Злоумышленник зашифровал базы 1С и другие файлы

08.11.14

Администрирование - Информационная безопасность

Звонит пользователь, на экране сообщение ваши данные зашифрованы, введите пароль, пишите письма и т.д.

Скачать файл

ВНИМАНИЕ: Файлы из Базы знаний - это исходный код разработки. Это примеры решения задач, шаблоны, заготовки, "строительные материалы" для учетной системы. Файлы ориентированы на специалистов 1С, которые могут разобраться в коде и оптимизировать программу для запуска в базе данных. Гарантии работоспособности нет. Возврата нет. Технической поддержки нет.

Наименование		По подписке [?]	Купить один файл
Coder .rar 106,68Kb ver:1.0 44	44	Скачать (1 SM)	Купить за 1 850 руб.

Текст письма злоумышленника:

ВНИМАНИЕ!!!
ВАШИ ФАЙЛЫ ЗАШИФРОВАНЫ, И ЭТО ФАКТ. КОЛ-ВО ПОПЫТОК ВВОДА ПАРОЛЯ -10, ПОСЛЕ ЭТОГО ВОССТАНОВЛЕНИЕ ФАЙЛОВ
БУДЕТ НЕВОЗМОЖНО.

НЕ РЕКОМЕНДУЕТСЯ:
- ПРОВЕРЯТЬ КОМП АНТИВИРУСОМ;
- ПЕРЕУСТАНАВЛИВАТЬ ВИНДОВС;
- ПЫТАТЬСЯ ВОССТАНОВИТЬ ДАННЫЕ САМОСТОЯТЕЛЬНО.

ВСЕ ЭТИ ДЕЙСТВИЯ - БЕСПОЛЕЗНАЯ ТРАТА ВАШЕГО ВРЕМЕНИ И УСИЛИЙ, А ТАКЖЕ РЕАЛЬНЫЙ РИСК ПОТЕРЯТЬ ВСЮ ИНФОРМАЦИЮ НАВСЕГДА. НЕ УСЛОЖНЯЙТЕ СВОЕ ПОЛОЖЕНИЕ, ЛУЧШЕ ПИШИТЕ НА:
ufsupport@meta.ua

И ВСЕ БУДЕТ ХОРОШО. ДО СКОРОГО.

Вобщем дело было так.
Звонит пользователь, так мол и так, сообщение (введите пароль) на экране (пользователи по терминалке с ограниченными правами). Как я понял проникновение было подбором пароля (после недавней переустановки ПО не успели поработать по безопасности). На счастье нашел незакодированный архив (старый) в котором содержались некоторые файлы, которые повторялись в каталоге с базами данных в закодированном виде. Имменно благодаря сравнению удалось выяснить способ кодировки.
Кодировка начинается с 29 байта включительно (что бы осталась шапка файла, что бы файлы определялись по содержимому) и заканчивается на 1786639 включительно. Кодировка происходит переворачиванием (NOT) некоторых битов в байте (обычно один бит в старшей группе (биты 7-4) и один в младшей (биты 3-0)) в зависимости от того на каком месте они (байты) стоят (различаются 16 мест), т.е. через 16 байт способ кодировки повторяется.
Для начала я решил составить таблицу перекодировки, т.е., допустим, A5 соответствует B3 в первой позиции и т.д.:

позиции
1 | 2 | 3 | .... | 16 |

00-F0 | 00-E8 | 00-23 |
...
A5-B3 | A5-C7 | A5-9F |
A6-B2 | A6-C8 | A6-9E |
...

