Вирусы-шифровальщики

Публикация № 310891

Администрирование - Администрирование данных 1С

вирусы шифровальщики инструкция

В последнее время набирает популярность разновидность таких вирусов, как шифровальщики. Очень часто объектами шифрования становятся и файлы баз 1С. Надеюсь эта краткая инструкция для ваших сотрудников поможет не допустить необратимого шифрования ваших файлов.

Небольшое лирическое отступление

Статья потихоньку превращается в своего рода «Курс молодого бойца» по борьбе с такой напастью, как «Вирусы-шифровальщики». Статья не преследует целей рекламы каких бы то ни было продуктов. Не утверждает, что описанные в статье методы являются 100% гарантией защиты. Все решения по настройке ОС, выборе антивирусного ПО - целиком и полностью зависит только от вас!

Принцип действия

В большинстве случаев вирус приходит по электронной почте в виде вложения от незнакомого вам человека, или же от имени банка или другой крупной организации, имя которой вам уже скорее всего известно. Письма эти приходят с заголовком вида: «Акт-сверки…», «Карточка предприятия…», «Ваша задолженность перед банком…», «Проверка регистрационных данных» и прочее. В письме содержатся вложения с документами, якобы подтверждающими факт, указанный в заголовке письма. При открытии этого вложения происходит моментальный запуск вируса-шифровальщика, который незаметно зашифрует все ваши документы, видео, изображения на всех дисках и восстановить их уже будет невозможно. Увидеть это будет легко - все файлы, которые имели до этого значки, станут с иконками неизвестного типа файлов.

Пример файла до и после работы вируса-шифровальщика 

Рис. 1. Пример файла до и после работы вируса-шифровальщика

Как определить?

Вложения этих писем чаще всего бывают в архивах .zip, .rar, .7z, .cab (в настройках многих антивирусов по умолчанию отключена проверка архивов). И уже внутри этих архивов находятся на первый взгляд безобидные документы.

Если в настройках системы отключена функция отображения расширения файлов, то вы увидите лишь файлы вида «Документ.doc» или «Акт.xls» или что-то подобное. Если же включить отображение расширения файлов, то сразу будет видно, что на самом деле это не документы, а исполняемые программы или скрипты, так как имена файлов будут немного другого вида, например, «Документ.doc.exe» или «Акт.xls.js». При открытии таких файлов происходит не открытие документа, а запуск вируса-шифровальщика.

Краткий список «опасных» расширений файлов – т.е. если вы достоверно точно не знаете, что вам прислали, то вероятнее всего за ним спрятан вирус-шифровальщик: .exe, .com, .js, .wbs, .hta, .bat, .cmd

Для того, чтобы включить отображение расширений файлов, необходимо…

… если у вас Windows 8/Windows 8.1

Наверху открытого окна перейти на вкладку «Вид» и установить галочку напротив «Расширения имен файлов»

… если у вас Windows 7

На клавиатуре нажать левый Alt. Наверху появится главное меню. В нем открыть меню «Сервис – Параметры папок». В открывшемся окне перейти на вкладку «Вид». В списке дополнительных параметров почти в самом низу снять галочку напротив «Скрывать расширения для зарегистрированных типов файлов».

… если у вас Windows XP

Все аналогично Windows 7 за исключением нажатия кнопки Alt для вызова главного меню. Оно обычно всегда отображается в Windows XP.

Как не допустить заражения

Конечно же никогда не открывать вложения в письмах от незнакомых вам людей. Всегда можно уточнить, ответив на письмо, кто он (отправитель) такой, и откуда он узнал адрес вашей электронной почты.

Если же желание открыть вложения у вас не убавилось – обязательно проверьте расширения вложенных файлов. Если они заканчиваются на указанные выше «опасные» расширения файлов – ни в коем случае не открывайте их. Проше попросить отправителя выслать файлы в другом формате. Помните, в большинстве случаев отправитель даже не подозревает, что от его имени отправлялись файлы вируса-шифровальщика, и скорее всего он ответит вам, что ничего вам не отправлял и знать вас – не знает.

Более-менее адекватное антивирусное ПО, которое ловит эти вирусы-шифровальщики, это, пожалуй, Kaspersky Internet Security. Список антивирусов, известных мне, которые точно не прошли проверки и не заблокировали этот вирус - это Avast! и Microsoft Endpoint Protection.

В любом случае 100% защиты от антивируса ждать не стоит. Так как живут вирусы 2-3 дня, и после добавления их в базу антивирусов, код их переписывается.

update 28.04.2015: Так же есть технология теневого копирования в ОС Windows 7, которая позволяет откатить файл до рабочего состояния. Вопрос только в размерах вашего жесткого диска и свободного места на нем.

update 21.08.2015: Недавно столкнулся с очередным "заражением" - файлы пользователя были зашифрованы. Сценарий - полностью идентичен. В архиве находился сценарий под видом документа Excel. Мы пойдем другим путем, решил я, и открыл оснастку Управления групповой политикой в домене (сразу уточню - я программист, системное администрирование - побочный род деятельности, поэтому реализовал задачу как смог).

Актуально для сети с использованием домена Active DirectoryПерехожу в объекты групповой политики и создаю новый объект "Запрет выполнения скриптов". Перехожу в конфигурацию пользователя - Настройки - Параметры панели управления - Параметры папок.

Добавляю 3 объекта для расширений hta, js, vbs с сопоставлением notepad.exe. Назначаю нужным группам пользователей созданный объект групповой политики. После перезагрузки все скрипты по умолчанию открываются через Блокнот и, как следствите, кроме недопонимания пользователя, не вызывают никаких других непоправимых последствий.

update 04.02.2016: Сегодня случилось очередное ЧП локального формата. Менеджеру по продажам пришло письмо с манящим заголовком Карточка предприятия с одноименным архивом .rar во вложении. И даже несмотря на то, что никаких карточек ни от какого клиента он не ждал - архив открыл. И увидев внутри Карточка предприятия.exe - не задумываясь его запустил... Встроенный в ОС Защитник Windows видимо не ожидал такой наглости злоумышленников и... спокойно пропустил запуск .exe файла из этого архива. Результат само собой на лицо - все файлы пользователя оказались зараженными.

Ограничивать политиками список разрешенных программ конечно дело неблагодарное, поэтому решил пойти другим путем... Возможно для многих будет приятной неожиданностью, но Касперский выпустил наконец бесплатную версию антивируса, с сильно урезанным функционалом... но и оставшегося хватает для большинства рабочих мест. Вот как-раз его и удалось протестировать на клиенте. Само собой расшифровать зашифрованное никакому продукту не по силам, интересен был лишь факт блокировки шифровальщика (по моему скромному опыту - Avast! с этой задачей не справляется, может что-то изменилось уже - но доверия к этому антивирусу уже нет).

Итак, после установки и запуска без изменения настроек Kaspersky Free - вообще никак не отреагировал на запуск .exe файла вируса-шифровальщика, что конечно-же обескуражило - надежды не оправдались :( Однако, решил поиграться с настройками и, только после того, как выставил высокий уровень защиты для файлового антивируса, добился желаемого результата - файл с вирусом-шифровальщиком был заблокирован в момент запуска!

Насколько надежна далее будет эта версия антивируса от Касперского - покажет конечно же время.

Специальные предложения

Комментарии
Избранное Подписка Сортировка: Древо
1. Gureev 05.11.14 11:24 Сейчас в теме
Поймать этих вирусописателей, и поотрубать им пальцы.

