вас полазили другие "мастера", и как мы и подозревали, все только испортили, так что на Вас была последняя надежда, и Вы справились. Огромное спасибо, особенно за то что разобрались с 1С - из за них больше всего и волновались - сейчас как раз отчетный период.

Компьютер и все базы данных были заражены вирусом шифрования файлов в расширение Vault. Нашел в интернете данный сайт и решил позвонить. Ребята ответили оперативно, сделали все быстро! Восстановили все файлы, а также базу 1С: Бухгалтерия. Всем советую, все сделали оперативно и четко, отличные ребята!

13.07.2014, 23:30

Вирус-шифровальщик Better Call Saul зашифровал базы 1С
Подхватил вирус-шифровальщик, предположительно через вложение в электронной почте. В результате.

Вирус зашифровал фильмы
Вирус зашифровал половину фильмов которые были на ноуте и они стали иметь.

Вирус зашифровал файлы
Помогите расшифровать файлы, стоял каспер, не помог, есть много файлов, все не хотят открываться.


Вирус зашифровал файлы на ПК
Доброго времени суток. Утром снял ноутбук с зарядки, открыл, а там все файлы зашифрованы и у всех.

14.07.2014, 17:08 2 14.07.2014, 17:53 3 16.07.2014, 07:37 [ТС] 4 16.07.2014, 12:08 5 16.07.2014, 12:12 6 17.07.2014, 00:41 [ТС] 7

Внимание! Все Ваши файлы зашифрованы!
Вы использовали не лицензионную версию WinRar,
Чтобы приобрести лицензию, и расшифровать все файлы -отправьте 200 рублей на кошелек разработчика - R198329930367
приложите к нему логин и пароль администратора компьютера. Мы надеемся, что все пройдет успешно.

У вас есть 3 попыток ввода кода. При превышении этого
количества, все данные необратимо испортятся. Будьте
внимательны при вводе кода! И не в коем случае не переустанавливайте систему, вы потеряте свои файлы навсегда
ТРЕБОВАНИЕ ВИРУСА

Добавлено через 2 минуты
thyrex, Я пришел за помощью, после того как оставил здесь просьбу помочь, нашел мальчишку, который создал вирус, оказалось, что базы не зашифровало, они просто посыпались изза глюков системы.

Добавлено через 23 секунды
Я не постоянно в сети, поэтому сразу не ответил,



  • Новички
  • Cообщений: 6

    • Зашифрованы файлы 1с

    Как обычно backup'ов нет.

    Сам файл базы "не зашифрован" имеет исходное название и исходное расширение.





    Microsoft MVP 2012-2016 Consumer Security
    Microsoft MVP 2016 Reconnect



  • Новички
  • Cообщений: 6

    • Надеюсь все правильно сделал.

    Сам компьютер зашифрованный мы форматнули. Вытащили только файлы 1с зашифрованные, т.е. файла баз данных 1cd.





    Сам компьютер зашифрованный мы форматнули

    А сразу об этом написать не могли? Скорее всего и сам файл шифратора, который можно было найти, утерян безвозвратно.

    Примеры зашифрованных файлов прикрепите в архиве к следующему сообщению.

    Microsoft MVP 2012-2016 Consumer Security
    Microsoft MVP 2016 Reconnect



  • Новички
  • Cообщений: 6





    • Microsoft MVP 2012-2016 Consumer Security
    Microsoft MVP 2016 Reconnect



  • Новички
  • Cообщений: 6

    • А более мелких зашифрованных файлов не нашлось?

    К сожалению нет. Это самая маленькая база.

    Файл сам имеет исходное название, и исходное расширение. Такое ощущение, что зашифрован сам файл внутри.





    Microsoft MVP 2012-2016 Consumer Security
    Microsoft MVP 2016 Reconnect



  • Новички
  • Cообщений: 6

    • Я высылал данный файл DR.web и KASp

    Они ответили что данный файл имеет нулевое значение.

    Зашифрованный каталог выглядит (в прикрепленном файле)





    Вирус зашифровал файл базы, но не смог ее переименовать, т.к. она использовалась в момент шифрования.

    Насколько я представляю себе базы 1С (возился недавно с огромным количеством после другого шифратора), то как минимум оригинал файла DoNotCopy.txt должен быть в составе дистрибутива.