Т.о. получался массив из 16 позиций в каждой по 256 элементов соответствий (2 байта) или 3-мерный массив (16,256,2). Этот массив я заполнил из имеющихся пар файлов (оригинал-закодированный), мне повезло после того как я обработал пару десятков таких пар файлов весь массив у меня заполнился. Вначале я еще не знал по каким правилам можно заполнить соответствия, после заполнения видна явная закономерность (см.выше), хот она мне и не понадобилась, возможно, поможет кому то если файлов пар окажется недостаточно.
Имея на руках таблицу я принялся раскодировать (благо правила совпадали для всех файлов).
Когда начинал писать думал или Delphi или FoxPro, но т.к. я владел только DOS-овскими аналогами (TP 7 и FoxPro 2.0/2.6 которые не подходили - длинные имена русские буквы) быстрее оказалось написать на 1С v7 используя ВК binfiles (что конечно отразилось на скорости раскодировки, но все равно хорошо :) ). Написал 2 обработки: одна собирает таблицу перекодировки из пар файлов (находящихся в одном каталоге), другая раскодирует все файлы в каталоге по предварительно собранной таблице перекодировки. Для тех у кого отсутствуют пары файлов может подойдет и моя таблица перекодировки (если злоумышленник использует один способ).

Предлагаю ИБ 7.7 с обработками

ИБ - для хранения таблицы перекодировки, которая состоит из 2-ух справочников: "Матрица" (16 элементов-позиций) и подчиненный ему "Коды" (максимум по 256 элементов при полной таблице перекодировки) реквизит Код - байт оригинал, реквизит Наименование - кодированный байт (в виде 2-ух символьной строки - HEX-представлении байта). В справочнике Матрица есть реквизит Кол - количество подчиненных элементов (будет расти по мере заполнения таблицы перекодировки), в данной ИБ таблица перекодировки уже заполнена, поэтому для заполнения ее вашими файлами справочник Матрица предварительно очистите, если нет пар файлов попробуйте использовать заполненную таблицу перекодировки (вдруг повезет)

ЗаполнениеМатрицы.ert - заполняет таблицу перекодировки (в указанном каталоге должны содержаться пары файлов *.* - *.*.FKLOCK не кодированные - кодированные, обратите внимание размер должен совпадать). Так же убедитесь что содержимое пар файлов отличается после 28 байта.

ПроверкаСовпаденияКодов.ert - проверяет совпадают ли значения Код и Наименование справочника Коды. Совпадать не должны, если совпадают значит в качестве пар файлов вы положили одинаковые файлы по содержанию (например оба закодированы). Проверка выполняется до расшифровки (иначе расшифровка бессмысленна), если проверка нашла совпадения - Ваша таблица перекодировки неправильная, можете удалить и начать заполнение заново, предварительно выявив и удалив предательскую (совпадающую) пару файлов.

Расшифровка.ert - расшифровывает по заполненной таблице перекодировки (в т.ч. частично заполненной, т.к. возможно этого будет достаточно, но нет 100% гарантии), в.т.ч. возможность включить вложенные каталоги. Расшифровка копирует файл *.*.FKLOCK в *.* который и расшифровывает (т.е. FKLOCK файл не затрагивается), если при этом файл *.* уже есть, он переименовывается в *.*_ файл. Т.о. на диске должно быть свободное место для расшифровки от 1-го до 2-ух объемов FKLOCK файлов (закодированныз файлов).

P.S.

Думаю обработки могут подойти и для других расширений (LOCK, CRYPDER и т.д.)

BinFiles включен в архив.

Про права: бесплатно, никаких гарантий, надеюсь за BinFiles меня не засудят :)

FKLOCK ВАШИ ФАЙЛЫ ЗАШИФРОВАНЫ КАК РАСШИФРОВАТЬ ФАЙЛЫ злоумышленник вирус ufsupport@meta.ua

+47 –

См. также

Как уберечь конструкторскую документацию от воровства конкурентами?

Защита ПО и шифрование Программист Платформа 1С v7.7 Платформа 1С v8.3 Абонемент ($m)

Как уберечь конструкторскую документацию от воровства конкурентами? Недавно столкнулся с этой проблемой. Заказчик серьёзно обеспокоен утечкой информации о конструкторских разработках в адрес конкурентов, за счет подкупа исполнителей, занимающихся производством по конструкторской документации, операторов технологического оборудования и обрабатывающих центров по изготовлению деталей и сборочных единиц.