И это еще гуманно...
vakham; puzakov; sergio199; amon_ra; +4 Ответить
36. prolog 11.11.14 17:26 Сейчас в теме
(1) Gureev, Отрубить им пальцы ног по самые уши
2. Bukaska 131 05.11.14 11:28 Сейчас в теме
Вы показали как раз одну из последних версий. От которых нет ключа расшифровки. И сразу скажу, что сейчас чаще всего используется тип шифрования RSA1024. Достаточно почитать что это такое, когда нужно разделить на множители и сомножители. Тут ключ расшифровки поискать - не каждый программер справится. Так что с данными в большинстве случаев приходится и прощаться.
Если тип шифрования AES256, то тут чуток полегче ситуация)
3. TrinitronOTV 1 05.11.14 12:13 Сейчас в теме
"Более-менее адекватное антивирусное ПО, которое ловит эти вирусы-шифровальщики, это, пожалуй, Kaspersky Internet Security" -- походу ещё и скрытая реклама...
В целом спасибо за предупреждение
Bryuhanov; StBender; Silenser; nikaleks; LavinVadik; +5 Ответить
6. insurgut 187 05.11.14 12:36 Сейчас в теме
(3) TrinitronOTV, не преследую никаких рекламных целей, много антивирусного ПО, но все попробовать - ни времени ни желания нет. Привел конкретное антивирусное ПО, потому что все они "пообщались" с письмами, вложения в которых содержали эти вирусы-шифровальщики. Только Касперский заблокировал. Остальные даже не моргнули и не шелохнулись, как будто так и надо. В любом случае антивирус - не панацея. Самое сложное - донести до пользователей, чтобы не открывали все, что ни попадя.
ivnik; Анатолий50; +2 Ответить
10. TrinitronOTV 1 05.11.14 13:04 Сейчас в теме
(6) полностью с вами согласен
12. Cooler 23 05.11.14 13:09 Сейчас в теме
(6)
Только Касперский заблокировал. Остальные даже не моргнули и не шелохнулись, как будто так и надо.
Можно уточнить: Касперский среагировал на вирус, известный ему (получается, только ему?) или на сам факт запуска приложения (неизвестного) из письма?
13. insurgut 187 05.11.14 13:21 Сейчас в теме
(12) Cooler, на вирус, известный ему. Просто оперативность у команды Касперского - повыше будет. Насколько понимаю - сигнатур у шифровальщиков нет, и код постоянно разный.
15. Bukaska 131 05.11.14 13:22 Сейчас в теме
(12) Cooler, у одной из наших клиенток касперский среагировал, и удалил часть файлов(но не все), во всяком случае процесс шифрования он остановил, но..
Вирус успел зашифровать файлы, находящиеся в папке мои документы, из чего делаю выводы, что базы нужно располагать не на системном разделе, так как вирус в первую очередь шифрует системные папки пользователя, и файлы в них)
Ключ расшифровки с 13 октября ждем у доктора веба - пока дело темное
24. Cooler 23 05.11.14 13:51 Сейчас в теме
(15) А сами не пробовали? Какая разновидность вируса была? Мне недавно te94decrypt.exe очень хорошо помог. Если затрудняетесь, то могу подсобить, нужен любой зашифрованный файл, желательно doc, xls или zip, хотя проверять расшифровку удобнее всего по txt, но кто их использует?

И крайне желательна любая информация по вирусу, начиная с адреса электронной почты для связи со злоумышленниками.

(16) Не верю: у них и без того очень неплохой бизнес. Я, в свою очередь, где-то читал, что продаются вирусы-конструкторы: покупаешь "комплект разработчика", вводишь свои данные, компилируешь - и начинаешь отбивать инвестиции.

(20) Ограничение прав на чтение подразумевается как раз к папке для бэкапов: записать в нее новый архив можно, а прочитать и зашифровать старый - низзя!
25. Bukaska 131 05.11.14 14:03 Сейчас в теме
(24) Cooler, RSA1024 осилишь? Дохтур веб с 13 октября осилить не могут.. всё ждемс.
Народ уже восьмерочные базы почти 10 организаций перевбивал всё ручками, так как время сдачи отчетности)
тельце вируса у меня тоже есть.. но.. я ж говорю.. что Каспер не дал до конца ему доработать.и комп уже перезагружался.. думаю дохлый номер. Хотя поделиться тушкой и логом могу, но не жду гарантий)
66. aferrer 47 25.11.14 02:08 Сейчас в теме
(3) TrinitronOTV, У меня BitDefender (правда 2013 года) не смог заблокировать такого шифровальщика с расширением *.js
Пришлось качать DrWeb CureIt и чистить заразу.
4. kofr1c 05.11.14 12:20 Сейчас в теме
пффф...а не пробовали сажать юзеров за камп без админских прав? это не больно ;)
Ivan-r777; madonov; trickster; Зеленоград; RAMZEZzz; nikaleks; the1; amon_ra; +8 Ответить
5. Cooler 23 05.11.14 12:33 Сейчас в теме
(4) Видимо, вы еще не сталкивались с этой заразой: шифруются как раз пользовательские файлы, на которые у юзера есть все права.
ut2k5; Cupuyc76; dimajak; Stradivari; +4 Ответить
7. insurgut 187 05.11.14 12:37 Сейчас в теме
(4) kofr1c, как (5) уже ответили, прав администратора выполнения шифрования пользовательских файлов - не нужно. UAC тоже никак не реагирует на них.
11. yukon 78 05.11.14 13:08 Сейчас в теме
(4) kofr1c,

Можно еще попробовать делать резервные копии. По описанию похоже, что тоже безболезненная процедура.

(8)

Говорят, высылают. Но 15 тыс. рублей это многовато, конечно, для проверки.
49. Evil Beaver 6456 14.11.14 11:26 Сейчас в теме
(11) yukon, если высылают, то можно отследить. Имхо, имеет смысл подключать прокуратуру и попытаться сделать "контрольную закупку".
50. insurgut 187 14.11.14 12:36 Сейчас в теме
(49) Evil Beaver, нет, это (по крайней мере у нас) - бесполезно. Вся почта злоумышленников, по которой ведется переписка, заводится на зарубежных серверах. Оплата производится так же на обезличенные сервисы, либо сервисы, находящиеся так же за рубежом. Прокуратура из-за 15 тысяч запросы в зарубежные страны точно делать не будут.
51. yukon 78 14.11.14 17:57 Сейчас в теме
(49) Evil Beaver,

Дохлый номер. Оплата в биткоинах, письма от какого-нибудь 10minutesmail. Вообще, если отбросить мораль, то они правы:

Теперь к делу, ваш сервер был взломан по причине халатности\профнепригодности вашего системного администратора который должным образом не обеспечил безопасность сервера вашей фирмы.
Мы не говорим что мы хорошие и делаем только ради помощи, каждый зарабатывает как может ну а мы в свою очередь хотим донести фирмам что к обеспечению безопасности сервера если вы ведете предпринемательскую деятельность нужно относиться серьезно!


А мораль в предпринимательстве она такая, скажем так, гибкая. В данном случае явно действовали адресно, и знали на чей сервак залезли. Так что в IRL их следы отыскать можно, но, как заметили выше, за 15 тыс доблестные стражи особо напрягаться не будут. Но заявление написать стоит - рано или поздно эти граждане попадутся, так хоть срок могут получить побольше.
86. dimajak 21.01.16 22:55 Сейчас в теме
(11) yukon, Говорят не высылают.
18. Bukaska 131 05.11.14 13:27 Сейчас в теме
(4) kofr1c, Скорее наоборот..
Нужно папку с важными данными сделать атрибуты только на запись.
Насколько я понимаю, шифровальщику нужно сначала прочитать информацию, а потом уже шифровать.. соответственно , если он не сможет прочитать, не факт что он будет шифровать там что-то)
20. insurgut 187 05.11.14 13:34 Сейчас в теме
(18) Bukaska, а как вы будете открывать файлы сами? Единственная панацея пока - это голова на плечах ну и бэкапы. Только на рабочий машинах настраивать резервное копирование - накладно.
80. 3d_killer 20.08.15 18:51 Сейчас в теме
(4) kofr1c, пфф а не думал головой что шифрование это просто изменение файла, пользователи без админских прав могут редактировать файлы Excel word и др., так вот вам новость что и шифровальщик запущенный от пользователя тоже сможет это делать так как он не устанавливается в системе и не требует админских прав, пфф знаток блин
87. dimajak 21.01.16 22:56 Сейчас в теме
(4) kofr1c, Шифруются файлы, доступные юзеру.
Думайте, прежде, чем комментируете.
109. Hateful72 5 05.08.16 14:45 Сейчас в теме
(4) kofr1c, и за что плюсы?Не сталкивался, то лучше помолчи и не "пфф"ыкай.
8. insurgut 187 05.11.14 12:41 Сейчас в теме
Если кому интересная цена вопроса - просят вредители перевести на счет N "всего-навсего" один bitcoin :) Сейчас это примерно 15т.р. Гарантий соответственно - никаких. Может и вышлют дешифратор, а может и не вышлют.
9. Gureev 05.11.14 12:53 Сейчас в теме
(8) теперь понятно для чего ЦБ запретил биткоины

