Злоумышленник зашифровал базы 1С и другие файлы

Опубликовал Алексей Ксенофонтов (aleksch21) в раздел Администрирование - Защита, права, пароли

Звонит пользователь, на экране сообщение ваши данные зашифрованы, введите пароль, пишите письма и т.д.

Текст  письма злоумышленника:

ВНИМАНИЕ!!!
ВАШИ ФАЙЛЫ ЗАШИФРОВАНЫ, И ЭТО ФАКТ. КОЛ-ВО ПОПЫТОК ВВОДА ПАРОЛЯ -10, ПОСЛЕ ЭТОГО ВОССТАНОВЛЕНИЕ ФАЙЛОВ
БУДЕТ НЕВОЗМОЖНО.

НЕ РЕКОМЕНДУЕТСЯ:
- ПРОВЕРЯТЬ КОМП АНТИВИРУСОМ;
- ПЕРЕУСТАНАВЛИВАТЬ ВИНДОВС;
- ПЫТАТЬСЯ ВОССТАНОВИТЬ ДАННЫЕ САМОСТОЯТЕЛЬНО.

 ВСЕ ЭТИ ДЕЙСТВИЯ - БЕСПОЛЕЗНАЯ ТРАТА ВАШЕГО ВРЕМЕНИ И УСИЛИЙ, А ТАКЖЕ РЕАЛЬНЫЙ РИСК ПОТЕРЯТЬ ВСЮ ИНФОРМАЦИЮ НАВСЕГДА. НЕ УСЛОЖНЯЙТЕ СВОЕ ПОЛОЖЕНИЕ, ЛУЧШЕ ПИШИТЕ НА:
ufsupport@meta.ua

И ВСЕ БУДЕТ ХОРОШО. ДО СКОРОГО.

 

Вобщем дело было так.
Звонит пользователь, так мол и так, сообщение (введите пароль) на экране (пользователи по терминалке с ограниченными правами). Как я понял проникновение было подбором пароля (после недавней переустановки ПО не успели поработать по безопасности). На счастье нашел незакодированный архив (старый) в котором содержались некоторые файлы, которые повторялись в каталоге с базами данных в закодированном виде. Имменно благодаря сравнению удалось выяснить способ кодировки.
Кодировка начинается с 29 байта включительно (что бы осталась шапка файла, что бы файлы определялись по содержимому) и заканчивается на 1786639 включительно. Кодировка происходит переворачиванием (NOT) некоторых битов в байте (обычно один бит в старшей группе (биты 7-4) и один в младшей (биты 3-0)) в зависимости от того на каком месте они (байты) стоят (различаются 16 мест), т.е. через 16 байт способ кодировки повторяется.
Для начала я решил составить таблицу перекодировки, т.е., допустим, A5 соответствует B3 в первой позиции и т.д.:

позиции
      1 |        2 |       3 | .... |   16 |

00-F0 |  00-E8 | 00-23 |
...
A5-B3 | A5-C7 | A5-9F |
A6-B2 | A6-C8 | A6-9E |
...

Т.о. получался массив из 16 позиций в каждой по 256 элементов соответствий (2 байта) или 3-мерный массив (16,256,2). Этот массив я заполнил из имеющихся пар файлов (оригинал-закодированный), мне повезло после того как я обработал пару десятков таких пар файлов весь массив у меня заполнился. Вначале я еще не знал по каким правилам можно заполнить соответствия, после заполнения видна явная закономерность (см.выше), хот она мне и не понадобилась, возможно, поможет кому то если файлов пар окажется недостаточно.
Имея на руках таблицу я принялся раскодировать (благо правила совпадали для всех файлов).
Когда начинал писать думал или Delphi или FoxPro, но т.к. я владел только DOS-овскими аналогами (TP 7 и FoxPro 2.0/2.6 которые не подходили - длинные имена русские буквы) быстрее оказалось написать на 1С v7 используя ВК binfiles (что конечно отразилось на скорости раскодировки, но все равно хорошо :) ). Написал 2 обработки: одна собирает таблицу перекодировки из пар файлов (находящихся в одном каталоге), другая раскодирует все файлы в каталоге по предварительно собранной таблице перекодировки. Для тех у кого отсутствуют пары файлов может подойдет и моя таблица перекодировки (если злоумышленник использует один способ).

