Ваш компьютер атакован опаснейшим вирусом

да, мне на рабочую почту раз в месяц приходит такая фигня

перевел всю контору на ubuntu, сервера на Proxmox, все на VM, база дынных в sql, каждую ночь снимаются бакапы всех VM, раз в неделю бакапы заливаются, на бакапный сервер находящийся, в другом месте, а то вдруг в серверной пожар или на здание самолет упадет, я параноик

Почитай про криптоалгоритмы. Про тот же RSA например. И не говори херню. Расшифровать можно. Но далеко не за разумное время. Нет абсолютно устойчивых алгоритмов, но те что используются расшифровываются за такой долгий срок, что зашифрованная информация уже нахрен никому не нужна.

Читаю 6 страниц уже, и мысля такая возникла, а если бэккапам ставть расширение не rar, а какоенить другое, которое шифровальщику не интересно *.tmp к примеру, ведь он не все файлы шифрует, прокатит?

А потом понимаем что использовался какой нибудь криптостойкий алгоритм шифрования в стиле ГОСТ 28147-89 или AES и идем курить бамбук со своими перестановками. ГОСТ 28147 ведь на столько простой алгоритм что его может взломать любой школьник которому преподавали теорию информации. Школьник не учитывает тот факт что не смотря на то что ГОСТ считается теоретически взломанным, на то чтобы реально его взломать понадобится 2^64 известных открытых текста и 2^64 памяти для хранения пар "открытый текст/шифртекст" что позволит взломать ГОСТ всего в 2^8 быстрее чем простой брутфорс.

Это только ГОСТ, есть более новые алгоритмы которые не взломаны даже теоретически, и расшифровать которые, не имея ключа, невозможно в принципе(в обозримый промежуток времени)

Это сообщение отредактировал divkrd - 26.02.2017 - 12:19

Таки с ключами проблема, что их надо перебирать, а для этого нет чудо программы, брутфорс пароля требует огромных ресурсов и времени, мало директоров согласится ждать 10-20-30 суток, чтобы высчитать пароль + если алгоритм изменен. Короче, проще заплатить - дать пизды бухгалтеру. Или восстановить бэкап + дать пизды бухгалтеру.

Это сообщение отредактировал Archikoff - 26.02.2017 - 12:09

Лол, блеать, слоупоки.

Эта тема известна уже минимум пару лет. Минимум год шифруются базы 1С.

Решений два:
1) Донести и регулярно напоминать о внимательности при открытии почтовых вложений.
2) Регулярно делать бэкап. А также распределять по правам доступ к ресурсам сети.

Например у нас секретарям в сети закрыт везде доступ. Они ловили на своих ноутах шифровальщик. Важные файлы не затронуты, а файлы секретарей похуй, сами виноваты.

Ща пошла мода на шифрование всего раздела, во где попадос то :(

Главная мысль, бэкап в ваккуме не должен быть виден системам пользователей на 146%

Зачем обычной бухгалтерше в рабочее время интернет???
Открыть в файрволе или в UTM доступ только на айпишники-порты банк-клиентов.
А если во внерабочее время - А чего это она для своих личных нужд использует ресурсы компании???

Самое главное- не платить,
иначе потом на шею сядут и цену будут увеличивать.
Мне в 2013 такое уже досталось-
из важных потерь была только папка с прайсами и каталогами.
Прайсы у поставщиков запросил новые,
каталоги скачал с сайта производителя,
а база 1с у нас на удаленке.
Но раньше за дешифратор просили 5000,
а сейчас 14900 (не фиг кормить вымогателей).
Если никто платить не будет-
вымогатели исчезнут.
Вот недавно была тема:
http://www.yaplakal.com/forum7/topic1524561.html?hl=
Никто не заплатил, все усилию по составлению текста и рассылке ушли впустую.

Ты хотел сказать 10-20-30 тысяч лет? Хотя я преуменьшил сильно, там будет число помноженное на 10^100 с лишним

Это сообщение отредактировал divkrd - 26.02.2017 - 12:12

Использовать системы резервирования и бекапов типа Bacula.
Висит в памяти клиент и по расписанию нужное бекапит куда надо. Причем просто так в это куда надо с клиентской машины попасть невозможно.

Неважно, простой бизнеса и на 10 дней уже пиздец, порядок цифр может стремится в бесконечность.

Вообщем грамотная администрация + вдалбливание не открывайте "GosdolgPutin.pdf.exe" решают проблему с шифрованием на 99.9%

По факту пизды получит не бухгалтерша, а мудак-одмин ибо не предусмотрел, не предупредил, не провел работу с сотруднками, проебал бекапы. А бухгалтерша скажет, что ее дело делать отчеты и сдавать вовремя НД и на инфобезопасность у нее нет времени. И она будет права.