такие вот сволочи поганят хорошие идеи(
14. tindir 05.11.14 13:21 Сейчас в теме
ДетективнаяИсторияМодеОН
Есть контора, которая ональ...очень хорошо огорожена от всякой бяки. Приходил "мальчик ИТС" прикинувшись сотрдником их франча и подкинул им пару таких веселых штук. Участвовал в "загоне дичи". весело. Последнее что видел, как ребята в страйкбольной форме под омон выводи парнягу и сажали в "воронок". думаю надолго парень запомнит урок.
ДетективнаяИсторияМодеОФФ
16. insurgut 187 05.11.14 13:23 Сейчас в теме
Еще очень славится на этом поприще Dr.WEB. Они еще и дешифраторы для старых шифровальщиков предоставляют "бесплатно" для обладателей лицензией Доктор ВЭБа. Где-то даже предположения видел, что написание шифраторов Dr.WEB и спонсирует. Но правды мы никогда не узнаем.
17. Bukaska 131 05.11.14 13:24 Сейчас в теме
(16) Бугага.. от старых шифровальщиков.. а от новых - ни у кого мозгов не хватает)))
19. insurgut 187 05.11.14 13:33 Сейчас в теме
(17) Bukaska, как понимаю от новых сидеть и ждать, пока он свой "урожай" соберет, а потом алгоритмы генерации ключа для дешифровки отдаст заказчику. Как-то так наверное :)
21. insurgut 187 05.11.14 13:35 Сейчас в теме
Да, забыл, еще можно использовать альтернативную ОС (*nix, macos). Может кто-то подскажет еще какие-то простые методы защиты от такого рода вирусов?
22. Bukaska 131 05.11.14 13:43 Сейчас в теме
(21) По мне так как минимум это иметь систему с последними обновлениями, полноценный антивирусный продукт(именно решение Интернет Секьюрити), а не мизер домашний. Ну и в первую очередь - это не открывать что попало. А с этим как раз главная проблема..
У меня только за это лето приходило три раза письма от суда, ено я как-то не клунула, сразу удалила с глаз долой)))
23. masik85 20 05.11.14 13:51 Сейчас в теме
Предупрежден- значит вооружен!..у нас пролетал такой вирусняк, благодаря настройке прав у пользователей, ничего не повредил, но я испытала его на своей шкуре :) надо же было увидеть действие ..на компе ничего особо ценного не было, по сети он не лезет ни с какими правами(это спасло) , шифрует все офисные файлы, jpg и ВНИМАНИЕ! .cf
все пробные , тестовые базы были зашифрованы
Кстати Kaspersky Endpoint Security 10 не поймал его, даже намека не сделал
26. BlackCors 4 05.11.14 15:07 Сейчас в теме
Kaspersky Endpoint Security 10 не поймал его, даже намека не сделал

(23) masik85, у Каспера есть безопасный режим, который позволяет открыть подозрительные файлы в западне.
Но разве им кто пользуется? ;)
JohnConnor; masik85; Bukaska; +3 Ответить
108. Bienko 180 04.08.16 08:14 Сейчас в теме
(26) BlackCors, DrWeb вообще может определять новые шифровальщики и все сделанные ими изменения откатывать.
27. the1 405 10.11.14 12:59 Сейчас в теме
Попадали пару раз, пришлось листать по 10 тыр
28. insurgut 187 10.11.14 13:33 Сейчас в теме
(27) the1, сценарий заражения отличался? Или так же открывались вложения писем электронной почты от неизвестных людей?
29. Bukaska 131 10.11.14 13:51 Сейчас в теме
(28) Зачем их открывать.. когда у вас в письме типа: посмотреть информацию или прочитать - в виде ссылки..
Нормальный суд не будет кормить ссылками, а притащут в руки вам нужные документы.
А народ как всегда.. ай да я залезу посмотрю, что там такое..? и тут же: Аааа.. спасите, помогите..
да бугага: поздняк пить боржоми, когда почки отказали)
30. insurgut 187 10.11.14 13:57 Сейчас в теме
(29) Bukaska, причем тут ссылки?
33. Bukaska 131 10.11.14 14:29 Сейчас в теме
(30) При том))
Версия вируса 4.0.0.0
Версия 4.1.0.0 и выше)
Конечно я привела чуть более другую разновидность вируса, но из той же категории.
По части моих ссылок - ключа разблокировки не существует, так что остерегайтесь подобных писем)
34. insurgut 187 10.11.14 14:55 Сейчас в теме
(33) Bukaska, я к тому, что обычно заражение именно через вложенные файлы происходит, потому что "не ходить по непонятным ссылкам" люди хоть как-то немного научились. Хотя предела человеческой глупости конечно нет.
35. Bukaska 131 10.11.14 15:25 Сейчас в теме
(34)
Хотя предела человеческой глупости конечно нет.

и никогда не будет)))
31. the1 405 10.11.14 14:02 Сейчас в теме
32. insurgut 187 10.11.14 14:07 Сейчас в теме
(31) the1, пока эта схема работает, менять они (злоумышленники) ее вряд-ли будут. Поэтому единственный более менее проверенный вариант - включать настройку отображения расширения файлов и не открывать файлы, с расширениями исполняемых файлов (*.exe, *.com) или скриптов (*.js, *.wbs).
37. DAnry 7 12.11.14 19:03 Сейчас в теме
Спасибо за статью. Предупрежден - значит вооружен. У нас ещё такой бяки не было, но думаю это дело времени...
38. CaptainMorgan 12.11.14 21:32 Сейчас в теме
Вообще все в мире взаимосвязано.
Чаще всего бывает так.
При первом обрушении информационной системы руководитель понимает, что фирме нужен системный администратор. При втором - понимает, что Сисадмин должен получать зарплату. После очередного инцидента в фирме создается ИТ служба с начальником и подчиненными.

Николай Рерих:"Благословенны трудности, ибо ими растем"
39. maxx 840 12.11.14 22:33 Сейчас в теме
Вот что пишут эти КОЗЛЫ

Добрый день, если вы нам пишите то с 99% вероятностью файлы вашей\вашего фирмы\предприятия были зашифрованны
Сразу хотим сказать что угрозы в любом виде абсолютно не несут не какой смысловой нагрузки.
Ведем диалог только с адекватными льдьми.
Теперь к делу, ваш сервер был взломан по причине халатности\профнепригодности вашего системного администратора который должным образом не обеспечил безопасность сервера вашей фирмы.
Мы не говорим что мы хорошие и делаем только ради помощи, каждый зарабатывает как может ну а мы в свою очередь хотим донести фирмам что к обеспечению безопасности сервера если вы ведете предпринемательскую деятельность нужно относиться серьезно!
шифровку файлов не стоит принимать как повод горевать, растраиваться, опускать руки, это стоит воспринимать как урок и стимул задуматься на будущее.
Есть много хакеров которые делают на много более страшные вещи на взломанных серверах, сливают
файлы конкурентам, подменивают банковские реквизиты, достают ценную информацию, естесвенно все зависит от того какие файлы вы на сервере.
Ну и естественно ущерб при таких действиях кратно умножается (мы ваши файлы в своих корыстных целях не используем)
Так что не отчаиватесь, за льбой урок нужно платить.
Теперь что касается расшифроки,только у нас есть возможность востановить все файлы до единого включая базы данных 1с
С радостью продемонстрируем возможность расшифровки файлов дабы не быть голословными.
Можете прислать несколько небольших файлов, мы их расшифруем и вышлем вам.
Базы 1с до оплаты не высылаем, если вам нужны доказательства расшифровки именно баз 1с то мы можем вам выслать доступ к программе TeamViwer с помощью которой вы подсоединитесь к нам на пк и мы покажем расшифрованные базы.
Естественно мы покажем уязвимость на вашем сервере и дадим рекомендации по безопасности, если все правильно настроить и делать регулярные бакепы то в будущем волноваться будет не за что.
Теперь по оплате, цена вопроса 1000$, оплатить нужно на киви кошелек, оплату можно произвести через любой терминал qiwi или салон связи.
В качестве подтверждения оплаты нужно будет приложить фото чека\либо если же вы платите через онлайн банкинг либо переводите с платежной системы то выписку из счета.
Разумный обоснованный торг уместен.
После оплаты вышлем дешефратор, в нем нужно будет лишь сделать 2 нажатия клавишы, вабрать диск с зашифрованными файлами и нажать кнопку "расшифровать", как правило процедура востановления занимает не более полу часа.