Предлагаю ИБ 7.7 с обработками

ИБ - для хранения таблицы перекодировки, которая состоит из 2-ух справочников: "Матрица" (16 элементов-позиций) и подчиненный ему "Коды" (максимум по 256 элементов при полной таблице перекодировки) реквизит Код - байт оригинал, реквизит Наименование - кодированный байт (в виде 2-ух символьной строки - HEX-представлении байта). В справочнике Матрица есть реквизит Кол - количество подчиненных элементов (будет расти по мере заполнения таблицы перекодировки), в данной ИБ таблица перекодировки уже заполнена, поэтому для заполнения ее вашими файлами справочник Матрица предварительно очистите, если нет пар файлов попробуйте использовать заполненную таблицу перекодировки (вдруг повезет)

ЗаполнениеМатрицы.ert - заполняет таблицу перекодировки (в указанном каталоге должны содержаться пары файлов *.* - *.*.FKLOCK не кодированные - кодированные, обратите внимание размер должен совпадать). Так же убедитесь что содержимое пар файлов отличается после 28 байта.

ПроверкаСовпаденияКодов.ert - проверяет совпадают ли значения Код и Наименование справочника Коды. Совпадать не должны, если совпадают значит в качестве пар файлов вы положили одинаковые файлы по содержанию (например оба закодированы). Проверка выполняется до расшифровки (иначе расшифровка бессмысленна), если проверка нашла совпадения - Ваша таблица перекодировки неправильная, можете удалить и начать заполнение заново, предварительно выявив и удалив предательскую (совпадающую) пару файлов.

Расшифровка.ert - расшифровывает по заполненной таблице перекодировки (в т.ч. частично заполненной, т.к. возможно этого будет достаточно, но нет 100% гарантии), в.т.ч. возможность включить вложенные каталоги. Расшифровка копирует файл *.*.FKLOCK в *.* который и расшифровывает (т.е. FKLOCK файл не затрагивается), если при этом файл *.* уже есть, он переименовывается в *.*_ файл. Т.о. на диске должно быть свободное место для расшифровки от 1-го до 2-ух объемов FKLOCK файлов (закодированныз файлов).

 

P.S.

Думаю обработки могут подойти и для других расширений (LOCK, CRYPDER и т.д.)

BinFiles включен в архив.

Про права: бесплатно, никаких гарантий, надеюсь за BinFiles меня не засудят :)

Скачать файлы

Наименование Файл Версия Размер
Coder
.rar 106,68Kb
05.11.14
44
.rar 1.0 106,68Kb 44 Скачать

См. также

Комментарии
1. Сергей Зенюков (Sanario) 15 08.11.14 13:23 Сейчас в теме
Ну вот и 1С подстегнули для расшифровки троянов энкодеров. Обработка несомненно хорошая, правда работает только для одного вида трояна. И для других придется искать другой алгоритм. Плюс однозначно.
2. script Мальчинко (script) 193 08.11.14 16:31 Сейчас в теме
Мой клиент месяца 2 назад заплатил таким редиска.
3. Pavel Fomin (Pasha1st) 483 08.11.14 17:18 Сейчас в теме
>Кодировка происходит переворачиванием (NOT) некоторых битов в байте
>через 16 байт способ кодировки повторяется
Это означает XOR по строке длиной 16 байт ;)
Типовой вариант кодирования, проверяется в первую очередь. Действительно, для получения маски надо знать оригинал и код, их XOR и даст маску для декодирования.
корум; Патриот; +2 Ответить
4. Елена Пименова (Bukaska) 120 08.11.14 19:06 Сейчас в теме
кодируют каждый раз по разному.. не универсальное конечно же.. решение
5. Анянов Михаил (insurgut) 159 10.11.14 11:13 Сейчас в теме
Получается, это какой-то старый шифровальщик нацеленный на базы 1С 7.7 версии?
6. John Smith (PiccaHut001) 10.11.14 11:32 Сейчас в теме
(5) insurgut, нет. Подлый шифровальщик шифровал вообще все файлы, а автор написал расшифровщик на 1С 7.7
7. logdog (logdog) 10.11.14 11:32 Сейчас в теме
Этим 1С как-бы говорит, переходите на 8.3 =)
8. Алексей 1 (AlX0id) 10.11.14 12:12 Сейчас в теме
(7) logdog, а что, 8.3 защищена особым образом от порновирусов? )
корум; +1 Ответить 1
9. Art Fa (artfa) 16 10.11.14 12:21 Сейчас в теме
10. Елена Пименова (Bukaska) 120 10.11.14 12:58 Сейчас в теме
(8) AlX0id, При чем тут порновирусы и 8.3?
порнобаненеры вообще-то не шифровальщики.. порнобаннер на рабочем столе снять - 5 минут работы, порнобаннер в браузере - ну тут подольше повоюешь - пока разберешься)
Самая неприятность - шифровальщики.. от них не всегда есть ключи расшифровки
11. Анянов Михаил (insurgut) 159 10.11.14 13:52 Сейчас в теме
(10) Bukaska, все верно. Если бы вирусы просто напросто удаляли бы все файлы - и то было бы проще, т.к. их можно было бы восстановить соответствующими утилитами. В случае с шифровальщиками - файлы перезаписываются. И спасут только разве бэкапы.
12. Разве это имеет значение (-fox-) 10.11.14 13:57 Сейчас в теме
1с пошла на крайние меры что бы избавиться от поддержки 7.7.
13. Анянов Михаил (insurgut) 159 10.11.14 14:03 Сейчас в теме
(12) -fox-, это вряд ли :) Потому что *.1CD файлы шифровальщики тоже любят. А это говорит об ориентированности хакеров именно на российский рынок. Потому что у нас никто их не наказывает.
14. Сергей Зенюков (Sanario) 15 10.11.14 14:06 Сейчас в теме
(13) insurgut, вариант перехода только на скуль? :) С файлом базы без расширения (когда я с подобным столкнулся - были шифрованы файлы только с расширением)
15. Анянов Михаил (insurgut) 159 10.11.14 14:11 Сейчас в теме
(14) Sanario, да, клиент-серверный вариант пока что спасает от этой проблемы, потому что доступа к файлам баз SQL вирус не получит, даже если они в зоне его видимости. И все же, ничто не стоит хакерам и эту проблему решить - останавливать сервис SQL и шифровать базы.

