gifts2017

Один из способов спасти базу после вируса-шифратора

Опубликовал Александр Журавлев (apostal86) в раздел Администрирование - Тестирование и исправление

К неудаче, на сервер пробралась программа шифратор, которая, как известно, все файлы зашифровала, добавив к наименованию в моем случае 1Cv8.1CD.id-{MVWMFZIOCVZRDVZDEIAESWASEIMESTYCDIMQ-07.10.2015 3@59@345085745}-email-vernutfiles@gmail.com-ver-4.0.0.0.cbf. У других id и почта могут быть другими, но суть в том, что расширение у фалов становится .cbf.

Архивирование баз осуществлялось, но, увы, архивы, учитывая, что хранились на том же сервере на другом жестком диске, также пострадали. В таких случаях в интернете советуют либо связываться с автором-вымогателем, либо смириться и начать ведение базы 1С заново.

Данный способ не панацея, т.к. кому-то помогает, а кому-то нет, судя по редким записям на форумах. Но, может, эта последняя надежда для кого-то окажется спасительной.

Мне помогло зашифрованный файл базы .1CD до расширения .cbf расшифровать утилитой chdbfl.exe. Удалил в наименовании все лишнее у зашифрованного файла, оставив родное расширение.

Т.е. было 1Cv8.1CD.id-{MVWMFZIOCVZRDVZDEIAESWASEIMESTYCDIMQ-07.10.2015 3@59@345085745}-email-vernutfiles@gmail.com-ver-4.0.0.0.cbf.

Переименовал, удалив лишнее: 1Cv8.1CD

Обработал утилитой chdbfl.exe для восстановления файла базы с бывшим расширением .cbf.

восстановление базы 1С, дешифровка из расширения .cbf

Проверка нашла кучу ошибок в записях, но отчиталась, что их исправила.

база 1С 8 стала с расширением .cbf, что делать, как восстановить

Дополнительно выполнил тестирование и исправление базы - база стала рабочей. В сети заметил такую статистику, что может и не помочь - вероятность 50 на 50.

Надеюсь, что кого-то спасет. А в целом не забывайте не только регулярно создавать архивные копии. Но и раз в неделю, а можно и чаще, копию(и) баз копировать не внешний носитель и храните вне помещения офиса или рабочего пространство. А то мало-ли что бывает еще - кражи, пожары. Хорошо, если все будет хорошо. Но вдруг если что, то даже база недельной давности очень будет радовать в подобной плачевной ситуации.