Анатолий50; +1 Ответить
40. RAMZEZzz 13.11.14 00:27 Сейчас в теме
(39) maxx, прикольно.
Тоже доводилось общаться, что то писали про помощь голодным детям африки в виде одного биткоина.
Из важных файлов пошифровалась только одна база 1cd
Но потом в итоге восстановил ее вручную, т.к. пошифрована была не полностью а частями, заголовок и по 1кб через каждые 10мб.
с помощью hex редактора, тестированием и исправлением и chdbfl.exe удалось вернуть ее к жизни с незначительными потерями в справочниках...
41. CheBurator 3404 13.11.14 01:03 Сейчас в теме
статья ни о чем.
для многих пользователей все что они перед собой видят - это какой-то значок, который у них ассоцируется прочно и навязчиво с документом - потому как чаще всего с "документами" и работает основная масса пипла, которая допускает заражение компов. Документ и все. и о никаких расширениях они не думают и не подозревают.
.
совет "не открывать от незнакомых людей/адресов" - канает только там, если вы не работаете в конторе где куча персонла и куча внешних связей. как пример: на мою просьбу к своим менеджерам не открывать от незнакомых людей - ответ один - условно можно так: = пнх! мотивируется просто (и мне нечем возразить) - сетевые клиенты шлют свои письма с разных адресов, даже не уведомляя - с какого ззахотелдось с такого и послали. слать встречный вопрос - и ждать сутки ответа - поставить под срыв отгрузки, план продаж, премии и прочее.
.
поэтому единственный более-менее вменяемый рецепт: - это продуктивная и внимательная работа ИТ-отдела по предотвращению угроз.
но, как известно, от всего защититься нельзя..
вот сидим и ждем, когда "бабахнет"
madonov; Ibrogim; AlenaR; Trucker; Анатолий50; +5 Ответить
43. insurgut 187 13.11.14 07:40 Сейчас в теме
(41) CheBurator, ну на самом деле - самое действенное это обращать внимание на расширение файлов. Во всех известных мне случаях это были документы вида Важный.doc.js (последнее расширение по умолчанию скрыто). А в остальном вы правы - статья не поможет людям, которые не задумываются о том, что может прийти им по почте и с криками "пнх все" открывают все подряд. Только никакая IT-инфраструктура 100% не защитит в этом случае.
Можно конечно каждому пользователю выделить по персональному серверу, развернуть его работу на виртуальных машинах. Ежечасно делать снимки виртуальных машин. Но это мягко говоря - дороговато.
71. BlackCors 4 19.02.15 09:33 Сейчас в теме
(43) например, в почте gmail.com запрещена пересылка исполняемых файлов, даже в архиве. насчет скриптов точно не помню. Так что иногда все гораздо проще.
72. insurgut 187 19.02.15 11:02 Сейчас в теме
(71) BlackCors, только исполняемые файлы. Скрипты соответственно пропускает спокойно.
107. Ibrogim 1126 04.08.16 07:34 Сейчас в теме
(41) CheBurator,
совет "не открывать от незнакомых людей/адресов" - канает только там, если вы не работаете в конторе где куча персонла и куча внешних связей.

Как известно адинэсный шифровальщик рассылает письма контрагентам из базы, такчто писмо может прийти и с вполне знакомого ящика
42. genx_350 13.11.14 01:39 Сейчас в теме
Есть мнение что на сервере, где стоит 1С сервер не должно быть даже интернета, т.к.SQL не любит наличие антивирусов. Не знаю на сколько правда подскажите? А вообще для хождения по сомнительным сайтам и открытия странных файлов можно завести виртуальную машину и открывать всё на ней, а уж потом, если что открывать на рабочем компьютере.
44. insurgut 187 13.11.14 07:45 Сейчас в теме
(42) genx_350, в идеале так, достаточно поднять в сети сервер обновлений, чтобы сервер 1С получал их без подключения к интернету. Но в обычной жизни люди хотят подключаться напрямую к серверу из дома (если рассматривать мелкие организации). Потом руководитель спросит "почему это я не могу сделать то или то", в результате у него появляются права администратора. Это один из сценариев.
45. insurgut 187 13.11.14 07:47 Сейчас в теме
Вот еще один вариант "письма счастья":

Ваши документы, фото, базы данных, а также другие важные файлы были зашифрованы с использованием криптостойкого алгоритма RSA-1024.

1. Проведем паралель работы шифровальщика на примере материального предмета (=Вашего файла)
- Вирус берет Ваш чемодан с документами.
- Используя Ваш ключ выполняет его шифрование
- Вирус перетирает содержимое в пыль, фактически затирая и перезаписывая каждый байт данных при помощи уникального ключа
- Вы сможете из пыли собрать чемодан с документами? Нет.
- Восстановить данные можно только имея специальный ключ, который содержится у нас в базе.

2.1. Каждый компьютер/пользователь имеет свой уникальный ключ (KEY.PRIVATE) и дополнительный файл-идентификатор (UNIQUE.PRIVATE)
2.2. Для восстановления всех Ваших данных нужны только эти два файла. Ваши файлы могут быть восстановлены только Вашим ключем.
2.3. Ваш случай - ассиметричное шифрование RSA-1024, используется в военной сфере. Подобрать/взломать его невозможно.
При шифровании, в разные места компьютера был скопирован 'KEY.PRIVATE' и специальный ID-файл 'UNIQUE.PRIVATE'. Не удалите их

3.1. У Вас есть 2 варианта:
- если данные важны - делаете запрос на дешифрование. Вполне разумное решение
- если данные не важны - форматируете диск
Не стоит ждать появления универсального дешифратора от антивирусных лабораторий.
3.2. Ваши ресурсы, необходимые для быстрого решения вопроса:
- KEY.PRIVATE
- UNIQUE.PRIVATE
- Несколько зашифрованных файлов с расширением .paycrypt@gmail_com для примера
3.3. Без вышеперечисленных составляющих восстановление не представляется возможным.

4.1. Инструкция и гарантии:
- С нами связь держать можно только по электронной почте paycrypt@gmail.com
- Мы демонстрируем, что Ваши файлы подлежат восстановлению. Каким образом?
Вы отправляете пару зашифрованных файлов с расширением paycrypt@gmail_com нам на почту, вместе с KEY.PRIVATE и UNIQUE.PRIVATE
В ответ, Вы получите два тестовых расшифрованных файла и инструкцию к дальнейшим действиям.
Тестовое дешифрование предоставляет Вам гарантию того, что файлы могут быть восстановлены.

- Вы получаете гарантии людей, кто уже работал с нами и восстановили данные.
В нашем Твиттер аккаунте мы выборочно публикуем e-mail покупателей.

4.2. При подаче нам запроса, для определения стоимости и предоставления гарантий, необходимо отправить нам следующее:
- вложение к письму без архива: KEY.PRIVATE
- вложение к письму без архива: UNIQUE.PRIVATE
- тестовый зашифрованный файл с расширением .paycrypt@gmail_com не более 3МБ
- по желанию 2-й тестовый зашифрованный файл с расширением .paycrypt@gmail_com не более 3МБ.
Более 2-х файлов не отправляйте. Для демонстрации дешифрования этого достаточно.