    Не знаю, поможет ли он в единственном экземпляре и будет ли он подходящего размера, но попробуйте его найти. Потому что в Вашем случае без оригиналов ключ расшифровки не подобрать.

    Когда найдете, по поводу расшифровки напишите в теме на форуме BC, также нужно отправить там личное сообщение пользователю BloodDolly. В личном сообщении отправьте ему примеры шифрованных файлов и их оригиналы до шифрования (все, что найдете ненулевого размера).

    Сообщите здесь окончательный результат.

    Microsoft MVP 2012-2016 Consumer Security
    Microsoft MVP 2016 Reconnect

    Заражение компьютера вирусами всегда связано с появлением ряда проблем. И удаление вредоносного ПО далеко не всегда позволяет решить их. Одна из часто встречающихся ситуаций: вирус зашифровал данные. В результате пользователь не может открыть документы и фотографии, запустить нужные программы и пр. И если вы хотите сохранить информацию, вам потребуется дешифровка файлов. Такую услугу расшифровки файлов и данных после вирусов шифровальщиков может предложить компания RILAB. Обращайтесь, мы способны помочь даже в сложных ситуациях.


    Профессиональная дешифровка файлов

    Что делать, если ваш компьютер поразил вирус-шифровальщик? В такой ситуации очень важно сразу же обратиться к опытным специалистам. Они проведут диагностику и предложат несколько вариантов действий. Так, например, восстановление файлов может базироваться на использовании более старой версии файлов. Кроме того, можно попробовать восстановить предыдущую версию операционной системы. Это оптимальный вариант, гарантирующий 100-процентный результат.

    Однако такой способ действий подходит не всегда. И тогда потребуется расшифровать файлы после вируса шифровальщика. С этой задачей могут справиться только профессионалы, имеющие в своём распоряжении специализированный софт. Такое программное обеспечение не только произведёт дешифровку данных, но и избавит систему от самого вируса.

    Чтобы повысить свои шансы на восстановление информации, необходимо придерживаться некоторых рекомендаций. Если сразу же после заражения компьютер будет выключен, то удастся сохранить нужные вам файлы и расшифровать их без потерь. Следует избегать удаления данных, перемещения их и пр.

    Правильная дешифровка файлов

    Наша компания имеет большой опыт работы с вирусами-шифровальщиками. Мы хорошо знаем все нюансы работы таких программ. Наши сотрудники — квалифицированные специалисты. Они располагают всем необходимым для проведения расшифровки. Среди плюсов обращения именно к нам:

    Доступная стоимость услуг;

    Гарантия на все выполненные работы;

    Компания RILAB приглашает к сотрудничеству всех, кому требуется расшифровать файлы после вируса шифровальщика. И если вы столкнулись с такой проблемой, вам следует доверить восстановление данных нам.

    Лаборатория по восстановлению данных RILAB оказывает услуги по дешифровке данных после вирусов шифровальщиков по всей России и стран СНГ. В большинстве случаев нам удается восстановить и расшифровать данные даже для не давно появившиеся вирусов. Стоимость услуги вы можете узнать по телефону 8 (812) 408-59-26 или посмотрев прайс лист ниже именно для вашего шифровальщика. Для понимания и идентификации вируса нам нужны зашифрованные 4 файла с архивацией и последующей отправкой к нам на емейл.

    Вы можете написать нам письмо, просто посмотрев QR код камерой в обычном режиме.




    Viber WhatsApp Email

    * - Включите камеру на телефоне или отсканируйте qr в приложении

    В письме желательно указывать:

    1.В теме письма - номер телефона.

    2. В теле письма -объем данных для расшифровки.

    3. Не забудьте вложить архив с вашими файлами.

    Виду услуги Цена, руб.
    От
    Диагностика бесплатно
    Дешифровка после вируса CRIPTED000007 20.000
    Для офисных компьютеров или ноутбуков Уточняйте
    Для серверов или NAS и сетевых хранилищ Уточняйте
    Зашифрованные 1С базы Уточняйте