См. также

Подписаться Добавить вознаграждение

Комментарии

1. Александр Воронов (ya.Avoronov) 08.10.15 18:15
Однажды в 2014 году DrWeb, точнее его служба поддержки, спасла нашу фирму от подобного шифратора, за 5 часов нам подогнали дешифратор.
А вот в следующем году вирус - шифровальщик был новее, DrWeb не помог, пришлось попрощаться с некоторыми данными (((
Кто-то платил злоумышленникам и сколько денег отдал?
2. Александр Журавлев (apostal86) 08.10.15 22:11
(1) ya.Avoronov, только Вы забыли упомянуть, что они помогают лицензированным пользователям. NOD32 тоже вроде готов помогать пользователям с лицензией, у кого беда произошла. Но в случае, когда уже вариантов нет - кто-то мирится с ситуацией, кто-то нет. Бесспорно печально, что такое происходит.
3. Алексей Титов (catv) 09.10.15 08:45
Банально, но тут мог быть описан случай со сдохшим диском. И тогда, возможно (но не факт), помогли бы только танцы с бубном
Без правильного резервирования делать нечего, особенно жестоко с этим у большой части домашних пользователей - "А-а-а,спасите мои фотки и видео за NN лет..."
4. Ярослав Радкевич (WKBAPKA) 09.10.15 09:27
у меня двое клиентов от этого пострадали. в первом случае спасло то, что основная база 1С была SQL, пострадали только 7-очные базы, во втором случае все было гораздо серьезнее.
Я не брался за решение данной задачи, но прошерстил инет. Нашел интересную статью на Хабрахабре где расписано как можно спокойно решить эту проблему. Спокойно, условно конечно же, автор статьи явно очень хорошо дружит с ассемблером и очень не плохо разбирается в этом деле.
5. Сан Саныч (herfis) 09.10.15 09:28
Повезло. Попался халтурный шифратор, который только заголовки шифровал.
looxxx; bulpi; +2 Ответить
6. Елена Пименова (Bukaska) 09.10.15 09:34
Диск с копиями вообще лучше отключать после того, как сделали бекапы)
7. Андрей Привалов (andybs) 09.10.15 11:38
Отключать диск от сервера после бэкапа - достаточно проблематично. Баз много. Бэкапы в автомате.
Мы делаем так. В домен заведен специальный пользователь. Доступ в папку бэкап имеет только он. Даже стандартный админ винды не имеет. Процедура бэкапа запускается под его именем. Соответственно, доступ к бэкапам закрыт от всяких шифраторов.
Есть еще способы.
Для серверных баз шифраторы не страшны, ибо не могут удалить файл с данными SQL. Для файловых, как вариант держать на сервере запущенную 1с. У одного клиента это спасло. А база была запущена постоянно для того, что бы выполнялись фоновые задачи.
Еще из опыта: У одного клиента файлы восстановили через 4 дня. ДрВЭБ прислал дешифратор.
a.zenin; manu; Motor24; _Маша; adhocprog; dj_serega; AlexInqMetal; +7 Ответить 1
8. Елена Пименова (Bukaska) 09.10.15 16:07
(7) andybs, Может можно как-то настроить папку с базами на запись, чтобы был запрет на чтение.. В итоге шифратор - не прочитал- не зашифровал)))
9. Александр (AlexInqMetal) 09.10.15 17:16
(8) Bukaska, запись с запретом на чтение это примерно как писать в тетрадку с закрытыми глазами, можно такого понаписать) в общем создатели ОС такого добра не допускают.
10. Алексей (MarryJane) 09.10.15 17:55
Так вообще то шифратор (может я не встречал шифраторов которые шифруют внутренности) шифрует заголовок и шифрует конец файла добавляет в конец еще чего нить. Но так файл 1C 8 имеет стандартную струкутру (заголовок легко востановить в каком нить HEX редакторе) и конец файла можно рассчитать потому как идет блоками (помогла вот эта статья http://infostart.ru/public/19734/ ) и еще воспользовался вот этим http://infostart.ru/public/187832/ .
11. trade70 09.10.15 18:04
(10) MarryJane, ребята не мудрите. практически любой шифратор не будет шифровать весь файл, обычно начало середину и конец по 255 байт. Мне то-же попался такой шифратор в 2014 году. И не было не у DRWEB не у касперыча дешифратора именно под этот, потому как он свежий и сигнатуры другие. Те которые могли имели дыру в методе шифрования и их легко дешифровали поэтому) А новые так просто у фирм антивирусов не получится уже. А лечатся такие файлы легко и без дешифраторов только у 8-й версии, с помощью стандартной утилиты chdbfl)) Вот 7-ные dbf сами понимаете не как)

(7) andybs, пришлет только тому у кого есть лицензия на их продукт. Новые шифраторы избавились от дыры в методах шифрования и теперь нужен хотя-бы один оригинальный чистый файл из тех что зашифровали. Иначе филькин кафтан)

(6) Bukaska, Шифровальщик работает по определенному алгоритму с списком определенных типов файлов у каждого свой. Поэтому вывод однозначный меняй расширение у файла бекапа на очень нестандартное свое выдуманное и нечистая пронесет) А если разграничивать права доступа к диску или каталогу с базой то как ты будешь стучаться сама к базе так как шифровальщик работает под правами того кто имеет доступ к базе.

Аффтор Не знаю я не платил так как метод описал выше, а 7-ые базы были на 8-ке успел перевести так что не важно. Но насколько слышал на разных ресурсах кто платил, обычно отчет идет по минимуму от 10-ки рублев.
12. Андрей Привалов (andybs) 09.10.15 20:58
(11) trade70, " пришлет только тому у кого есть лицензия на их продукт"
Ну когда зашифровано что-то важное - купить лицензию необременительно.
И да нужны файлы исходные. Но это почти всегда можно найти в исходящей почте например.
Именно так все и было. Купили лицензию. Закинули пяток файлов зашифрованных и исходных и получили дешифратор.
13. Андрей Привалов (andybs) 09.10.15 20:59
(8) Bukaska, Не думаю, что можно настроить на запись и запретить чтение...
Заблокировать базу еще раз говорю можно просто держать запущенный экземпляр базы.
14. Cooler (Cooler) 09.10.15 21:06
(13) andybs,
Не думаю, что можно настроить на запись и запретить чтение...
Можно, можно, проверено лично.
Сейчас у меня на диске D есть папка Test, куда я под обычным пользователем даже зайти не могу. Но команда системы:
copy backup.zip D:\Test

проходит на ура, и под администратором я убеждаюсь, что файл записался.