4.3. ВАЖНО. Вы должны подать системе запрос с KEY.PRIVATE и UNIQUE.PRIVATE в течение суток от даты ключа - для регистрации на будущее дешифрование. Дата ключа - 30.10
Вам не обязательно сразу оплачивать. Однако если Вы не зарегистрируетесь в течение суток, система имеет основание для повышения стоимости.

4.4. Тестовое дешифрование разрешено ТОЛЬКО следующих типов файлов: (JPG, JPEG, PDF, DOC, DOCX) и НЕ БОЛЕЕ 3 мегабайт за файл.
4.5. Если Ваша стоимость будет более 500 USD, мы дополнительно предоставим Вам гарантии восстановления других форматов (XLS, ZIP, CDR, DWG).
4.6. ВАЖНО. XLS, базы 1C и пр важные документы по понятным причинам не дешифруются для демонстрации.
После оплаты дешифратора они будут полностью восстановлены, как и остальные файлы.
4.7. АВТООТВЕТЧИК: paycrypt@gmail.com


5.1. Внимательно читайте инстукцию, которую Вы получите вместе с дешифратором.
5.2. После дешифрования все оригинальные имена файлов восстанавливаются
5.3. Во время работы Вы получите дополнительные инструкции.


6. FAQ (Вопрос-Ответ)

[-] Где найти KEY.PRIVATE и UNIQUE.PRIVATE
= При начале работы ПО, KEY.PRIVATE копируется в несколько мест, дабы Вы его не удалили случайно
= Без файла KEY.PRIVATE дешифровка невозможна. Он может находится по след. путям: Корни дисков, папка APPDATA, папка TEMP
= Программа дешифровщик будет идти вместе с ключем и детальной инструкцией

[-] Я не могу найти KEY.RPIVATE и UNIQUE.PRIVATE.
= Возможно это сетевой диск, поищите в папке APPDATA и TEMP или на компьютерах других пользователей, если такие есть.

[-] А если мне нужно только 1 файл дешифровать? А у меня 20 тысяч ненужных?
= К сожалению, у Вас есть выбор дешифровать все или ничего.

[-] ОЧЕНЬ ВСЕ СЛОЖНО КАК-ТО, я ничего не понимаю что происходит
= Процедура восстановления очень проста.
1. Ваши файлы зашифрованы. Отправьте нам письмо с KEY и UNIQUE в течение суток.
2. Нашли KEY.PRIVATE и UNIQUE.KEY на своем ПК, взяли пару зашифрованных файлов - отправили на почту paycrypt@gmail.com
3. Через некоторое время получаете ответ с гарантиями, инструкцией и стоимостью. Посетите наш Twitter. Посмотрите, что все получают ключи
4. После оплаты получаете ключ дешифрования, ПО и инструкцию по дешифрованию.

7. ГАРАНТИИ: http://twitter.com/keybtc
8. ПОЧТА: paycrypt@gmail.com

Время блокировки: 30.10 14:53
Регистрацию необходимо пройти до завтра.
Показать
46. EmpireSer 13.11.14 12:47 Сейчас в теме
(45)
Письмо весёлое :-)

Кстати, я не видел пока вирусов/шифровальщиков, которые могли изменять профили безопасности у файлов.
Я к критическим файлам как раз меняю профили: удаляю наследованные, добавляю разрешение к группе "Все" с пометками только чтения и исполнения (т.е. файл удалить нельзя, записывать нельзя, читать разрешения нельзя, смена разрешений и владельца - нельзя), и меняю владельца на "кого-то" (например на систему).

Вернуть возможность изменения файла можно только в несколько муторных этапов, но только если будут права администратора (удаление разрешений тоже идут под правами администратора).

Когда у нас в конторе делали механизмы шифрования для своего ПО (на Delphi), то я как-то залез в мануалы Microsoft по этому вопросу... после двух дней головной боли я плюнул на это.
Может поэтому мне не попадались вирусы/скрипты которые могут изменять настройки безопасности для файлов :-)))
AllexSoft; bandru; +2 Ответить
47. insurgut 187 13.11.14 18:29 Сейчас в теме
(46) EmpireSer, я таким образом флешку рабочую защитил :) Но для обычных пользователей это, увы, дремучий лес. :(
48. EmpireSer 14.11.14 01:25 Сейчас в теме
(47)
А я даже не представляю как другие программисты/администраторы разговаривают с этими "дремучими" пользователями...

Ведь в реальности хватит одного часа, что бы написать "топорный" шифровальщик (если не меньше). И ни какой антивирус его не распознает.
А вот если использовать ещё дополнительную систему шифрования исполняемого файла и разными алгоритмами - то вообще можно "кучу бабла наварить" :-)))

P.S. Что бы написать вирус получше следует почитать про Metasploit (Секреты Metasploit) и его прекрасный модуль Meterpreter

(1) Gureev, (36) prolog,
Не согласен. Я считаю, что пользователи не должны быть хуже "баранов" работая за компьютером. В реальном мире даже от разукрашенного и красивого волка баран убежит и не будет любоваться и ласкаться к нему :-) Большинство же компьютерных пользователей поступают как раз наоборот... им только напиши красивые фразы и покажи интересные картинки - они и откроют что тебе нужно, и скачают с "левого ресурса"... они даже и антивирус отключить могут...
52. nipil 14.11.14 22:42 Сейчас в теме
Столкнулся с такой заразой. Победил "...восстановить предыдущую версию" (для общих папок).
Заражение прошло от секретаря. У нее есть доступ "на запись" ко многим общедоступным папкам.
Заранее было настроено "сохранение предыдущих версий файлов" для общих папок.
После инцидента пересмотрел права пользователей на запись данных. Разделил на большее количество групп доступа.
55. EmpireSer 17.11.14 10:15 Сейчас в теме
(52) nipil,
В твоём случаи есть администрирование и ресурсы на хранение версий файлов. Видимо у других с этим гораздо хуже.
53. Afandi 15.11.14 20:45 Сейчас в теме
У товарища буквально позавчера зашифровывали базу 1с... За дешифровку попросили 15тыс. рублей.
54. EmpireSer 17.11.14 09:53 Сейчас в теме
Думаю я нашёл несколько способов оградить файловые базы 1С от таких вирусов используя механизмы NTFS.
Но написать статью (а я их не писал ни разу) очень тяжело :-( Особенно с примерами...

P.S. Точнее саму файловую базу - только один способ, а вот выгрузки - несколько можно применить.
56. AllexSoft 17.11.14 10:40 Сейчас в теме
Интересно, можно ли жестко сопоставить расширения файлов с конкретными программами? ну например .doc, .xls сопоставить с офисными приложениями, 1cd, .dt сопоставить с 1С.. именно по доступу, чтобы другое приложение не могло получить доступ к файлам с таким расширением. Что такое возможно написать - 100%, а вот есть ли готовое ? для подобных шифровальщиков причем любых это бы стало отличной защитой. Может кто возьмется написать?
57. EmpireSer 17.11.14 14:14 Сейчас в теме
(56) AllexSoft,
Жёстко нельзя. Такое написать... кхе... это уровень антивируса, т.к. только перехватывая обращения к файлам на уровне ядра ОС можно заблокировать кому-то доступ. Это очень сложный путь, но единственный надёжный.
58. AllexSoft 17.11.14 14:27 Сейчас в теме
(57) EmpireSer, я в свое время такое писал в ring0 уровне ядра.. в принципе ничего сложного там нет, я бы и сейчас взялся если бы не 1С
61. EmpireSer 18.11.14 19:30 Сейчас в теме
(58) AllexSoft,
Я С++ не знаю, а на Delphi писать мне показалось муторно. Ну C#, Java и т.п. тут тихо курят в сторонке.