Но чтобы на сервере запустить исполняемый код шифровальщика... не знаю кем надо быть. Хотя - видел настраивают доступ для пользователей по RDP и дают им права администратора. Тут все от компетентности администратора зависит. Ни в коем случае никогда пользователей напрямую пускать на сервер нельзя. Отговорки по типу "у нас только 1 сервер, иначе никак" - для ленивых. Ничто не мешает запустить тот же HyperV и настроить доступ к базе через виртуальную машину.
16. Сергей Зенюков (Sanario) 15 10.11.14 14:25 Сейчас в теме
(15) insurgut, а там схема простая как 2х2. По крайней мере в моем случае было так - брутом ломанули пароли к администратору (прошлый был не особо умный и ленивый - пароль 123 ему нравился) и после этого уже творили на сервере что хотели. Да еще и порт по умолчанию во внешку висел - 3389 который. Пришлось откупаться, а уж потом я сделал все по уму:

1. Систему пришлось переставить - ибо хз какие могли остаться закладки
2. Система паролей организовал со всеми мерами предосторожности - заглавные, строчные, символы, цифры
3. Авторизация по другому порту
4. Правильно устроил доступы и роли на сервере
5. Ограничил число попыток авторизации по времени и количеству.

Пользователи попыхтели но от безалаберности потихоньку отвыкают
Master598; Spacer; scarfase; Дмитрий74Чел; +4 Ответить 1
17. Анянов Михаил (insurgut) 159 10.11.14 14:29 Сейчас в теме
(16) Sanario, все правильно сделали!
18. Елена Пименова (Bukaska) 120 10.11.14 14:35 Сейчас в теме
(12) -fox-, При чем тут 1С???
Последние версии шифровальщиков не жалеют ничего.. ни *CD, ни *dbf, даже архивы и то будут зашифрованы. Так что последние версии не жалеют никакие форматы и шифруют всё что можно..
Не только 1с, но и файлы базы налогоплательщика ЮЛ, и даже файлы от программки ПФР.. так что берегите данные. делайте бекапы в папку, где нет прав на чтение, но есть права на запись, тогда данные целее будут)
scarfase; Дмитрий74Чел; +2 Ответить 1
19. Сергей Зенюков (Sanario) 15 10.11.14 14:37 Сейчас в теме
(17) insurgut, Что-то забыл?