Надо только убедиться, чтобы программа-бэкапер, создающая архивы, создавала готовый архив где-то во временных файлах, а потом просто копировала его в такую папку.
15. Александр Медведев (anig99) 11.10.15 20:56
Последняя серия шифраторов не подвергается дешифровке в разумные сроки ПРИНЦИПИАЛЬНО. На форумах веба и нода разводят руки без денег и с деньгами. Одно хорошо, что процесс шифровки больших файлов занимает слишком много времени, поэтому шифруются только документы и картинки. Те шифровальщики, которые шифруют базы, действительно шифруют, только часть базы.
16. trade70 11.10.15 21:02
(15) anig99, этого и следовало ожидать, в свое время были вирусы полиморфики еще та напасть от которой было практически невозможно избавиться даже с антивирусами. То есть меняется метод шифрования по ключу для каждого файла и даже если есть у вас оригинал файла одного из зараженных не факт уже что это вам поможет расшифровать остальные. Если честно не удивлен, шифровальщики матереют))
17. Maxim Kolkin (the1) 12.10.15 17:06
После завершения архивации кидаю архив в облако. Думаю, это поможет избежать подобной проблемы)
18. Сергей К (Taxes) 13.10.15 12:44
Пару раз сталкивался с такой ситуацией у знакомых бизнесменов еще год назад - ситуацию поправил стандартной проверкой - chdbfl.exe.... На тот момент помогло. Франчи попросили по 5к за каждую базу и месяц требовали дешифратора от DrWeb-а, но, похоже так и не дождались
19. anry mc (AnryMc) 13.10.15 13:23
(16) trade70,
То есть меняется метод шифрования по ключу для каждого файла и даже если есть у вас оригинал файла одного из зараженных не факт уже что это вам поможет расшифровать остальные.


В таком случае в шифровальщике должен присутствовать "словарь" ключей, либо должен быть чёткий алгоритм их смены...
И в том и в другом случае только вопрос техники (времени/денег) его "поймать"...
20. trade70 13.10.15 15:25
(19) AnryMc, все бы ничего но уже давно ключи состоят из двух частей одним шифруют который в паблике! и открыт всем, а расшифровать можно только вторым ключом который у хазяина шифровальщика)
Так что это действительно вопрос времени, огромного времени, которое некто тратить не будет как раз из-за вопроса малых денег за это. Разведут руками просто в конторе антивируса. А вот денег дать хазяину шифровальщика да согласен)
21. Петя Иванов (asup61) 13.10.15 15:37
Один знакомый поймал шифратор, который пошифровал имена файлов, зашифровано ли внутри я не стал разбираться, но по-видимому это дохлый номер, чтобы подобрать ключ надо иметь оригинал и зашифрованный файл, а оригиналов нет, а подбором можно и сто лет ключ подбирать.
22. trade70 13.10.15 15:45
(21) asup61, да они так и делают шифровальщики меняют расширение и имя файла. И в специальной своей папке создают файлы с сигнатурами и отсылают на сервер хозяина шифровальщика. После этого ждут когда придет письмо от зараженного, если в течение месяца не приходит, грохают ключ в своей базе и потом при желании даже не кому не восстановить.
Да похоже методы борьбы с ними сдают позиции)
Самое эффективное это бэкапы и распределение доступа к бэкапу.
23. Андрей Привалов (andybs) 13.10.15 21:52
(14) Cooler, "а потом просто копировала его в такую папку"
Ну это близко к моему методу. У меня доступ к папке только от особого пользователя. Даже админу вход в папку запрещен. Т.е., если даже я войду админом и запущу шифратор - бэкап будет цел.
Бэкапер у меня запускается от этого пользователя.
24. Андрей Привалов (andybs) 13.10.15 21:55
(17) the1, " кидаю архив в облако". Если облако типа Яндекс.Диск, то архив зашифруется в локальной папке Яндекс.Диск, то радостно замениться и в облаке.
Т.е., тут надо как то обходить это.
25. Алексей Попов (Aleskey_K) 14.10.15 09:14
двое знакомых в один день столкнулись с шифровальщиком, в одном случае помог Касперский, прислали дешифратор. В другом случае сказали, что расшифровать невозможно.
Лучший способ: бекапиться под отдельным пользователем, чтобы у других не было доступа к бекапам.
26. Елена Пименова (Bukaska) 14.10.15 09:55
(24) andybs, А если программу яндекс-диска не держать на компе, а сразу грузить в облако?
Локальная папка, это если программа сервиса установлена
27. Ярослав Володимирович (myr4ik07) 14.10.15 10:05
Свои 5 копеек вставлю. Делаю бекапы как локально так и на фтп одновременно
28. John Papilion (Papilion) 14.10.15 11:54
(24) andybs, Поддерживаю, работает если кидать бэкап в облако через браузер, потому что если стоит клиент с папочкой на компе, то все в этой папочке также шифруется и синхронизируется с облаком. А это как то совсем не автоматизированно получается. На днях у клиентов все файлы заархивировали с паролем, а оригиналы потерли без возможности восстановления. Ничего не надо придумывать с шифрованием, все уже продумал RAR )
29. Владимир П (Бывалый балбес) 14.10.15 12:03
(27) myr4ik07, 5 копеек нету, но есть алтын! Просто предположение - если шифровальщик шарится по расширениям файлов, то может просто после архивирования менять расширения?
30. trade70 14.10.15 15:53
(29) Бывалый балбес, я уже писал это. Шифровальщик работает по определенному алгоритму расширений файлов, поменяешь его и шифровальщик пройдет мимо)