Если возьмёшься за такое дело, то получится ещё и реализовать другой "финт", который можно использовать что бы спрятать настройки 1С и базы :-)
62. AllexSoft 19.11.14 10:18 Сейчас в теме
(61) EmpireSer, времени нет к сожалению, да и уже сколько лет ничем кроме 1С не занимался, уже мозг в сторону бд повернут, системное программирование забывается ( так что это так, предложение может кто осилит.. или может кто знает уже существующее
59. wildskiff 17.11.14 15:02 Сейчас в теме
Если шифровальщики лезут по почте, то как вариант можно, почтовый клиент запускать от другого пользователя, у которого прав ноль. Если почту открывают, через браузер, то и браузер можно запускать с такими же правами. Если вложение сначала сохраняется, а потом запускается из проводника - тут уже клинический случай, раз пользователь не видит, что он запускает. А выгрузки файловых баз 1с должны хранится с доступом для одного администратора. И еще не стоит подключать файловые ресурсы сети как сетевые диски, если это не требуется каким либо софтом. Лучше вместо них использовать ярлыки.
60. AllexSoft 17.11.14 15:07 Сейчас в теме
(59) wildskiff, боюсь что при таком варианте пользователи не смогут работать с нормальными вложениями..
63. DrAku1a 1306 21.11.14 10:03 Сейчас в теме
Всё классно написал автор - одно забыл сказать: ОБЯЗАТЕЛЬНО ВСЕ ВЛОЖЕНИЯ ПРОВЕРЯЙТЕ АНТИВИРУСОМ ПЕРЕД ОТКРЫТИЕМ!!!
Если антивирус по-умолчанию настроен не проверять архив - то если его заставить принудительно проверить файл, то он внутрь архива всё-же залезет. И касперыч и аваст это делать умеют.
А в архив всё это пихают - чтобы не мозолили надписи типа "Файл может быть опасен!!!" если просматриваешь письмо через веб-браузер или скачиваешь вложение хромом, например.
Еще иногда, правда реже - архивы запароливают, а пароль указывают в письме в виде картинки - это уже чтобы антивирусы не смогли архивчик открыть.

ЗЫ: Бородатая шутка, которой лет уже как 15: "Записки сисадмина: Это же каким надо быть идиотом, чтобы получив по почте пустое письмо с одним только файлом f@@king_kill.exe - сразу запускать этот файл на исполнение?!!"
Bukaska; insurgut; +2 Ответить
64. karaw 127 23.11.14 23:45 Сейчас в теме
Чтобы обезопаситься от подобного закидываете в автозагрузку скрипт по созданию Точки восстановления системы при каждом запуске компа (архив с вариантами скриптов для различных ОС прикладываю). Но для того чтобы это работало должна быть включена защита системы в свойстве системы с параметрами восстановления "Восстановить параметры системы и предыдущих файлов". В случае зашифровки данных можно восстановить целую папку на любой из предыдущих дней через свойства папки/предыдущие версии.
Прикрепленные файлы:
Точки восстановления.rar
denisk37; insurgut; +2 Ответить
65. insurgut 187 24.11.14 16:18 Сейчас в теме
(64) karaw, а о принципах работы теневого копирования и предыдущих версий рассказать можете? Много ли место съедает? Что попадает в теневые копии?
88. dimajak 21.01.16 23:00 Сейчас в теме
(64) karaw, ваша точка восстановления системных файлов никак не спасёт от шифрования юзерских файлов.
Видел зашифрованный комп - зашифрованы все документы MS Office, документы OpenOffice не затронуты, зашифрованы все доступные базы 1С и прочее.
67. InWith 21 25.11.14 10:05 Сейчас в теме
было такое, к сожалению помог только откат данных (бэкапы с восстановления системы) ОС и файлов, с пере установкой ОС.
68. gigagr 03.12.14 17:56 Сейчас в теме
Спасибо за статью. Предупрежден - значит вооружен! У нас такой был на одной пользовательской машине, зашифровал доки. А вот что 1С базы шифрует узнала от Вас, за что и респект...
69. sv-bambr 15.01.15 12:17 Сейчас в теме
Как по мне, так лучшая защита - это ограничение интернета пользователям через прокси. Ну, и как правильно сказали, пользователи должны быть Пользователями, максимум Опытными...
70. Bukaska 131 15.01.15 15:07 Сейчас в теме
Уважаемые форумчане, один из новых вариантов шифровальщика, распространяемого через емейлы, это варианты письма: Ура! Вы попали на бабки!
будьте пожалуйста более осторожными при открытии подобных писем!
73. aferrer 47 27.04.15 22:05 Сейчас в теме
Кстати, очень часто шифровальщиков присылают к концу кваратала или перед сдачей деклараций в налоговую. Пишут в теме "Акт сверки" или "Договор поставки" или "Уведомление из налоговой инспекции". На многих бухгалтеров эти фразы магически действуют и они смело открывают запакованные в архив скрипты. Нам как-то присылали со взломанной почты одной компании такие письма, благо мы сразу заподозрили неладное.
74. Bukaska 131 28.04.15 10:33 Сейчас в теме
(73) aferrer, если начинают кормить ссылками.. сразу ясно.. что-то тут не так...
75. StBender 28.04.15 10:56 Сейчас в теме
В некоторых почтовых клиентах (на вскидку the bat) есть список запрещенных расширений для открытия. Настройте и будет вам счастье.
89. dimajak 21.01.16 23:02 Сейчас в теме
(75) StBender, В таких письмах часто дают ссылки на файлы, так что ваш метод бесполезен.
76. wermah 28.04.15 10:57 Сейчас в теме
Как выташить зашифровонные файлы:
Если у вас виндовс xp можно воспользоваться по типа Recuva так как некоторые шифровальшики удаляют файлы, а шифруют копию
Был случай когда эта прога помогла восстановить все зашифрованные файлы
Если у вас виндовс 7 и выше(и включено теневое копирование - я покрайней мере всегда включаю его) то ПО ShadowExplorer восстанавливает файлы без проблем
Решил поделиться может кому пригодится
77. insurgut 187 28.04.15 11:14 Сейчас в теме
(76) wermah, да, все верно - теневое копирование - единственный пока что действенный вариант, одно только не ясно - как оно работает с файлами (базами 1С) по несколько Гб.
78. RAMZEZzz 28.04.15 16:17 Сейчас в теме
Cobian Backup отлично "тень" копирует, в т.ч. и базы в несколько гиг.
У меня забирает все базы, пакует в 7z с паролем, переименовывает в что-то наподобие "база.СемьЗе", кидает на другой сервак в папку, которая с облаком синхронизируется. ни один шифровальщик (известный) не возьмет...
Slater_7; +1 Ответить
79. insurgut 187 28.04.15 16:55 Сейчас в теме
(78) RAMZEZzz, не будет обычный пользователь настраивать такие схемы, а вот типовое теневое копирование и просмотр предыдущих версий думаю ему по силам :)
81. Зеленоград 20.08.15 19:15 Сейчас в теме
Про Касперского давно ходят слухи, что он давненько пойман на том, что антивирус под какой-то вирь появился раньше, чем сам вирус в других базах. Что намекает на создание заразы этим человеком со сложной судьбой (из кгб выгнали, активы жена забрала, ЕМНИП уйдя к Ашманову, сотрудники сорцы слили, сына похитили).

Так что я бы не стал ЭТО использовать, вдруг неудачи заразны.

А по теме статьи: "Кто не сделал бэкапы, тот и платит".
82. insurgut 187 21.08.15 09:32 Сейчас в теме
Добавил вариант, как предотвратить заражение (шифрование) в доменной сети.
83. gal_75 15.09.15 06:15 Сейчас в теме
Попадался на этот вирус.
Теперь использую такой способ.:
Создаю пользователя например (АдминБекапа)
Создаю папку BeckUp с правами на запись и изменения только для пользователя АдминБекапа, нужно еще обязательно изменить владельца папки на АдминБекапа
Бекап запускаю от пользоваля АдминБекапа , никакой другой пользователь (надеюсь что и вирус ) не сможет изменить эту папку.

и второй способ также убераю все права для всех пользователей на папку с базой 1с
создаю пользователя с правами на эту папку user1c (но под ним в винду заходить и работать нельзя )
запускаю 1с от имени пользователя user1c с помощью команды "runas"
получается что 1с имеет права на паку а пользователь винды нет.