    Любой вирус-шифровальщик как и любая другая программа попадает на компьютер через скачивание файлов или программ из не достоверных источников. Многие из них скачивают и устанавливают через емейл рассылку или бесплатное программное обеспечение из Рунета. Попадая на компьютер и при его активации сразу начинает шифровать ваши файлы. Не которые их них не шифруют весь файл ,а только первые мегабайты и большинство из них, конечно добавляют расширение для своей идентификации. Но есть и такие которые шифруют файлы даже не оставив записки с выкупом и способом связи. Шифровальщиков очень много, они все ведут себя по разному и выполняет различные действия на компьютере. Для успешной расшифровки файлов в любом из случаев нужно знать алгоритм которым они были расшифрованы и только после этого ключ для их расшифровки. Существующие на которые вирусы дешифровщики могут работать сутками и искать комбинации пароля. На мало мощном компьютере это время пропорционально увеличивается. В любом случае , результат не моментальный. Вирусы шифровальщики , постоянно модифицируются с учтенными в прошлых версиях ошибками.

    В этой статье говорим о небольших компаниях, в которых нет отделов информационной безопасности, поэтому будем рассматривать основы защиты информации.

    Если ваша компания занимается секретными разработками, наукой или работает с коммерческими тайнами, понадобятся средства посерьезней.

    Еще о преступлениях в бизнесе:


    Что считается киберпреступлением

    Бизнес чаще всего сталкивается с двумя преступлениями — неправомерным доступом к информации и вирусами. А все виды киберпреступлений описывает Уголовный кодекс.

    Неправомерный доступ к компьютерной информации, ее изменение, копирование или уничтожение

    минимум — штраф до 200 000 рублей;

    максимум — лишение свободы до 7 лет

    Создание и распространение вирусов для изменения, уничтожения или копирования информации

    минимум — ограничение свободы и принудительные работы до 4 лет;

    максимум — лишение свободы до 7 лет

    Нарушение правил эксплутации сетей, средств хранения, передачи информации

    минимум — штраф до 500 000 рублей;

    максимум — лишение свободы до 5 лет

    Воздействие на критическую информационную структуру России. Сюда относятся государственные и частные учреждения в сферах здравоохранения, науки, транспорта, обороны, связи, энергетики и финансов

    минимум — принудительные работы до 5 лет;

    максимум — лишение свободы до 10 лет

    Киберпреступники в малом и среднем бизнесе чаще всего преследуют три цели: испортить репутацию, украсть персональные данные или получить от компании деньги.

    Взломы сайтов

    В июне этого года кто-то взломал сайт челябинской клиники. На главной странице появилась заглушка, а ссылки на другие разделы исчезли:


    На следующий день сайт восстановили, но скриншоты попали в социальные сети. Если судить по тексту, кажется, что сайт взломали недовольные клиенты, чтобы испортить репутацию клиники.

    Испортить репутацию — не единственная цель взломщиков. Если у компании есть уязвимость, из-за которой можно получить персональные данные, контакты или сканы паспортов, преступники скорее будут перепродавать их, чем сообщать об этом на главной странице.

    Перепродажа персональных данных

    В интернете продаются сканы документов: паспортов, пенсионных свидетельств, водительских прав и дипломов о высшем образовании.


    Мы не знаем точно, откуда у продавцов чужие документы. Но, к примеру, такой же набор сканов запрашивают при оформлении ипотеки и трудоустройстве.

    Иногда взломщики не продают персональные данные, а публикуют их в открытом доступе.



    Есть крупные компании, которые специально платят тем, кто находит в их программах или сервисах уязвимости. Это помогает устранять слабые места раньше, чем их найдут взломщики.


    В практике моих коллег был случай. На файлообменнике появилось видео: неизвестный взламывает сайт компании и скачивает персональные данные клиентов. Для взлома он подобрал пароль, вошел в личный кабинет администратора и через этот кабинет разом скачал данные других пользователей.

    Вымогательство через вирус-шифровальщик

    Последние пару лет специалисты стали чаще сталкиваться со взломами ради вымогательства. Если раньше взломами занимались идейные группы, чтобы продвигать свои взгляды, сейчас это делают ради денег.

    Взломщикам проще вымогать деньги у мелких фирм: продавцов пластиковых окон, фитнес-клубов и региональных интернет-магазинов, потому что в крупных компаниях есть отделы информационной безопасности.


    Обычно в одном из файлов или во всплывающем окне требование заплатить 0,008-0,025 биткоинов, это примерно 100-300 долларов. Взломщик обещает, что после оплаты пришлет ключ для расшифровки.