2 стартмани

09.03.2022 6110 3 ge_ni 9

Криптография: внешняя компонента для 1С 7.7

Разработка внешних компонент Защита ПО и шифрование Программист Платформа 1С v7.7 Абонемент ($m)

Цифровые подписи, шифрование, просмотр сертификатов ключей ЭЦП, работа с различными криптопровайдерами (в т.ч. КриптоПРО ГОСТ 2012) в 1С 7.7.

1 стартмани

08.06.2020 9391 28 mdbruyfn 10

1С7 + MD5

Защита ПО и шифрование Программист Платформа 1С v7.7 Оперативный учет 7.7 Конфигурации 1cv7 Абонемент ($m)

Шифрование MD5 появилось в 1991 году (опубликовано в 1992), но и в XXI-м веке в 1С7 функция шифрования так и не появилась...

1 стартмани

11.01.2019 8841 10 vakham 2

Проверка часового пояса

Информационная безопасность Универсальные функции Программист Платформа 1С v7.7 Бесплатно (free)

При использовании терминалок для удаленных баз, иногда при входе в базу данных необходимо исключить возможность входа пользователей с компьютеров с другим часовым поясом. Например, работают в Новосибирской базе с временем UTC +6 и пытаются зайти в базу с UTC +3.

16.05.2016 13083 kudenzov 3

Отчет по правам пользователей для любой конфигурации "1С:Предприятия 7.7"

Информационная безопасность Системный администратор Платформа 1С v7.7 Конфигурации 1cv7 Абонемент ($m)

Инструмент для наглядного анализа и сравнения наборов прав доступа в 1С 7.7 Работает в любых конфигурациях. В одной из обслуживаемых мной баз 40 наборов прав пользователей (120 пользователей). Этим отчетом очень наглядно выходит анализировать разницу в правах и просто описывать права пользователей в документации. Обновлено: - В новой версии отчета добавил сравнение двух разных баз и анализ внешней БД. - объекты метаданных представлены в виде дерева (объект "Дерево-Таблица значений" FormEx)

1 стартмани

11.02.2014 25445 166 Amel2010 15

Пример кодирования строки средствами 1С в BASE64

Защита ПО и шифрование Системный администратор Программист Платформа 1С v7.7 Конфигурации 1cv7 Абонемент ($m)

Вспомнил свою старую обработку. Кодирование строки в base 64. Может пригодится для обмена с сайтами из 1с, где это требуется протоколом.

1 стартмани

02.09.2013 24537 9 _Vovik 2

Проверка прав доступа текущего пользователя. 1с 7.7

Информационная безопасность Системный администратор Платформа 1С v7.7 Конфигурации 1cv7 Украина Абонемент ($m)

Показывает права доступа текущего пользователя в базе 1с 7.7 .

1 стартмани

10.06.2013 21124 51 demon_sw 11

Расширенные права пользователей для Торговля и Склад 7.7 (из режима "Предприятие" с детализацией по всем видам документов, справочников, отчетов и обработок)

Информационная безопасность Системный администратор Программист Оперативный учет 7.7 1С:Торговля и склад 7.7 Абонемент ($m)

Если вы обслуживаете Торговлю и Склад 7.7 и устали менять права на документы и справочники по заданию руководства и список Наборов прав стал просто нечитаемым, то вам сюда.

1 стартмани

05.02.2013 20405 43 malinko.vasiliy 5

Комментарии

Подписаться на ответы Инфостарт бот

Свернуть все

1. Sanario 27 08.11.14 13:23 Сейчас в теме

Ну вот и 1С подстегнули для расшифровки троянов энкодеров. Обработка несомненно хорошая, правда работает только для одного вида трояна. И для других придется искать другой алгоритм. Плюс однозначно.

2. script 128 08.11.14 16:31 Сейчас в теме

Мой клиент месяца 2 назад заплатил таким редиска.

3. Pasha1st 849 08.11.14 17:18 Сейчас в теме

>Кодировка происходит переворачиванием (NOT) некоторых битов в байте
>через 16 байт способ кодировки повторяется
Это означает XOR по строке длиной 16 байт ;)
Типовой вариант кодирования, проверяется в первую очередь. Действительно, для получения маски надо знать оригинал и код, их XOR и даст маску для декодирования.