Не знаю сможет ли вирус зашифровать базу, но проверять не хочется :)
Надеюсь что понятно объяснил.

84. mihenius 86 21.01.16 11:27 Сейчас в теме
Если Windows Pro или Ent намного удобнее использовать

Software Restriction Policies

https://www.anti-malware.ru/reviews/Software_Restriction_Policies

И к расширениям, как минимум добавить нужно *.scr
Правда не будут работать заставки ...
85. insurgut 187 21.01.16 12:32 Сейчас в теме
(84) mihenius, тут уже на любителя, кто ручками прописывать привык, кто через специализированное стороннее ПО.

P.S. Кстати Касперский выпустил Free версию. Ее может быть достаточно для большей части компьютеров.
90. insurgut 187 04.02.16 11:31 Сейчас в теме
Вышел Kaspersky Free, который после небольшой настройки успешно прошел боевое крещение :)

P.S. Самое приятное, что лицензионным соглашением не ограничивается использование этой версии на компьютерах организаций!
91. CheBurator 3404 04.02.16 21:15 Сейчас в теме
А то что лежит на доступных шарах в сети и эти шары видны в сетевом окружении локального компа подвергшегося шифрованию - шифровальщики могут шары попортить?
92. insurgut 187 05.02.16 05:37 Сейчас в теме
(91) CheBurator, теоретически - да, могут :)
93. gal_75 06.02.16 04:46 Сейчас в теме
(91) CheBurator, Да у меня копии баз зашифровали, копии делались на другой комп в расшаренную папку
94. tatoil 05.03.16 17:10 Сейчас в теме
В феврале тоже был в почте подобный вирус {Vegclass@aol.com}.xtbl. Понижение прав не помогло, зашифровал на сервере расшаренные папки а также 1с, Не могли бы выслать вашу экземпляр для проверки защиты (свой был удален пользователем) - tatoil1@mail.ru
95. asdasd 10.03.16 15:26 Сейчас в теме
1. Ни один сегментурщик не поймает шифровальщик в первые пару часов распространения.
2. Касперсий - унылое говно, по сравнению с Авастом, который просто делает свое дело и не позиционирует себя как панацею от всего.
3. Забрать локальных админов.
4. Поднять SRP.
С грамотно настроенным SRP про антивирус вообще можно забыть. Какой-нибудь script-safe прикрутить к браузеру и спать спокойно - ни один юродивий сотрудник тебе к утру геморроя не создаст.
96. insurgut 187 10.03.16 19:37 Сейчас в теме
(95) asdasd,
1. Пока оно дойдет до твоего компьютера, в базе антивируса он с 99,9% вероятностью уже будет (при постоянном обновлении)
2. На одном и том же шифровальщике Аваст молчал как рыба и допустил шифрования всех файлов. Касперский - не допустил. В чем унылость его? :)
3. Причем тут административные права, если шифруются файлы пользователя?
4. SRP - дома разворачивать домашним пользователям? Из пушки по воробьям. Проще запретить запуск всех приложений кроме разрешенных.
Оставьте свое сообщение

См. также

Организация резервного копирования файлов с использованием rclone

Статья Системный администратор Нет файла Россия Бесплатно (free) Архивирование (backup)

Описание использования достаточно универсальной утилиты по синхронизации файлов.

21.01.2020    567    malikov_pro    0       

Перенос данных КА 1.1 / УПП 1.3 => БП 3.0 (перенос остатков, документов и справочников из "1С:Комплексная автоматизация 1.1" / УПП 1.3 в "1С:Бухгалтерия 3.0"). Обновлен до версий КА 1.1.115.х, УПП 1.3.130.х! Промо

Разработка позволяет перенести остатки по всем счетам бух.учета в программу "1С:Бухгалтерия предприятия 8", ред. 3.0 на выбранную дату начала ведения учета. Также переносятся документы за период и вся необходимая справочная информация. Правила оперативно обновляю при выходе новых релизов. Рассылка обновлений правил бесплатно в течение 12 месяцев. Есть видеодемонстрация проведения переноса данных. Конфигурации при использовании обмена остаются полностью типовыми. Перенос данных возможен в Бухгалтерию 3.0 версии ПРОФ, КОРП или базовую.

24700 руб.

Самые распространенные заблуждения об индексах в мире 1С

Статья Системный администратор Программист Нет файла Бесплатно (free) Администрирование данных 1С Администрирование СУБД

"Магия" индексов привела к множеству заблуждений об их работе. Попробуем развеять некоторые из них в контексте 1С.

28.11.2019    11218    YPermitin    44       

Сдача регламентированной отчетности из программ 1С Промо

Сдача регламентированной отчетности из программ "1С" во все контролирующие органы без выгрузок и загрузок в другие программы. Для групп компаний действуют специальные предложения.

от 1500 руб.

Установка 1С Сервера взаимодействия на Linux

Статья Системный администратор Нет файла Россия Linux Бесплатно (free) Администрирование данных 1С

В статье описан пошаговый процесс установки Сервера взаимодействия 1C на Linux CentOS 7.6.

06.09.2019    3998    KlSergey    14       

1С + PostgreSQL + SSD: Куда уходит ресурс хост-записей?

Статья Системный администратор Нет файла Россия Windows Бесплатно (free) Администрирование данных 1С

Работа PostgreSQL на SSD начиная с 10 версии, резко увеличивает нагрузку на ресурс SSD, даже когда к базе нет коннектов.

06.09.2019    5362    2tvad    6       

Базовый курс для начинающих 1С-программистов. Пятый поток. Онлайн-курс с 12 февраля по 15 апреля 2020 г. Промо

Данный онлайн-курс является начальной ступенью по изучению базовых принципов программирования в системе “1С:Предприятие” и предназначен для обучения 1С-программированию “с нуля”.

4500/9500 рублей

О Unit-тестах замолвите слово.Часть 1

Статья Программист Нет файла Бесплатно (free) Тестирование и исправление

Последнее время в контексте 1С очень много говорят о функциональном тестировании, BDD. А Unit-тестирование обходят стороной. Попробуем разобраться, для чего Unit-тестирование применять стоит.

22.07.2019    3791    Сурикат    27       

Подборка решений для взаимодействия со ФГИС «Меркурий» Промо

С 1 июля 2019 года все компании, участвующие в обороте товаров животного происхождения, должны перейти на электронную ветеринарную сертификацию (ЭВС) через ФГИС «Меркурий». Инфостарт предлагает подборку программ, связанных с этим изменением.

Обновление PostgreSQL на Windows

Статья Системный администратор Нет файла Windows Бесплатно (free) Администрирование данных 1С

Указана последовательность действий при обновлении PostgreSQL на примере Windows. Также описаны некоторые особенности.

11.06.2019    7943    extalionos    4       

Онлайн-курс "Подготовка к экзамену 1С:Эксперт и 1С:Профессионал по технологическим вопросам" с 7 по 24 апреля 2020 г. Промо

На курсе вы получите практические навыки решения задач производительности 1С, в том числе характерных для высоконагруженных информационных систем (более 1000 пользователей). Подготовка к экзамену – только одна из составляющих курса. 70% слушателей приходят за знаниями, которые позволят расти и зарабатывать, делать сложные задачи на крупных проектах.

16450 рублей

Регулярная перезагрузка Сервера 1С с чисткой кэша

Статья Системный администратор Нет файла Windows Бесплатно (free) Администрирование данных 1С Стартеры 1С

Батник для перезагрузки агента сервера 1С и чистки серверного кэша и сеансовых данных. Для регулярной перезагрузки вставляем в планировщик заданий Windows.

17.05.2019    7346    alfir70    19       

Способы проверки доступности TCP-портов

Статья Системный администратор Нет файла Windows Бесплатно (free) Администрирование данных 1С

Как проверить доступен ли порт сервера? Или внешний веб-сервис? Приведены несколько способов для использования на Windows-системах.

12.05.2019    12694    -vito-    9       

INFOSTART MEETUP Krasnodar. 14 февраля 2020 г. Промо

Краснодар станет первым в 2020 году местом, где пройдет региональная встреча IT-специалистов сообщества Инфостарт. Тема мероприятия - управление и технологии автоматизации учета на платформе "1С: Предприятие". Стоимость участия - 5000 рублей. Цена действительна до 26.12.2019.