(28) Papilion, не понял про RAR, потеряли пароль? Архивы или по другому с расширением .rar тоже шифровальщиком шифруется.
А если потеряли пароль, все-же есть ломалки этих паролей, хоть и гемморно это.
31. Вадим Никонов (V.Nikonov) 14.10.15 15:58
Думаю, что самым эффективным способом будет Автоматический бекап на локальный комп, с последующим откидыванием копий в другое место (в т.ч. по сети).
За счет батников легко организовать 2-3 ежедневные копии, 3 месячные, и т.д. Я не сильно парясь просто прореживал Архивы.
Параллельно, исключительно в пользовательском режиме, пользователь подключает некий внешний носитель (мобильный диск, ФТП, DVDR или то что душе угодно) и откидывает дополнительную копию Архивов. При ручном копировании можно и проверку архивов организовать... Вручную откидывать копии можно по любому расписанию (ежедневно, еженедельно и т.д.)
32. John Papilion (Papilion) 15.10.15 08:43
(30) trade70, Просто все файлы не шифруются, а архивируются раром с паролем и в каждую папочку ридми ложится, пароль от архива стоит 18000. Архивы можно открыть, посмотреть что в них, но чтобы разархивироать нужен пароль. Пробовали восстановить оригиналы программами для восстановления удаленных файлов, ничего не вышло...
33. Maxim Kolkin (the1) 15.10.15 10:21
(24) andybs, блин, об этом я не подумал ((
34. Cooler (Cooler) 15.10.15 10:52
(32) Papilion,
файлы не шифруются, а архивируются раром с паролем
Ну, для баз 1С этот способ вряд ли страшен: размер файла 1CD велик и вряд ли вирус успеет нанести большой вред. А вот для картинок и всяких офисных DOC и XLS - да, не хуже шифровщика сработает.
35. Maxim Kolkin (the1) 15.10.15 12:43
(24) andybs, Вы меня озадачили)) Немного изменил подход
Короче, алгоритм такой:
архивирую базу
шифрую архив (точнее, zip с паролем)
переименовываю с левым расширением
кидаю в облако

Как считаете, этого достаточно?
36. Volny Иванов (Volny) 15.10.15 19:12
Еще можно использовать теневые копии.
37. Андрей Привалов (andybs) 15.10.15 21:50
(26) Bukaska,
"а сразу грузить в облако" - удобство облака в том, что достаточно положить файл в папочку, а прожка все сделает сама, даже если будет прерываться и восстанавливаться инет. При этом не требуется ничего делать "ручками"

"архивирую базу
шифрую архив (точнее, zip с паролем)
переименовываю с левым расширением
кидаю в облако"
Думаю, что нет. Теперешние шифраторы шифруют все подряд, не смотрят на расширение, и паковано или нет.