Резервное копирование настраиваю по умолчанию :) Потому и не упомянул
20. Сергей Зенюков (Sanario) 15 10.11.14 14:39 Сейчас в теме
(18) Bukaska, вот про чтение и запись я как то не докумекал... Спасибо за подсказку
21. Анянов Михаил (insurgut) 159 10.11.14 14:46 Сейчас в теме
(19) Sanario, прошу прощения, знак не тот поставил, вместо "!" - "?"
22. Артём (Tomy82) 37 10.11.14 15:07 Сейчас в теме
это сообщение при включении или уже во время сеанса в 1С?
23. Разве это имеет значение (-fox-) 10.11.14 15:10 Сейчас в теме
У этой ситуации есть и другая сторона медали, мелкие конторы не будут самостоятельно обслуживать ИБ. Появиться больше рабочих мест для квалифицированных специалистов.
24. Разве это имеет значение (-fox-) 10.11.14 15:13 Сейчас в теме
(13) insurgut, у 1с есть на это решение, облако!
25. Анянов Михаил (insurgut) 159 10.11.14 18:52 Сейчас в теме
(24) -fox-, думаю это не всегда удобное решение. В принципе достаточно отдельной виртуальной машины без доступа к ней обычным пользователям.
26. Алексей 1 (AlX0id) 11.11.14 00:10 Сейчас в теме
(10) Bukaska,
Проно - это я не про форму вируса, а про источник распространения )
А так - наиболее защищенный метод бекапов - сейвить на десяток разных флешек попеременно и держать их не воткнутыми в системник :)
27. Илья Низамов (Region102) 41 11.11.14 05:54 Сейчас в теме
Конечно может кому и поможет, но сейчас ребята с криптовирусами доросли до RSA и расшифровать данные без ключа злоумышленника теперь не получится. Так что учите своих клиентов и друзей "интернет гигиене".
28. Роман Ложкин (webester) 21 11.11.14 07:18 Сейчас в теме
Постоянно слышу про эту проблему там где есть терминальный сервер, была уязвимость в какой то версии рдп, сервер я так понял у вас принимает подключения извне и обновления не устанавливаются?
29. Денис Васильев (dandykry) 11.11.14 08:36 Сейчас в теме
Я так понимаю если нет незашифрованного файла, то можно отдать заранее подготовленный файл шифровщику на растерзание, а потом делать маску. Стало настолько интересно, что готов на виртуальную машину пустить гада и поиграться. У кого-нибудь есть?
30. Елена Пименова (Bukaska) 120 11.11.14 10:00 Сейчас в теме
(26) AlX0id, И это тоже..)
(27) Region102,
Насчет RSA Пример и ещё пример
особенно первая ссылка с подробным описанием)
31. Сергей Зенюков (Sanario) 15 11.11.14 10:19 Сейчас в теме
Млин, у одного меня редирект с инфостарта не работает?
32. Сергей Зенюков (Sanario) 15 11.11.14 10:19 Сейчас в теме
(30) Bukaska, киньте ссылки целиком - не переходит по ним почему-то. Редирект не делается
34. Елена Пименова (Bukaska) 120 11.11.14 10:33 Сейчас в теме
(31) Sanario, нет.. это видать у форума редирект отключен. Копируем ссылку и тогда должно работать)
35. Александр Зубцов (iov) 359 12.11.14 03:55 Сейчас в теме
жаль потерли сайт и "стену позора"куда выкладывались емейлы тех кто заплатил - так вот там были и очень крупные компании и писатели антивирусов- делайте выводы. как говорится.
36. Елена Пименова (Bukaska) 120 12.11.14 09:52 Сейчас в теме
(35) iov, в смысле.. что бы за сайт?
Хочешь сказать, что если организация заплатила за ключ расшифровки - то она в позоре?
А если ключ формируется сервером злоумыленника. Между прочем если тип шифрования RSA1024, то я не думаю, что это вирлабам под силу. Достаточно почитать что это такое - и все вопросы отпадут.
ivprovotorov; AllexSoft; +2 Ответить
37. Сергей Зенюков (Sanario) 15 12.11.14 10:05 Сейчас в теме
(35) iov, во первых если стоит работа и потери крупнее, чем сумма выплаты - то никто простой оплачивать не будет, во вторых, если ключ шифрования на 256 битах - запаришься расшифровывать
38. Елена Пименова (Bukaska) 120 12.11.14 11:39 Сейчас в теме
(37) Sanario, Как раз AES256 ещё некоторые порталы могут помочь,А вот RSA1024 из моего поста (33),там точно и сам бог вселенной не поможет)
39. Сергей Зенюков (Sanario) 15 12.11.14 12:05 Сейчас в теме
(38) Bukaska, в некоторых случаях и AES256 не вскроешь. Особенно если двойное шифрование ... Называется заплатите и не мучтесь
40. Кирилл Бондаренко (karapuzzzz) 58 12.11.14 15:36 Сейчас в теме
Обезопаситься от таких случаев или, хотя бы, свести к минимуму последствия не так уж и сложно (потерять пол рабочего дня и восстановиться из архива). Я думаю, что те, кто попался вынесут из этого хоть какие-то выводы?
А платить за что-то надо. Тут или админам за правильную настройку или ...
41. Елена Пименова (Bukaska) 120 12.11.14 15:49 Сейчас в теме
(39) Sanario, На этот случай не так давно есть сервис)
Платите 500р и даете нужные файлы для расшифровки)
Если не получилось расшифровать данные, вам деньги вернут.
Но это уже конечно не сервис злоумышленника, а как один из сервисов специализированных порталов)
42. DAnry (DAnry) 7 12.11.14 18:43 Сейчас в теме
А я первый раз про такое слышу. Видать к нам ещё не добрались... Честно говоря в шоке!
43. Пабло (CaptainMorgan) 12.11.14 18:56 Сейчас в теме
Есть 100% способ лечения:
Восстановление погибшей базы из вчерашней копии.
Выполнение элементарных правил информационной безопасности еще ни кто не отменял.
Сисадмин каждое утро должен быть удивлен тому, что за ночь ни чего не рухнуло (а не наоборот).
корум; Sardukar; +2 Ответить
44. Елена Пименова (Bukaska) 120 13.11.14 09:40 Сейчас в теме
45. Алексей Белоусов (AllexSoft) 13.11.14 09:53 Сейчас в теме
Жена словила такой вирусняк, он ей учебную демо базу бухгалтерии зашифровал =))) винду переставил, новую демо базу поставил, пускай учится ))
46. Елена Пименова (Bukaska) 120 13.11.14 09:55 Сейчас в теме
(45) AllexSoft, текущие версии шифровальщиков не жалеют ничего, даже архивы)))
47. Алексей Белоусов (AllexSoft) 13.11.14 09:58 Сейчас в теме
(46) Bukaska, у нее все равно ничего ценного там не было, пусть хоть все шифруют ) единственное фотки зашифровал кое какие.. ну и фиг с ними )
48. Елена Пименова (Bukaska) 120 13.11.14 10:03 Сейчас в теме
(47) AllexSoft, Зато у нас некоторые клиенты схватили такое, о чем я давала ссылки.. там файлы шифруются типа:
Файл.xls.id-{KNOPRSTUVWYZABCDEFGHJJKLNNOQRSSUVWXY-13.10.2014 10@23@061057749}-email-mserbinov@onionmail.in_mserbinov@aol.com-ver-4.1.0.0.rar
Это как раз 4 версия по моим ссылкам)(33), Сейчас уже пятая версия идет)
49. Андрей Бертыш (ignor) 215 13.11.14 15:22 Сейчас в теме
У нас вот другая ситуация. Злоумышленник упаковал все до чего смог дотянутся в архивы rar с паролём. И мне интересно какова вероятность, имея неупакованный файл и упакованный с неизвестным паролём, подобрать пароль?
50. Яна (Tiger86) 13.11.14 15:56 Сейчас в теме
ну програмки для подбора паролей к rar вроде есть в сети, другое дело, что они достаточно долго подбирают пароли вроде как
51. fzt fzt (fzt) 13.11.14 19:04 Сейчас в теме
Как-то обратился клиент. Ему зашифровало базу, они купили декриптор за 2 килорубля.
База имела размер 4ГБ, декриптор был 32х битный. Кодер его писавший был бараном, загружал базу в память целиком, адресация естественно кончалась на втором гигабайте и декодер падал.
Повезло что шифрование было блочным - таки удалось порезать файл базы на куски и скормить частями декодеру.
Итого 2к ру вирусмейкеру, 8к мне.