PID процесса в сборщиках PerfMon

Статья Системный администратор Нет файла Россия Windows Бесплатно (free) Администрирование данных 1С

Одним из неудобств при работе с PerfMon является то, что одноименные процессы именуются по-порядку, с добавлением суффикса #n к имени процесса. Описана настройка, позволяющая устранить этот недостаток.

06.04.2019    3183    -vito-    9       

Введение в лицензирование ПО Microsoft

Статья Системный администратор Пользователь Нет файла Россия Бесплатно (free) Администрирование данных 1С

Поговорим о принципах лицензирования программных продуктов Microsoft.

19.03.2019    12701    accounting_cons    37       

Управление ИТ-проектами. Модуль 2: продвинутый онлайн-курс по классическим методам управления проектами. Вебинары проходят с 12 марта по 11 июня 2020 года. Промо

Продвинутый онлайн-курс по классическому управлению ИТ-проектами позволит слушателям освоить инструменты из PMBoK® и 1С:Технологии корпоративного внедрения и научиться их применять для проектов любого масштаба. Курс включает в себя 12 вебинаров и 12 видеолекции, разбор кейсов и рекомендации экспертов по проектам слушателей. Ведущая курса - Мария Темчина.

от 13000 рублей

Готовые переносы данных из различных конфигураций 1C Промо

Рекомендуем готовые решения для переноса данных из различных конфигураций 1C. C техподдержкой от разработчиков и гарантией от Инфостарт.

Собираем бюджетный игровой компьютер core i7 для Программиста 1С из всякого хлама за 20 тысяч рублей

Статья Системный администратор Программист Нет файла Бесплатно (free) Администрирование данных 1С

В продолжение статьи со сборкой бюджетного сервера так же решил написать про свой комп. С бюджетом 20 тыс. рублей.

29.01.2019    8350    ogidni    126       

Программы для исполнения 54-ФЗ Промо

С 01.02.2017 контрольно-кассовая техника должна отправлять электронные версии чеков оператору фискальных данных - правила установлены в 54-ФЗ ст.2 п.2. Инфостарт предлагает подборку программ, связанных с применением 54-ФЗ, ККТ и электронных чеков.

Собираем бюджетный б/у сервер 1С:Предприятия 8.3 на 250+ Пользователей за 100 тыс. рублей

Статья Системный администратор Нет файла Бесплатно (free) Администрирование данных 1С

В последнее время в виду дорогого доллара, санкций и прочих проблем покупка нового сервера за 500 и более тысяч рублей стала недостижимой роскошью.  Ввиду этого попытаемся собрать его из б/у сервера на Авито.

24.01.2019    14580    ogidni    137       

Установка Windows без загрузочной флэшки и загрузочного DVD-диска

Статья Системный администратор Нет файла Windows Бесплатно (free) Администрирование данных 1С

Что делать, если нужно установить Windows на ПЭВМ со старой системной платой, а под рукой нет dvd-привода, а с флэшки загрузка невозможна или идет очень медленно.

09.01.2019    5074    independ    5       

Базовый курс по управлению ИТ-проектами. Курс проходит с 26 февраля по 22 апреля 2020 года. Промо

Отличительная черта курса - органичное сочетание трех вещей: 1.Теория проектного управления (PMI®+Agile Alliance+Российские ГОСТ+Методологии от 1С); 2. Опыт внедрения продуктов 1С (опыт франчайзи и успешных компаний + тренды Infostart Event и Agile Days); 3. Разбор реальных проблем и рекомендации экспертов по проектам слушателей. Мы будем фиксироваться на тех инструментах, которые реально оказываются полезными в практике руководителей проектов внедрения. Ведущая курса - Мария Темчина.

от 11000 рублей

Семь рекомендуемых бесплатных курсов Microsoft для ИТ-администраторов

Статья Системный администратор Нет файла Бесплатно (free) Администрирование данных 1С

Образовательный портал «Нетология» предлагает вам пройти семь онлайн-курсов по облачным сервисам Microsoft бесплатно и получить сертификат об их завершении. Все курсы основаны на самых популярных сценариях использования облачных технологий в компаниях малого и среднего бизнеса. Разберемся, что же эти учебные программы предлагают.

28.12.2018    12198    VKuser24342747    1       

Ректальное администрирование: Основы для практикующих системных АДминистраторов

Статья Системный администратор Нет файла Бесплатно (free) Администрирование данных 1С

Одной из самых популярных и зарекомендовавших себя методологий системного администрирования является так называемое ректальное. Редкий случай сопровождения и обслуживания информационных систем, инфраструктуры организации обходится без его использования. Зачастую без знания данной методологии сисадминам даже бывает сложно найти работу в сфере ИТ, потому что работодатели, особенно всякие аутсорсинговые ИТ фирмы, в основном отдают предпочтение классическим, зарекомендовавшим себя методикам, а не новомодным заграничным веяниям: практикам ITIL, нормальным ITSM и прочей ерунде.

22.12.2018    12611    Jokemas    25       

Подборка программ для взаимодействия с ЕГАИС Промо

ЕГАИС (Единая государственная автоматизированная информационная система) - автоматизированная система, предназначенная для государственного контроля за объёмом производства и оборота этилового спирта, алкогольной и спиртосодержащей продукции. Инфостарт рекомендует подборку проверенных решений для взаимодействия с системой.

Исследование использования СУБД (MS SQL, PostgreSQL, Oracle, IBM DB2) с отраслевыми конфигурациями на платформе 1С:Предприятие

Исследование no Нет файла Россия Бесплатно (free) Администрирование данных 1С

Инфостарт подводит предварительные итоги третьего опроса по системам управления БД, которые используют участники Сообщества для автоматизации на платформе 1С, и анализирует тенденции рынка.

20.12.2018    7964    Kochergov    13       

1С Батл: PostgreSQL 9,10 vs MS SQL 2016

Статья Системный администратор Программист Нет файла Бесплатно (free) Администрирование данных 1С

PostgreSQL не так давно появился на российском рынке, поэтому у многих специалистов появляются сомнения, насколько удобно с ним работать, учитывая специфику 1С. Антон Дорошкевич, руководитель IT-отдела и направления оптимизации 1С компании «ИнфоСофт» (г. Новосибирск), рассказал о своем опыте применения этой СУБД. Тема его доклада звучала провокационно: «1С-батл между MS SQL 2016 и PostgreSQL версии 9 и версии 10».

18.12.2018    40629    a.doroshkevich    153       

1C:Предприятие для программистов: Запросы и отчеты. Второй поток. Онлайн-интенсив с 17 марта по 16 апреля 2020 г. Промо

Данный онлайн-курс предусматривает углубленное изучение языка запросов и возможностей системы компоновки данных, которые понадобятся при разработке отчетов, работающих на платформе “1С:Предприятие” в рамках различных прикладных решений. Курс предназначен для тех, кто уже имеет определенные навыки конфигурирования и программирования в системе “1С:Предприятие”, а также для опытных пользователей различных прикладных решений, которые используют в своей работе отчеты разного назначения.

6500 рублей

Как включить RemoteApp на Windows 10 Professional. Инструкция

Статья Системный администратор Программист Нет файла Бесплатно (free) Администрирование данных 1С

Всем наверно знакомо, что Professional выпуск Windows позволяет использовать режим удаленного рабочего стола. Но мало кому известно, что есть возможность настроить и режим «RemoteApp» знакомый нам по серверным продуктам. То есть клиенту будет доставляться не весь рабочий стол, а лишь приложение, например, 1С.

16.12.2018    21269    Aleksey81    30       

Как в RDP избавиться от языковой раскладки и оставить только выбор языка

Статья Системный администратор Нет файла Windows Бесплатно (free) Администрирование данных 1С

До чего же бывает трудно, когда в терминальной сессии работает выбор как языка ввода, так и языковой раскладки. Раздражает ведь??? Решение есть, и весьма простое!

14.12.2018    10560    Aleksey81    42