4. Bukaska 140 08.11.14 19:06 Сейчас в теме

кодируют каждый раз по разному.. не универсальное конечно же.. решение

5. insurgut 208 10.11.14 11:13 Сейчас в теме

Получается, это какой-то старый шифровальщик нацеленный на базы 1С 7.7 версии?

6. PiccaHut001 10.11.14 11:32 Сейчас в теме

(5) insurgut, нет. Подлый шифровальщик шифровал вообще все файлы, а автор написал расшифровщик на 1С 7.7

7. logdog 10.11.14 11:32 Сейчас в теме

Этим 1С как-бы говорит, переходите на 8.3 =)

8. AlX0id 10.11.14 12:12 Сейчас в теме

(7) logdog, а что, 8.3 защищена особым образом от порновирусов? )

10. Bukaska 140 10.11.14 12:58 Сейчас в теме

(8) AlX0id, При чем тут порновирусы и 8.3?
порнобаненеры вообще-то не шифровальщики.. порнобаннер на рабочем столе снять - 5 минут работы, порнобаннер в браузере - ну тут подольше повоюешь - пока разберешься)
Самая неприятность - шифровальщики.. от них не всегда есть ключи расшифровки

11. insurgut 208 10.11.14 13:52 Сейчас в теме

(10) Bukaska, все верно. Если бы вирусы просто напросто удаляли бы все файлы - и то было бы проще, т.к. их можно было бы восстановить соответствующими утилитами. В случае с шифровальщиками - файлы перезаписываются. И спасут только разве бэкапы.

26. AlX0id 11.11.14 00:10 Сейчас в теме

(10) Bukaska,
Проно - это я не про форму вируса, а про источник распространения )
А так - наиболее защищенный метод бекапов - сейвить на десяток разных флешек попеременно и держать их не воткнутыми в системник :)

30. Bukaska 140 11.11.14 10:00 Сейчас в теме

(26) AlX0id, И это тоже..)
(27) Region102,
Насчет RSA Пример и ещё пример
особенно первая ссылка с подробным описанием)

32. Sanario 27 11.11.14 10:19 Сейчас в теме

(30) Bukaska, киньте ссылки целиком - не переходит по ним почему-то. Редирект не делается

33. Bukaska 140 11.11.14 10:32 Сейчас в теме

(32) Sanario,
http://securelist.ru/blog/issledovaniya/24070/shifrovalshhik-cryakl-ili-fantomas-razbushevalsya/

http://blog.kaspersky.ru/cryptolocker-cryakl-fantomas/5837/

9. artfa 58 10.11.14 12:21 Сейчас в теме

с 8.3 такая же байда

12. -fox- 10.11.14 13:57 Сейчас в теме

1с пошла на крайние меры что бы избавиться от поддержки 7.7.

13. insurgut 208 10.11.14 14:03 Сейчас в теме

(12) -fox-, это вряд ли :) Потому что *.1CD файлы шифровальщики тоже любят. А это говорит об ориентированности хакеров именно на российский рынок. Потому что у нас никто их не наказывает.

14. Sanario 27 10.11.14 14:06 Сейчас в теме

(13) insurgut, вариант перехода только на скуль? :) С файлом базы без расширения (когда я с подобным столкнулся - были шифрованы файлы только с расширением)

15. insurgut 208 10.11.14 14:11 Сейчас в теме

(14) Sanario, да, клиент-серверный вариант пока что спасает от этой проблемы, потому что доступа к файлам баз SQL вирус не получит, даже если они в зоне его видимости. И все же, ничто не стоит хакерам и эту проблему решить - останавливать сервис SQL и шифровать базы.