Дело было года полтора назад.
52. Cooler Silent (Cooler) 2 13.11.14 19:13 Сейчас в теме
(50) Долго потому, что уже очень давно в WinRAR встроена специальная защита от подбора. Если мне не изменяет склероз, то перед упаковкой сам пароль пропускается через процедуру шифрования 250 тысяч раз или около того. Соответственно, при переборе паролей надо проделывать такую же процедуру, что снижает скорость подбора до нескольких тысяч или даже сотен в секунду. А это очень и очень мало для нормальных (длинных) паролей.
53. Андрей Бертыш (ignor) 215 13.11.14 19:14 Сейчас в теме
(50) Tiger86, интересно бы не перебором, а архивацией с шифрованием одного маленького файла который имеется в несжатом виде и сравнением его с архивом на котором пароль. Нам не базу пожали с паролем, а кучу разнообразных документов на общем ресурсе.
54. Cooler Silent (Cooler) 2 13.11.14 19:35 Сейчас в теме
(53)
интересно бы не перебором, а архивацией с шифрованием одного маленького файла который имеется в несжатом виде и сравнением его с архивом на котором пароль
Интересно другое - вы вообще имеете представление о том, чего хотите? Разные пароли - разные архивы, даже простейший 6-символьный пароль из одних только цифр даст вам миллион разных зашифрованных файлов. Замучаетесь сравнивать.

А 12-символьный, с буквами и спецзнаками? А 20-символьный не хотите? Где вы их хотя бы хранить собираетесь?

В конце концов, это тот же перебор получается.