Итак мое предложение (если нужно облако):
1. Заводим нового пользователя Winows "1cbackup"
2. Удаляем прогу Облака из автозапуска
3. Настраиваем автозапуск этой прожки от пользователя "1cbackup"
4. После этого запуска прожка создаст локальную папку для Облака (обычно в папке C:\users\1cbackup).
5. Настраиваем на этой папке доступ ТОЛЬКО для пользователя Winows "1cbackup"
6. Настраиваем бэкапер на запуск от пользователя Winows "1cbackup"

Все. шифратор не доберется ни до папки, ни до Облака.
Бэкапится как локально, так и на случай ядерной войны - в облако.

Если есть вопросы КАК сделать тот или иной пункт - с удовольствием отвечу.
38. Андрей Привалов (andybs) 15.10.15 21:53
(30) trade70, "Шифровальщик работает по определенному алгоритму расширений файлов, поменяешь его и шифровальщик пройдет мимо"
Последний шифровальщик, который огреб один из клиентов шифровал ВСЕ, что смог. На расширения не смотрел. Смотрел на сигнатуры.
39. trade70 16.10.15 04:44
(38) andybs, что мешает написать программу которая добавляет или изменяет батничком первые 255 байт на мусор, а потом восстанавливать удалять этот мусор. Еще лучше, работа максимум для программиста новичка любого языка программирования) Ибо все сигнатуры в начале файла.
Зато гарантировано пройдет мимо.
40. Андрей Привалов (andybs) 16.10.15 16:36
(39) trade70, "что мешает написать программу которая добавляет или изменяет батничком первые 255 байт на мусор"
наверно ничего, только, по моему - это резать гланды через задний проход :) и совершенно не гарантирует от новых шифровальщиков, которые будут шифровать все, что не приколочено системными процессами.
Есть, вполне себе, вменяемые способы защиты, гарантированно защищающие бэкапы от любого щифровальщика, сделанные стандартными средствами винды.
Есть совершенно безопасные и стандартные способы защиты самой базы 1с.
41. trade70 17.10.15 03:24
(40) andybs,
и совершенно не гарантирует от новых шифровальщиков, которые будут шифровать все

Хочешь сказать даже *.exe?) Это действительно задний проход - система просто не запуститься чтоб расшифровать саму себя) Мы кстати вычислили этого шифровальщика что он работает по тому как загружена была система. И выдергнули его из системы не все зашифровал в итоге. А это не все он шифрует, а только избранное.
Что так трудно написать такое? Правда модифицировать на запись в начало.
var t:file; 
 
assignfile(t,'1.1cd'); 
reset(t); 
write(t,code); 
 
closefile(t); 
...Показать Скрыть

Кажись задание для начинающего "первоклашке" в языках) Спрашивается нахера тогда программисты, если они привыкли "тырить" у всех, а не писать)

Есть совершенно безопасные и стандартные способы защиты самой базы 1с.

Вы наверно не в курсе, что существуют даже у самой винды стандартные программы по копированию файлов которые заняты чьим-то процессом и на "чтение не доступны" так как открыты другим процессом на запись. А так-же программы которые рубят процессы любые занявшие этот файл. Просто некому это не надо. Вся эта система рассчитана на откровенных лохов, кто не бэ не мэ в этом. Так что 1С вам не поможет точно. Просто у шифровальщиков еще руки не дошли до этого.

Самое надежное это разграничение доступа и что нибудь самописное свое по своему типу. Как в свое время уникальные(персональные) системы защиты машин от угона более эффективны чем стандартные как у всех)
А так это все из разряда если бы како-бы) "Соревнование снаряда и брони"
42. Андрей Привалов (andybs) 17.10.15 22:06
(41) trade70, "Хочешь сказать даже *.exe?) Это действительно задний проход - система просто не запуститься чтоб расшифровать саму себя)". Т.е., афффтар шифровальщика настолько туп, что бы не шифровать самого себя?
Не очень мне понятно, каким образом программа, которая "даже у самой винды стандартные программы по копированию файлов которые заняты" может помочь шифровальщику зашифровать заблокированный файл.
"А так-же программы которые рубят процессы любые занявшие этот файл" - что бы "рубить" процесс, требуются права админа. Нет?
Ты (извини, ты мне то тыкаешь, то выкаешь) на сервер пользователей под админом запускаешь? Да?
Тогда понятно зачем тебе требуется резать гланды через задний проход.
"Самое надежное это разграничение доступа" - о чем я и писал все время. Но ты, очевидно, под разграничением доступа имеешь ввиду что-то совсем другое, а не то, что все остальные.
Извини, дружище, не вижу смысла продолжать этот разговор далее, ибо с твоей стороны он уже перешел на хамство. Адьюс
43. trade70 18.10.15 03:40
(42) andybs,
Т.е., афффтар шифровальщика настолько туп, что бы не шифровать самого себя?