Но чтобы на сервере запустить исполняемый код шифровальщика... не знаю кем надо быть. Хотя - видел настраивают доступ для пользователей по RDP и дают им права администратора. Тут все от компетентности администратора зависит. Ни в коем случае никогда пользователей напрямую пускать на сервер нельзя. Отговорки по типу "у нас только 1 сервер, иначе никак" - для ленивых. Ничто не мешает запустить тот же HyperV и настроить доступ к базе через виртуальную машину.

16. Sanario 27 10.11.14 14:25 Сейчас в теме

(15) insurgut, а там схема простая как 2х2. По крайней мере в моем случае было так - брутом ломанули пароли к администратору (прошлый был не особо умный и ленивый - пароль 123 ему нравился) и после этого уже творили на сервере что хотели. Да еще и порт по умолчанию во внешку висел - 3389 который. Пришлось откупаться, а уж потом я сделал все по уму:

1. Систему пришлось переставить - ибо хз какие могли остаться закладки
2. Система паролей организовал со всеми мерами предосторожности - заглавные, строчные, символы, цифры
3. Авторизация по другому порту
4. Правильно устроил доступы и роли на сервере
5. Ограничил число попыток авторизации по времени и количеству.

Пользователи попыхтели но от безалаберности потихоньку отвыкают

Ответить

17. insurgut 208 10.11.14 14:29 Сейчас в теме

(16) Sanario, все правильно сделали!

19. Sanario 27 10.11.14 14:37 Сейчас в теме

(17) insurgut, Что-то забыл?

Резервное копирование настраиваю по умолчанию :) Потому и не упомянул

21. insurgut 208 10.11.14 14:46 Сейчас в теме

(19) Sanario, прошу прощения, знак не тот поставил, вместо "!" - "?"

24. -fox- 10.11.14 15:13 Сейчас в теме

(13) insurgut, у 1с есть на это решение, облако!

25. insurgut 208 10.11.14 18:52 Сейчас в теме

(24) -fox-, думаю это не всегда удобное решение. В принципе достаточно отдельной виртуальной машины без доступа к ней обычным пользователям.

18. Bukaska 140 10.11.14 14:35 Сейчас в теме

(12) -fox-, При чем тут 1С???
Последние версии шифровальщиков не жалеют ничего.. ни *CD, ни *dbf, даже архивы и то будут зашифрованы. Так что последние версии не жалеют никакие форматы и шифруют всё что можно..
Не только 1с, но и файлы базы налогоплательщика ЮЛ, и даже файлы от программки ПФР.. так что берегите данные. делайте бекапы в папку, где нет прав на чтение, но есть права на запись, тогда данные целее будут)

20. Sanario 27 10.11.14 14:39 Сейчас в теме

(18) Bukaska, вот про чтение и запись я как то не докумекал... Спасибо за подсказку

22. Tommy82 65 10.11.14 15:07 Сейчас в теме

это сообщение при включении или уже во время сеанса в 1С?

23. -fox- 10.11.14 15:10 Сейчас в теме

У этой ситуации есть и другая сторона медали, мелкие конторы не будут самостоятельно обслуживать ИБ. Появиться больше рабочих мест для квалифицированных специалистов.

27. Region102 11.11.14 05:54 Сейчас в теме

Конечно может кому и поможет, но сейчас ребята с криптовирусами доросли до RSA и расшифровать данные без ключа злоумышленника теперь не получится. Так что учите своих клиентов и друзей "интернет гигиене".

28. webester 26 11.11.14 07:18 Сейчас в теме

Постоянно слышу про эту проблему там где есть терминальный сервер, была уязвимость в какой то версии рдп, сервер я так понял у вас принимает подключения извне и обновления не устанавливаются?

29. dandykry 11 11.11.14 08:36 Сейчас в теме

Я так понимаю если нет незашифрованного файла, то можно отдать заранее подготовленный файл шифровщику на растерзание, а потом делать маску. Стало настолько интересно, что готов на виртуальную машину пустить гада и поиграться. У кого-нибудь есть?

31. Sanario 27 11.11.14 10:19 Сейчас в теме

Млин, у одного меня редирект с инфостарта не работает?