А склероз меня не подвел, вот что нашлось тут:
Принцип разархирование прост – при вводе пароля, из него 262144 раз вычисляется хеш по алгоритму SHA1, и полученным ключом WinRAR пытается расшифровать (по AES) и разархировать файлы (тут не проверяется правильный пароль или нет). После того как файлы расшифрованы и разархированны, из них вычисляется контрольная сумма по CRC32, и это сумма сравнивается с той суммой которая прописана в самом архиве. Если эти суммы совпадает – мы получает расшифрованные файлы, а если не совпадает, то получаем предупреждение что контрольная сумма или пароль неправильны. Нет в RAR других проверок правильности пароля — только вот это проверка контрольный суммы «готового продукта».
55. Анянов Михаил (insurgut) 159 14.11.14 09:18 Сейчас в теме
Более того, самому шифровальщику не интересно, какой у вас тип файла. Архив это. Зашифрован он или нет. Он возьмет просто двоичные данные и заново их зашифрует.
56. Алексей 1 (AlX0id) 17.11.14 16:58 Сейчас в теме
(54) Cooler,
Принцип разархирование прост – при вводе пароля, из него 262144 раз вычисляется хеш по алгоритму SHA1, и полученным ключом WinRAR пытается расшифровать (по AES) и разархировать файлы (тут не проверяется правильный пароль или нет)..

Я можт чего не понимаю, но что в таком случае мешает перебирать сами хэши? В чем суть вот этой 262144 нагрузки на проц тогда?
57. Алексей Белоусов (AllexSoft) 17.11.14 17:05 Сейчас в теме
(56) AlX0id, можно и хеши перебирать, в таком случае ты узнаешь хеш пароля, но не сам пароль.. если тебе 1 раз распаковать архив то сгодится) правда инструмент придется писать свой. Только вот распаковка архива все равно намного больше ресурсов скушает, по сравнению с генерацией хеша, так что ускорение перебора ты конечно получишь, но не кардинальное
58. Алексей 1 (AlX0id) 17.11.14 17:13 Сейчас в теме
(57) AllexSoft, да вот я к тому и спрашиваю - нафига мурыжить фигзнаетсколькораз пароль, если все равно распаковка занимает куда больше времени..
59. Cooler Silent (Cooler) 2 17.11.14 17:15 Сейчас в теме
(56)
что в таком случае мешает перебирать сами хэши?
А длина их мешает: в виде бинарной строки (т.е. допускаются все символы) - 20 байт, в виде 16-ричного числа (символы только 0-9, A-F) - все 40.