Расскажу про свои проблемы и решения.
Схватил как то подобный шифровальщик. Как тут описывали перерыл весь интернет но ничего толком не нашел, за исключением прогу, которая под определенным паролем (которого у меня естественно нету) вернет инфу.
Вирус pupkin.
Прошу учесть что комп мой личный, раздаю мульти сессию RDP. Так вот один клиент и запустил подобное.
Было выяснено:
Шифровальщик не трогает диск "С".
Распространяется от имени админа.
Шифрует файлы с добавлением строк кода.
Изменяет расширение файлов на других дисках, в том числе на сетевых.
Если про срач что админ дурак, то объясню.
Антивирусы справиться не могут с данной заразы. Просто не умеют.
Бухгалтеры ввиду своих крипто ключей получают почти админские права.
Объяснять какому либо сотруднику ай яй яй такое открывать нельзя - бестолку.
Вирус будет шлепать файлы в пределах доступа юзера, т.е. если у вас доменная структура, то пострадают только файлы на правах выданные пользователю.

Решение проблемы.
про то, что надо заплатить я против. Но и проблему решил частично.
Зная приблизительное название файла, акак его расширения я его просто переименовываю.
т.е. если я знаю что это ISO значит делаю переименовку в данное расширение и монтирую как диск.
Ну а далее понятно, копирую инфу и все пучком.

Для админов.
Активируйте у юзерей теневое копирование. Почему вы это игнорируете не понятно.

Что восстановил:
Вирус не умеет (лично у меня) шифровать rar, iso, mdf и т.д.
Сейчас 1с-ники минусить начнут что mdf и mds это только расширение файла базы данных.
Немного обломлю, это так же и фаил виртуального диска и образ диска.
Так вот я сделал переименовку расширений файлов и просто распаковал инфу куда нужно.
для mdf (1с базы) я использовал удаление определенных строк. Долго рассказывать но БД работала. Понятное дело что БД каким то архиватором не откроешь, по этому я использовал другой способ

Что не могу до сих пор восстановить:
Фотки и текстовые доки, за исключением вордовых, экселя и видео файлы а так же файлы презентации.

Надеюсь инфа будет полезна.
Более подробно в личку. Починить не обещаю но попробовать помочь смогу, причем БЕСПЛАТНО

а как потом оправдываться за проведенный рабочий день в контру? а так сказал что борется с вирусом и делу край

На самом деле только на 50% ибо текущий бух заболеет пузом, заместо неё сядет взятая вчера новенькая девочка и...
Системы обнаружения вторжения оказывается не так уж и дорого стоят.
Всего навсего годовая зарплата одмина.
А нас ИТишная часть бизнеса такая, что пока не грянет - не перекрестится.
Хотя по факту правильная ИТ и иныфобезопасность этоСОВОКУПНОСТЬ материально-технических средст и методов. Т.е. мозг и прямые руки одмина + нехилое вложение в нормальные системы. Причем за оба пункта надо платить ибо жадность по итогу всё равно заставит заплатить, но потом и уже не те деньги, которые пытались сэкономить на одмине или ПО.

DBF это локальные базы.
Их я восстанавливал немного по другому

Про внешне бэкапы уже несколько раз сказали. В УК конечно много пробелов. но есть пара, которые нужно исправлять архибыстро и архижестко.
За уголовные преступления в киберпространстве и за угон машин (похер для чего ты это сделал) нужно установить нижнюю планку лет 20 минимум. Иначе это гавно никогда не закончится.

А вот нече экономить на IT. Платишь спецам копейки? Ну так как платишь, такие и спецы, делающие такую работу. Ну и повышать грамотность остальных сотрудников необходимо. Всем кто с почтой работает провести ликбез по безопастности, желательно под роспись и документ с росписью директору (не раз подобная практика выручала в разных ситуациях, типа "а нам не говорили, а мы забыли").

Ну а про фильтрацию почту вообще молчу. Все файлы скриптов сразу в черный список. Антивирунсное ПО, нормальное. А вариантов резервирования важной информации сейчас вообще масса.

Комплексный подход нужен. А не "винду переставлять".

Админам надо вдалбливать, чтобы их почтовик проверял содержимое каждого письма на наличие исполняемого кода, стандартные расширения файлов в т.ч. doc, docx и т.п. вообще должны быть запрещены во вложениях! В некоторых конторах вообще запрещены вложения и ничё, не умерли еще.

А что тут сказать то... Со стороны пользователей Линукса вся эта ваша тема выражается словами - мыши, кактус, колоться, но всё равно продолжать жрать.

delfysx1
То что ты поймал это даже не шифровальщик, "вирус" просто переименовал файлы, если бы он что-то шифровал, то ты никогда в жизни бы не смог бы открыть образ чем бы то ни было, так же утверждение что вирус не умеет что-то шифровать в корне не верно, для шифровальщика все файлы являются текстом, поэтому он одинаково хорошо шифрует вообще любые файлы, если этого не произошло значит он это делает по маске, а не потому что не умеет.

Вообще твое описание выглядит как 2 разных вируса, один переименовывает, другой шифрует, тот что шифрует делает это только с заданными расширениями, поэтому он не зашифровал то что переименовал другой

Это сообщение отредактировал divkrd - 26.02.2017 - 12:30

Под такие задачи автоматизированный библиотекарь простенький окупится за полгода, ИМХО. И пляски с УСБ дисками будут не нужны. Ну это так, к слову.