Скорее не аффтар...а что по твоему система не запускается dll и ехе файлами, если ты собрался шифровать прям ВСЕ)

Не очень мне понятно, каким образом программа, которая "даже у самой винды стандартные программы по копированию файлов которые заняты" может помочь шифровальщику зашифровать заблокированный файл.
"А так-же программы которые рубят процессы любые занявшие этот файл" - что бы "рубить" процесс, требуются права админа. Нет?

Свои процессы ты можешь рубить сам..разве нет? Вы сами заговорили о стандартных способах. А этот-же шифровальщик умеет спокойно создавать и убивать процессы собственные, сам открывал и видел, просмотреть содержимое процессов не возможно по этой-же причине список процессов благодаря шифровальщику постоянно обновляется, поэтому выкусить из системы простым убийством процесса вам вряд-ли удастся) Но он это может. Еще есть вопросы?

Ты (извини, ты мне то тыкаешь, то выкаешь) на сервер пользователей под админом запускаешь? Да?
Тогда понятно зачем тебе требуется резать гланды через задний проход.

А вы знаете как шифровальщик работает не понаслышке? Как оказалось судя по всему да. Если не знаете, что многие попались с этим и на серверах) Наверно то-же под пользователями работали)) Как с этим быть.
Ты мне еще указывать будешь?! Сходи туда куда посылаешь, если аргументы кончились хамло малолетнее.
44. Сергей Яцкевич (Nigmatul) 22.10.15 18:58
В том году фин. дир открыл письмо "Решение суда блаблабла" и тем самым начался процесс шифрования . Благо постоянно мониторю состояние сервера и процесы.... вообщем не допустил полного заражения сервера. Зашифровалась 1 база с архивами, неделю бился сам , но понял что моих знаний не хватит обратился в доктор веб в течении 3 дней был написан дешефратор, который все шустро расшифровал. А так мой совет стпвьте на почтовик антивирус и на сервера где раблтают юзвери, а так же храните архивы как-минимум на изолированном от юзверей хранилище.

Писал злоумышленикам, но они не ответили.
45. trade70 23.10.15 02:58
(44) Nigmatul,
Писал злоумышленикам, но они не ответили.

а им нечего тебе было просто ответить, он после окончания шифрования должен отправить ключ на сервер злоумышленика для расшифровки, а ты процесс прервал.
46. Андрей Привалов (andybs) 23.10.15 20:29
(44) Nigmatul, "так мой совет стпвьте на почтовик антивирус"
Не поможет. Чаще всего там ссылка без тела. Да и тело, чаще всего, антивирусом не ловится.
Потому как это обычная программа, с точки зрения компа, мало чем отличающаяся, например, от 7zip
Не пускайте обычных пользователей к папкам с бэкапами (выше есть инструкции).
Не отключайте UAC, а еще лучше, вообще запретите пользователю запускать ЛЮБЫЕ программы, кроме разрешенных. Особенно на сервере под RDP... Ну, в общем, чем туже закручены гайки, тем меньше вероятность заражения.
А правильная настройка бэкапов - гарантирует минимальную потерю информации.
47. Вячеслав Павелко (slawanix) 24.10.15 01:50
Поделюсь своим методом, раз о нем здесь ничего не написали. Не ради рекламы а пользы для. Для бэкапов всего и вся использую программу Acronis True Image. Перед созданием расписания архивирования средствами программы создается специальный раздел на жестком диске. В системе он не виден. Писать в него может только сама программа. Образ данных сжимается, можно его запоролить. Даже если вирус грохнет всю систему и перед этим зашифрует все файлы, раздел остается не тронутым и восстановить данные, будь то образ всей системы или просто папку с данными можно загрузившись с предварительно созданной в программе флешки. Главное правильно настроить расписание и режимы архивирования. Также можно найти бесплатные программы в сети, которые по такому же подобию создают шифрованную область на диске. Но тогда кидать бэкапы туда придется в ручную с помощью этой программы. Как-то так.
48. Андрей Привалов (andybs) 24.10.15 08:17
(47) slawanix, "Поделюсь своим методом"
Отличный способ для бэкапа системного раздела (используем практически у всех клиентов), для бэкапа всего остального тоже хорошо, хотя есть свои особенности:
1. Большой размер бэкапа.
2. Иногда (нечасто) бывают проблемы с "восстановленными" базами sql или файлами зашифрованных дисков типа truecrypt
3. Бывают проблемы на рэйдах.
В принципе, как и любое, даже самое хорошее решение имеет свои ограничения
49. Вячеслав Павелко (slawanix) 24.10.15 21:40
(48) andybs,
1. Большой размер бэкапа.