Таким образом становится одинаковой задача подбора даже простейшего пароля из 3-х символов и сложнейшего из 20-ти... одинаково нереальной.
60. Алексей 1 (AlX0id) 17.11.14 17:15 Сейчас в теме
(57) AllexSoft, да и нафига нужен сам пароль, если есть хэш от него.. Хэш ведь не поменяется от того, что от пароля возьмут SHA1 200тыс раз сегодня, в пятницу и в следующую среду..
61. Алексей 1 (AlX0id) 17.11.14 17:16 Сейчас в теме
(59) Cooler,
Терь ясно, что мешает. Неясно нафига 200 тыс раз :)
62. Алексей Белоусов (AllexSoft) 17.11.14 17:20 Сейчас в теме
(59) Cooler, в прочем подобрать пароль типа 12345, ровно такая же вероятность как подбор пароля типа 1G6^j при равном количестве символов и используемом массиве символов.. хотя я с вами согласен, если ломать по словарям скажем то хеши становятся бесполезными, только если заранее не иметь таблицу соответствий хеш = фраза.. вот эти процессы проверки хешей, генерации таблицы соответствий уже можно и распределить на несколько компов
63. Cooler Silent (Cooler) 2 17.11.14 17:21 Сейчас в теме
(61) И это ясно - чтобы намеренно замедлить скорость подбора: при реальном разархивировании этот цикл прогоняется всего один раз, что практически не сказывается на времени всей операции, а вот для подбора это смерть, медленная и мучительная.
64. Алексей Белоусов (AllexSoft) 17.11.14 17:25 Сейчас в теме
(60) AlX0id, именно... поэтому я и сказал что однократно расшифровать архив своим каким нибудь самописным инструментом получится, но юзеру отдать хеш чтобы он распаковал этот архив стандартным архиватором не получится) тут кароче в порос в том нужен ли вам сам пароль или важны только данные) если только данные пишите софт который будет расшифровывать, включаете, пару тысяч лет ждете завершения, отдаете пользователю данные...
65. Vladimir Polyakov (spectre1978) 16 01.12.14 21:46 Сейчас в теме
я никак не могу понять - зачем RDP голым задом в инет-то выставлять? Ведь лет 15 назад уже было говорено, что делать этого нельзя. VPN роутеры копейки стоят сейчас. Я понимаю в начале 2000-х Cisco дорого было, но сейчас ведь куча вариантов есть, в том числе совсем дешманские типа Mikrotik'ов. И уже все-таки гораздо сложнее становится поломать... Позапрещать исполняемые файлы из почты, а в идеале вообще сделать белый список исполняемых файлов - и все, никто ничего не зашифрует...
66. Анянов Михаил (insurgut) 159 03.12.14 14:17 Сейчас в теме
(65) spectre1978, а что плохого в RDP по нестандартному порту с паролями у пользователей допустим не менее 12-15 символов и ограничением на количество попыток ввода неверного пароля?
67. Елена Пименова (Bukaska) 120 03.12.14 14:18 Сейчас в теме
(66) insurgut, Вопрос в том, что нужно делать или это или то.. а народ ни то ни это не делает)))
68. Vladimir Polyakov (spectre1978) 16 03.12.14 19:27 Сейчас в теме
(66) там по умолчанию шифрование слабенькое совсем, можно вскрыть трафик довольно просто современными средствами. В википедии написано. И случаев взлома особенно 2003 серваков очень много описано. На своей шкуре не хотелось бы это испытывать
69. Vladimir Polyakov (spectre1978) 16 03.12.14 19:31 Сейчас в теме
Справедливости ради добавлю, что возможности для создания защищенной системы у RDP есть: TLS, шлюз терминалов. Но это уже не двумя тыками мышкой настраивается, и самое главное - оно будет работать только для RDP. А настроив один раз VPN, можно гонять через него любые протоколы как через обычную локальную сеть без дополнительных заморочек. Мало ли что понадобится потом? Смысл явно есть.
70. Pavel Fomin (Pasha1st) 483 29.01.15 23:26 Сейчас в теме
(48) Bukaska, Как раз на днях ко мне обратились с таким, уже 6 версии. Пошифровал базы от 7.7 Торговли. В процессе изучения было замечено что троян шифрует блок 1кб в начале файла и возможно 1кб в середине. Плюс дописывает текстовый "хвост" со своей информацией.
Что удалось:
1. берем 1cv7.md, 1cv7.dd, кладем в новый каталог, заходим туда конфигуратором и заставляем 1С пересоздать DBF-файлы. Получаем пустые заголовки файлов. Структура DBF-файла такова, что сначала идет 32 служебной информации (количество полей, количество записей), затем по 32 байта на описание каждого поля.
На коленке пишу утилиту, которая определяет шифрован ли файл, если да - отрезает "хвост", и переписывает заголовки из "образца", плюс пересчитывает и вписывает количество записей. Ну и плюс-минус пара тонкостей учитывается.
Получаем файлы, в которых почти все данные есть, за исключением первых записей и "дырки" в середине. На получившийся набор натравляем "Тестирование и исправление ИБ", которое уже опознает в файлах базу и вычищает битые куски. На выходе - почти полный восстановленный набор данных. Вести учет в такой базе я бы не рискнул, но посмотреть историю и снять почти все остатки можно.
71. Cooler Silent (Cooler) 2 30.01.15 00:51 Сейчас в теме
(70) Pasha1st, мне довелось вчера познакомиться с результатами "работы" версии 6.1.0.0.b. Испорчены как базы 8, так и 7.7. Маленькие файлы зашифрованы полностью, в крупных - 4 фрагмента по 1 килобайту: один в самом начале, остальные три расположены примерно равномерно по файлу. Можно было бы попытаться подменить эти фрагменты аналогичными из архивной копии (даже старой), но ее нет. Видимо, будут обращаться к злоумышленнику.
72. Аня программист (Program) 187 23.03.15 08:28 Сейчас в теме
(71) Cooler, Только что попалась база, зашифрованная уже 8 версией данного шифратора. Снесла конец файла, перезаписала заголовок, база ожила. То, что в центре перебирать не стала. База ожила. Документы повыдергивать можно, что уже неплохо
73. uriy uriy (uriy) 3 01.04.15 22:17 Сейчас в теме
Да уж я думал этот вирусяка в лето канул, а он оказывается прогрессирует. Сам как-то ловил его и была такая же мысль проверить на файле дубликате принцип действия - все руки не доходили.
Самое плохое что он еще попадается.
74. Гость 05.06.15 11:17 Сейчас в теме
Если зашифрованы файлы 1с 8, можно попробовать восстановить следующим образом, у меня получалось: вернуть расширение файлу *.1cd, потом открыть данный файл в программе chdbfl.exe - находится в папке bin каталога 1с, открыть там этот зашифрованный файл, нажать выполнить. Записи восстанавливаются.
75. fzt fzt (fzt) 05.06.15 11:46 Сейчас в теме
(74) Гость, я бы это отнес к вредным советом, без этого:
Обазательно проводить манипуляции утилитой chdbfl.exe только над копией базы. Всегда.
Эта "замечательная" утилита, просто удаляет записи, которые не может прочитать. Удаляет молча. База то заработает, в ней может не оказаться документов, элементов справочников, записей регистров и тд.
76. Анянов Михаил (insurgut) 159 05.06.15 19:10 Сейчас в теме
(74) Гость, Гениально! Премия ОСКАР (да и любая другая, которую пожелаете) ваша!!! =)

