gifts2017

Восстановление БД 1с 7.7 после шифрования вирусом файлом

Опубликовал Сергей Мельник (msvsoft) в раздел Администрирование - Тестирование и исправление

После расшифровки антивирусом базы - у всех файлов отсутствует 20% начала файла. Способ восстановить данные с минимальными потерями

У клиента администратор расслабился. В результате вирусной атаки файлы были зашифрованы. После расшифровки антивирусом часть внутренностей файлов оказалсь повреждена, а часть успешно была расшифрована. Последние архивы созданы месяц назад. В результате имеем кучу проблем.

Конфигурация ТИС, на протяжении месяца была естественно изменена, как и структура таблиц.

МД файлу пришел конец. MD Doctor  и аналоги не помогли, Far plug-in не спас. От идеи восстановить пришлося отказатся. Хорошо что DD файл выжил...

Структура DBF файлов осталась зашифрованной, как и начальные части данных в файле. А инфу надо....

Итак, что же делать ?

В кратце идея следующая:

1. Отбираем DBF с данными (справочники, документы, регистры, служебные)

2. Берем DBF Doctor  и понимаем что надо искать версию с ключем (кому как повезет). Обрезаем файл таким образом что бы избавится от мусора, сохраняем обрезок в формате DBF3

3. Берем Microsoft VFP 6.  С рабочего архива  оставляем в файлах с данными ту часть, которую утратили при обрезании

Для этого в командном окне используем последовательность:

use ? exclu

brow

Находим начало лишних записей, стаем курсором на первую запись которая есть в обрезанном файле

dele rest

pack

use

4. В  VFP 6 "клеим" файлы с помощью append from:

use ПутьИмяБитойТаблицыВосстановленойDVFDoctor exclu

append from ПутьИмяОбрезанойРабочейТаблицы

5. Если структура была изменена, в VFP 6 меняем структуру файла так, что бы она соответсвывала описанию структур DD живого MD файла (удобно использовать ViewDD для анализа отличий в структуре) с помощь команды

modi stru

6. Собираем каталог с собранными файлами и теми, которые не менялися (обычно справочники, документы, регистры, которые не использует пользователь)

7. В конфигураторе делаем тестирование и исправление

8. Вуаля ! Расчитываем итоги на дату

Потери - по справочникам - измененные непереодические старые елементы, елементы помеченные на удаление в начале файлов

Потери - по документам- измененные задним числом старые елементы(если базе год то вряд ли что то утратим), елементы помеченные на удаление в начале файлов

Потери - по регистрам - измененные  старые елемент. Пересчет лишнее удалит ;)

 

А теперь про время ;)

На восстановление базы ТиС при рабочих 12 документах и размере базы 1,2 GB (без индексов!!!) Уходит от 10 часов до 24 часов

Так что лучше делать копии....

P.S. Если у кого аналогичная беда - стучите в личку

См. также

Подписаться Добавить вознаграждение

Комментарии

1. Дмитрий Литовченко (kompas-dm) 19.11.12 09:52
(0) Про копии правильно. Плюс и с почином :)
2. A (Kochevnic) 20.11.12 21:04
Спасибо! Была такая ситуация и не смогли вытянуть базы
3. margo2007 (margo2007) 21.11.12 04:23
А я знаю, как расшифровывать...
4. nelse (nelse) 21.11.12 05:02
(3) margo2007,
ну так скажи. Или жаба душит?
5. Ирина Киселева (irishka77) 26.11.12 11:53
Было такое с базой ПУБ 7.7- в начале файла 5 записей через 80 байт по 5байт были забиты восьмерками.и был архив 3месячной давности. Восстановили эти записи из архива, конечно релиз был в архиве другой, но платформа сама все исправила.Работают.
6. Сергей Люсин (serglus) 08.10.14 19:37
Добрый день. У меня вопрос на тему Вашей публикации:"Восстановление БД 1с 7.7 после шифрования вирусом файлом". В нашей компании случилась подобная проблема, возможно ли воспользоваться Вашими услугами, для её решения? Подробности по тел. +7(921)433-63-36 или по почте serglus@mail.ru Сергей
7. Евгений Кузнецов (zhexa1986) 05.11.14 11:50
добрый день кто поможет восстановить базу 7.7
8. Евгений Кузнецов (zhexa1986) 05.11.14 11:51
она после шифровки вирусов
Для написания сообщения необходимо авторизоваться
Прикрепить файл
Дополнительные параметры ответа