    Но платить взломщику — бесполезный и ненадежный метод. Нет гарантий, что он пришлет ключ для расшифровки, и даже что он знает, как расшифровать файлы. Цель взломщика — получить от компании деньги, поэтому его программа должна уметь шифровать файлы и требовать деньги, а расшифровка его не интересует.

    В 2017 году был всплеск атак с помощью вирусов-шифровальщиков, сейчас почтовые сервисы не разрешают отправлять программы по почте. Программы — это файлы с расширением .exe, их отправку сервисы блокируют. Но это не мешает отправлять письма со ссылками на вирус.


    Чтобы избежать заражения вирусом-шифровальщиком, нужно объяснить сотрудникам, как он обычно выглядит и что будет, если открывать ссылки от незнакомых отправителей и скачивать программы из интернета. А еще лучше — ограничить права пользователей так, чтобы они не могли скачивать и устанавливать программы.

    Что делать, если файлы компании зашифровал вирус

    Главная проблема с вирусом-шифровальщиком — это отсутствие доступа к важным файлам. Например, к базе поставщиков, заявкам клиентов и 1С-бухгалтерии. Вирус останавливает работу, и, пока файлы зашифрованы, компания теряет деньги.

    Чаще всего зашифрованные файлы — это потерянные файлы, но всё же есть способы, расшифровать файлы после вируса шифровальщика.

    Написать в поддержку антивируса. Антивирус — это защита системы от известных угроз, а шифровальщик может быть неизвестным. Но если в компании во время заражения был установлен лицензионный антивирус и включено автоматическое обновление, можно написать о проблеме в поддержку. Почти всегда разработчик антивируса старается помочь, и нередко ему это удается.

    Обратиться к интеграторам. Интеграторы — это компании, которые занимаются информационной безопасностью. Возможно, у них в штате есть специалисты по расшифровке файлов, которые смогут вернуть хотя бы часть данных. Но расшифровщики есть не в каждом городе.

    Цена расшифровки зависит от вируса и размеров файлов. Например, расшифровка базы 1С размером до 1 гигабайта может стоит 12 000 рублей, до 20 гигабайтов — 30 000 рублей.

    Восстановить файлы через теневую копию. У Виндоус есть своя система защиты — теневые копии. Это копии, которые в фоновом режиме создает система.

    По умолчанию у Виндоус включена защита диска с системой, обычно это диск С. Для доступа к файлам теневой копии нужно:

    • запустить программу Shadow Explorer;
    • проверить систему антивирусом. Мне кажется, что лучше остальных справляется бесплатный антивирус Dr. Web;
    • подключить жесткий диск и скопировать на него файлы;
    • переустановить систему.

    Обычно вирус удаляет теневые копии первыми, но попробовать стоит.

    Обратиться в полицию. Полиция может изъять оборудование, а это значит, что работа компании остановится на неизвестный срок. Но есть шанс, что помогут, особенно если взлом неслучайный и были похищены данные. Неслучайный значит, что преступники не просто рассылали вирус всем подряд, а специально украли данные именно этой компании, например телефоны их клиентов.

    Правила кибербезопасности для бизнеса

    Первое, что нужно сделать, — обучить сотрудников. По моему опыту, больше половины взломов случаются из-за того, что сотрудник скачивает программы из интернета, открывает странные ссылки, игнорирует антивирус и пользуется паролем 123 456 или qwerty.

    Кроме обучения, нужно сделать еще несколько вещей:

    • установить на все компьютеры антивирус, хотя бы бесплатный, и включить автоматическое обновление антивирусных баз;
    • обновить операционную систему до Виндоус 10 и включить автоматическое обновление;
    • создать график резервного копирования файлов. Важные для работы файлы лучше копировать на внешний жесткий диск, который не будет подключаться к сети. Лучше копировать раз в неделю, а если данные меняются каждый день, то ежедневно;
    • поставить пароли на все точки входа в информационную систему. Точки входа — это вайфай и компьютеры, подключенные к локальной сети.

    Пароль должен состоять минимум из восьми букв и цифр разного регистра. Для создания паролей можно использовать методику парольных фраз. Придумать принцип, например цифра-животное-цвет, и набирать эту фразу в английской раскладке.

    Читайте также:

    Пожалуйста, не занимайтесь самолечением!
    При симпотмах заболевания - обратитесь к врачу.

    Copyright © Иммунитет и инфекции