Разработчики алгоритмов SHA5 и ему подобных кусают локти, chdbfl.exe все расшифрует!
77. Анянов Михаил (insurgut) 159 05.06.15 19:11 Сейчас в теме
(75) fzt, какая база? После шифрования это цепочка непонятных символов и иероглифов, которую никакой chdbfl.exe не поймет :)
78. Андрей Бертыш (ignor) 215 05.06.15 22:27 Сейчас в теме
chdbfl.exe расшифрует только в случае если зашифрован один только заголовок
79. Timeforlive S (timeforlive) 5 17.03.16 09:52 Сейчас в теме
Еще помогает резервное копирование (до случившегося, конечно) =)
80. fzt fzt (fzt) 18.03.16 05:09 Сейчас в теме
(77) insurgut, шифрование разное бывает. Вирмейкеры тоже косячат и тупят как все. У Гостя вероятно были зашифрованы фрагменты БД, которые chdbfl.exe не поймет. Все что он не поймет - выпилит. Такая уж топорная утилита.

Один раз ко мне обратился клиент, который заплатил за расшифровку баз вымогателям. Выслали декриптор, который умирал аккурат сожрав 2 ГБ памяти. Т.е. программист(написавший декриптор) грузил файл единым блоком в память, больше 2ГБ ось не позволяла забрать процессу, процесс умирал. БД была около 6ГБ. После экспериментов с вирусом, который благо сжирал файлы состоящие из одних единиц, удалось выяснить что шифрование блочное. Вот нарезав файл на 4 блока, по смещению блочного шифрования, удалось это дело расшифровать и склеить обратно. Ещё удалось выяснить что вирь шифровал первые несколько сотен байт из блока 100МБ. Тут я с вирмейкером согласен - так быстрее, а данные попорчены. Так-то.
81. fzt fzt (fzt) 18.03.16 05:27 Сейчас в теме
(79) timeforlive, многим не помогает. Есть такие глупые администраторы, которые делают копии на свой же сервер. Есть чуть менее глупые, которые делают копии на сетевую машину, но оставляют каталог бэкапов доступным по сети (т.е. можно зашифровать бэкапы по сети, заразив сервер). Как-то помогает хорошо организованный домен, права и роли в нем. Но потенциально под учеткой админа можно зашифровать сетевые шары для бэкапов. Мало кто ограничивает доступ к архивам даже доменному администратору. Архивы моих клиентов обслуживает отдельный БП, он вне домена. Сервер БД его кормит архивами в сетевую шару. Архивный ПК сам каталогизирует скормленные ему бэкапы, не оставляя архивы торчать в шарах. Это работало уже 4 раза на моей практике, когда администраторы умудрялись дать вирусу шифровальщику права доменного администратора.
Спасают бэкапы только то, что вирусмейкеры пишущие шифровальщики, в большинстве ещё более глупы и не всегда шифруют бэкапы.
82. fzt fzt (fzt) 18.03.16 05:38 Сейчас в теме
Т.е. вирус скомпилирован без ключа /LARGEADDRESSAWARE. Квалификация вирмейкеров шифровальщиков баз крайне низка. Прихожу к выводу что этим вполне могут заниматься 1Снеги, которые немного освоили "большое" программирование. Пишут видать на дельфи. Пусть хоть AWE юзают, чтоб расшифровщики нормально работали.
83. Алексей Белоусов (AllexSoft) 21.03.16 14:33 Сейчас в теме
(82) fzt, этим занимаются школота последних классов обучения, либо студенты первых курсов.. 1Сники себе могут на хлеб с маслом заработать и честными методами, хорошему 1Снику вообще нет времени на занятие такой хренотой )
84. fzt fzt (fzt) 28.03.16 13:00 Сейчас в теме
(83) AllexSoft, нуууу.... если исключить сам момент "заработка". Я писал всякую ересь уже и после института. Вроде как для "спортивного" интереса. Пока не стало понятно что программирование это тупое вкалывание, описание 8 часов в день контейнеров данных и немного логики. Кажеться сейчас SQL запросы писать интересней чем кодить.

UPD: Вы категорически правы! Именно когда я стал "1С-ником" времени на хреноту не стало вовсе. А косить то надо.©