Если настроить инкреметное или, в случае с серверным вариантом, дифференциальное копирование, размер будет заметно меньше.IMHO
2. Иногда (нечасто) бывают проблемы с "восстановленными" базами sql или файлами зашифрованных дисков типа truecrypt

Не сталкивался, врать не буду.
3. Бывают проблемы на рэйдах.

Также врать не буду, на рэйдах эту программу не пробовал.
50. trade70 25.10.15 01:43
(49) slawanix,
Также врать не буду, на рэйдах эту программу не пробовал.


Рейды серьезные используются только на серверах, а для этого существует серверный вариант Acronis и он работать с рейдами умеет. А делать бэкап ты все равно будешь на другой диск и там рейда не будет. Ибо делать бэкап на тот-же диск где рейд тобишь данные по определению маразм как и вариант отдельные диски с рейдом для бэкапа) А маленькие компании рэйдами вовсе не пользуются.

Так что большая часть проблем использования Acronis просто надуманные.
51. Вячеслав Павелко (slawanix) 25.10.15 02:11
(50) trade70, согласен. Добавить нечего.
52. Андрей Привалов (andybs) 25.10.15 22:15
(49) slawanix, Ну вообще тема про базы 1с и "Если настроить инкреметное" не катит, ибо файл (хоть в файловой версии, хоть в сиквел" будет меняться и полностью бэкапиться, т.е. размер будет большой.
Вообще, проблема в защите от шифраторов не в самом бэкапере, как говорилось выше, а в запрете доступа обычных пользователей к папке с бэкапами.
Варианты выше.
53. Maxim Kolkin (the1) 02.11.15 17:01
andybs, спасибо за советы, сделал как Вы указали в (37), за исключением того, что облачная прога (да и все прочие юзеры) имеет доступ на чтение к папке с бэкапами. По идее, этого должно быть достаточно, чтобы обезопаситься от шифровальщика)
54. Sergey Andreev (starik-2005) 13.11.15 23:21
Уже 10 лет ну Убунту - что-то не видел никаких шифраторов. ))
55. Cooler (Cooler) 14.11.15 01:07
(54) starik-2005, теперь я понял - ваша самоуверенность в этой области основана, к сожалению, на некомпетентности. Как будто нарочно: http://www.3dnews.ru/923200 - весьма вероятно, что для Линукса все еще спереди.
56. Sergey Andreev (starik-2005) 14.11.15 11:37
(55) Cooler, вот сразу видно, что в линухе Вы слабенько разбираетесь. И если 99% юзверей винды на домашних (да и что греха таить - на корпоративных) компах сидят под правами локального админа, то в том же Убунту не каждый пользователь что-то запустит под админом, даже зная пароль.

[quote]После запуска с правами администратора троян загружает файлы с требованиями злоумышленников...[/quote]

Вот, допустим, открыл почту, а там sh-файлик болтается с именем "открой меня - я добрый нужный файлик". Ага, разбежался и открыл ))) Это, мля, на кого статья рассчитана? На полных идиотов? Да ни один уважающий себя линуховод на такое не поведется, с учетом того, что используют оную ОСь в основном специалисты.

Кстати, в нашей конторе уже два главных бухгалтера огребли шифровальщик. При чем одна даже на флешку все сохранила, как было написано - а все одно забыла вытащить ее из компа. И это с учетом предупреждений! Ну и, сами понимаете, все файлы на флешке зашифрованы. А вот у знакомых людей в конторе, где корпоративная политика запрещает юзать винду, все хорошо - никто не пострадал. А почему? А потому, что если при открытии файла вас просят ввести пароль, а вы его не знаете - ничего плохого не случится. Да, позвонит кто админу и спросит, что за нах - все, инцидент исчерпан.

