Вот такая петрушка

Какой то дебил получил письмо, прочитал его, перешел по ссылкам и возможно еще запустил всякое после.

Такое только так и делается, иных вариантов нету. Уже все антивирусы и даже сама винда умеет ловить такое,но только если это не сам пользователь сделал.

Спасибо Адмирал ясен хуй!

Размещено через приложение ЯПлакалъ

Вообще то этим программеры 1с не занимаются от слова ВООООООООООООООООООООООООООООБЩЕ. Обслуживание сети, железок, ОС и всякого друого забота сис. админа. А безопасность это вообще уже еще одна история которую далеко не каждый админ знает. Потоу как не каждый админ сможет донесты нужным пинком в нужное место пользователю, что надо читать и головой думать прежде чем чтто то делать с письмоми от незнакомцев.

Если взломали линух, то явно не через 1с, если уж не совсем делитант ставил то пользователь под котрым запущен 1с сервер не имеет доступа в каталоги postgres. Взломали скорее всего саму линуху через ssh или telnet или ftp 22/23/21 порты, а для этого много ума не надо, скорее всего был пользователь с простым паролем типа master12, через него попали на линуху, а потом если линуха старая подняли ему права до рута.

Размещено через приложение ЯПлакалъ

Мы сталкивались. Прямо очень и очень похожее сообщение было. Главбух призналась по началу мол она по ссылке сходила вчера, а утром вот такое же точно сообщение. Потом когда узнала что просят около 50к - включила заднюю. два дня чото с ними терли в итоге рискнули заплатили, - те по чесноку скинули пароль от архива - всё восстановили. Года два назад было. Теперь у тех людей кто имеет доступ в 1с - нет доступа в ящик корпоративный. У бухгалтерии свои ящики и приказ за который все расписались - не при каких обстоятельствах не переходить не по каким ссылкам в принципе.

Интересно. Учитывая, что это окно 1с. То была манипуляция с базой. Вероятно юзеры в 1с запустили обработку, которая им пришла по почте. Вероятно 1с подключается к sql под юзером с правами админа, а не под простым владельцем субд. За 5 минут можно нагуглить, как это делается.

Я правильно понимаю, что на "сервере 1С" с базой сидел работал пользователь с админскими правами, или каталог с базой был расшарен на всю сеть. Кроме этого RDP небось в интернет своим портом смотрел с этой машины? Ну огонь, чего.

На то что в этой организации делают бэкапы можно и не надеяться

Это сообщение отредактировал vaisman - 18.02.2022 - 08:22

А какая зарплата была у админа ? 30 тр черными и на дудуде игрец ? Уйдет парень и все . Супер бэзнесмен экономящий на зарплате и оборудовании так же продолжит ездить на крузаке. Всем срать 🙂

Размещено через приложение ЯПлакалъ

храню последний бекап (бэкап средствами sql) на сервере (каждую ночь в 2-00 копируется 4 базы), из этого места базы копируются на сетевое хранилище (AOMEI Backupper -> QNAP) в открытую зону, а потом средствами хранилища копируется в другую папку в хранилище, но которую никому не видно, доступ только из интерфейса хранилища. ну и раз в неделю ручками на внешний жесткий диск из закрытой зоны хранилища. расширение бэкапов - exe, потому что шифровальщики не проверют содержимое файла, а тупо по расширению шифруют.

почему так ? потому что один vip-пользователь открыл письмецо, зашифрованное восстановил с помощью дешифровщика от dr.web (очень помогли), на базы были бэкапы. но зато сразу появился лицензионный антивирь, бюджет на нормальный шлюз. но схему бэкапов переработал вот таким образом.

Это сообщение отредактировал archer77 - 18.02.2022 - 08:30

Ага, или доступ с локально установленных 1С к БД есть, значит используя "правильный" протокол можно делать изменения.

Исходники и инструкции

Пфф... Меня уже на работу приняли, а я и незнал!)


Размещено через приложение ЯПлакалъ

у меня СХД QNAP - ломали через дыры, оставленные разработчиком.
В 2021 году и в 2022 году. не успел вовремя обновиться и всё...привет (обычно ломали в течении недели после выпуска патча), плати 0,01 в первом случае (Qlocker) и 0,05 во втором (Deadbolt)...
бэкапы выручали, хоть и не очень свежие были..

Не, это типа я вломал сервер пентагона с 1с, и они не делали бекапы)))

Размещено через приложение ЯПлакалъ

Либо зловред свой

Размещено через приложение ЯПлакалъ

кишечным ?

Размещено через приложение ЯПлакалъ

Не похоже на шифровальщика. Скорее всего с админскими правами зашли прикрутили расширение которое блокирует экран когда уже вошли и выводит каку и дальше никуда не дает.
В конфигуратор дает/не дает?
Во всяком случае бэкап ежедневный (у меня по крайней мере) с дублем на внешний носитель, месяц каждый день, потом режеться оставляется помесячно 3 штучки каждой базы с глубиной в 5 лет как минимум (сроки исковой давности по разборкам с налоговой) иначе потом фиг найдешь кто в какой операции накуевертил и кого по попе ремнем. 7 баз 300+ пользователей. накуя мне массовое сеппуку в случае чего.
Я знаю как это когда и учет с нуля восстанавливать у клиентов посте того как диск "посыпался" и много чего знаю. Последние 5 лет я параною с бекапами.

У грамотного админа это бы и не возникло, если что. Тут же эникейщик видимо, но остается надежда, что есть бэкапы

Размещено через приложение ЯПлакалъ

Антивирь каспер лицуха корпоративный.... Неловит :). В касперском руками разводят...типв ждите полгода года два...может поймают хпкеров и тогда есть шанс расшифровать. Я 3 разв налетал на этот пиздец. Все потому что бухи тупые тащут обновы с инетов с мутных сайтов типа постпвь это на свою платформу м отчеты будут создаваться сами....
Только бекап на другой сервак через софт для бекапа. И бекапный сервак вне домена с иным паролем.:). Все остальное неработает.

Размещено через приложение ЯПлакалъ

Последний раз ломанули сервак черкз дыоу в винраре :). Я охуел если честно .
После этого я переставил сервак и убрал весь софт.нах.каменный век будет.на сервак теперь ничего не заливается ни один файл. Сугубо работа внутри сервака.

Размещено через приложение ЯПлакалъ

Если тронули базу под постгресскуль - значит был прямой взлом. Но моем опыте - ломают РДПху с простыми паролями.

Весьма вероятный вариант.

Размещено через приложение ЯПлакалъ

Обычно вся эта вирусня проникает когда человек ставит левый софт и ручками дает разрешение антивирусу пропустит эту фигню. Давно известно что все эти кряки и репаки антивирус не может отличить от вируса, ядра там похожи. И по этому тут только доверие к взломаному софту, репакеру и раздатчику. Которое иногда приводит вот к такой фигне.

Размещено через приложение ЯПлакалъ

Ищи среди "своих", прошаренную бухгалтершу)))

Какие сетевые диски, sql на лине

Размещено через приложение ЯПлакалъ