Комент порадовал:
[quote]Artemy Voikhansky 6 дней назад 18:31
Представляю себе самое популярное письмо в "техподдержку" этого зловреда:
"Я скачал ваш вирус, но он не компилируется. Что я делаю не так?"[/quote]

Ну и далее:
[quote]Станислав Лапин6 дней назад 16:02
"После запуска с правами администратора троян загружает файлы"
Дальше не читал, но настроение подняли.))
Может его еще скомпилировать нужно и зависимости решить, если например Linux на ARM ?)[/quote]

И еще:
[quote]Дмитрий Позняков Станислав Лапин6 дней назад 18:35
"для получения доступа к огромной бесплатной коллекции музыки и фильмов без смс и регистрации, пожалуйста, запустите этот файл с правами администратора" (с) :)[/quote]
57. Андрей Привалов (andybs) 14.11.15 19:04
(56) starik-2005, "Кстати, в нашей конторе уже два главных бухгалтера огребли шифровальщик"
У плохого админа всегда юзверь виноват. Сильно умиляет, что админ заставляет сохранять что-то ГБ на флэху. Смешно чесслово.
Админа в дворники
58. Sergey Andreev (starik-2005) 14.11.15 20:32
(57) andybs, ну не админы это предлагают, а специалисты группы техподдержки. Антивирус, кстати от мелкомягких, этот вирус не распознает. Видимо санкции ))) Все важные файлы на общих шарах защищены, а вот личные файлы юзверей - это зона ответственности самих юзверей. И если мне приходит вирь, то я пишу письмо админам, которые пытаются реагировать. Но если приходит письмо с расширением, например, gz, которое винрар открывает, а внутри файлик с некоторым образом безобидным названием и картинкой аля-ворд/эксель, а расширение, например, лнк или еще какое весьма безобидное. Юзаерь запускает файлик, он запускается как программка и начинает шифровать. Да, можно всем запретить запускать файлы, кроме списка - это даже в винде делается несложно, но на это нужно время. И если всем сразу гайки затянуть, то система может вообще перестать работать. А для бизнеса простой хоть из-за вируса, хоть из-за невозможности юзать корпоративную систему одинаково невозможен.
59. Андрей Привалов (andybs) 14.11.15 23:35
(58) starik-2005,
1. Хоть компьютер и персональный, данные на нем корпоративные. Т.е. ЛИЧНЫХ файлов там не должно быть априори. А корпоративные папки на серверах обязаны быть защищены
2. Список разрешенных программ должен быть на каждое рабочее место и настроен на машине юзверя без возможности запуска любой программы не из списка.
3. Как раз соблюдение этих несложных правил позволяет закрыть "дыры" и снизить вероятность простоя юзверя до минимальных значений.

И да, у меня компания ИТ-аутсорсинга. И да, ловим попытки срабатывания "шифратора" чуть ли не каждый день. Особенно много было примерно месяц-два назад. И да, обучение пользователей на "подозрительные" вложения не работают. Им пофиг - пытаются запустить шифровальщики регулярно. Дома пусть запускают сколько угодно. В "конторе" - компьютер - собственность компании, предназначен для выполнения служебных заданий.
60. Sergey Andreev (starik-2005) 15.11.15 10:23
(59) andybs, ага, одно из служебных заданий - разгребать почту. Если там написано "запрошенная вами документация", то юзер по должностной инструкции обязан обработать такое письмо.

А вообще меня, например, последний раз винда выморозила тем, что на компе, на котором у нас мониторинг, невозможно отключить скринсейвер и выключение экрана под пользователем с ограниченными правами. Ну. мля, какой долбо.... из мелкософта додумался до этого? Так вот сколько мы ни просили админов снести к чертовой бабушке эти скринсейверы и отключения монитора - воз и ныне там. Вроде и недолго это делать, да как-то не делает никто. В линухе же таких проблем нет.
61. Павел Носов (Модельер) 08.12.15 22:43
попробуйте найти дешифратор здесь http://nabzsoftware.com/types-of-threats/vvv-file - здесь речь об одной из разновидностей вируса шифровальщика TeslaCrypt, с бесплатным сканированием которое вроде универсальное для шифровальщиков, но на самом ресурсе по-моему есть варианты и другие варианты для других троянов, типа cryptowall, cryptolockerи т.д.
Для написания сообщения необходимо авторизоваться
Прикрепить файл
Дополнительные параметры ответа