34. Bukaska 140 11.11.14 10:33 Сейчас в теме

(31) Sanario, нет.. это видать у форума редирект отключен. Копируем ссылку и тогда должно работать)

35. iov 407 12.11.14 03:55 Сейчас в теме

жаль потерли сайт и "стену позора"куда выкладывались емейлы тех кто заплатил - так вот там были и очень крупные компании и писатели антивирусов- делайте выводы. как говорится.

36. Bukaska 140 12.11.14 09:52 Сейчас в теме

(35) iov, в смысле.. что бы за сайт?
Хочешь сказать, что если организация заплатила за ключ расшифровки - то она в позоре?
А если ключ формируется сервером злоумыленника. Между прочем если тип шифрования RSA1024, то я не думаю, что это вирлабам под силу. Достаточно почитать что это такое - и все вопросы отпадут.

37. Sanario 27 12.11.14 10:05 Сейчас в теме

(35) iov, во первых если стоит работа и потери крупнее, чем сумма выплаты - то никто простой оплачивать не будет, во вторых, если ключ шифрования на 256 битах - запаришься расшифровывать

38. Bukaska 140 12.11.14 11:39 Сейчас в теме

(37) Sanario, Как раз AES256 ещё некоторые порталы могут помочь,А вот RSA1024 из моего поста (33),там точно и сам бог вселенной не поможет)

39. Sanario 27 12.11.14 12:05 Сейчас в теме

(38) Bukaska, в некоторых случаях и AES256 не вскроешь. Особенно если двойное шифрование ... Называется заплатите и не мучтесь

41. Bukaska 140 12.11.14 15:49 Сейчас в теме

(39) Sanario, На этот случай не так давно есть сервис)
Платите 500р и даете нужные файлы для расшифровки)
Если не получилось расшифровать данные, вам деньги вернут.
Но это уже конечно не сервис злоумышленника, а как один из сервисов специализированных порталов)

44. Bukaska 140 13.11.14 09:40 Сейчас в теме

(35) iov, не это случайно? https://twitter.com/keybtc
Как вариант

40. karapuzzzz 63 12.11.14 15:36 Сейчас в теме

Обезопаситься от таких случаев или, хотя бы, свести к минимуму последствия не так уж и сложно (потерять пол рабочего дня и восстановиться из архива). Я думаю, что те, кто попался вынесут из этого хоть какие-то выводы?
А платить за что-то надо. Тут или админам за правильную настройку или ...

42. DAnry 9 12.11.14 18:43 Сейчас в теме

А я первый раз про такое слышу. Видать к нам ещё не добрались... Честно говоря в шоке!

43. CaptainMorgan 12.11.14 18:56 Сейчас в теме

Есть 100% способ лечения:
Восстановление погибшей базы из вчерашней копии.
Выполнение элементарных правил информационной безопасности еще ни кто не отменял.
Сисадмин каждое утро должен быть удивлен тому, что за ночь ни чего не рухнуло (а не наоборот).

45. AllexSoft 13.11.14 09:53 Сейчас в теме

Жена словила такой вирусняк, он ей учебную демо базу бухгалтерии зашифровал =))) винду переставил, новую демо базу поставил, пускай учится ))

46. Bukaska 140 13.11.14 09:55 Сейчас в теме

(45) AllexSoft, текущие версии шифровальщиков не жалеют ничего, даже архивы)))

47. AllexSoft 13.11.14 09:58 Сейчас в теме

(46) Bukaska, у нее все равно ничего ценного там не было, пусть хоть все шифруют ) единственное фотки зашифровал кое какие.. ну и фиг с ними )

48. Bukaska 140 13.11.14 10:03 Сейчас в теме

(47) AllexSoft, Зато у нас некоторые клиенты схватили такое, о чем я давала ссылки.. там файлы шифруются типа:
Файл.xls.id-{KNOPRSTUVWYZABCDEFGHJJKLNNOQRSSUVWXY-13.10.2014 10@23@061057749}-email-mserbinov@onionmail.in_mserbinov@aol.com-ver-4.1.0.0.rar
Это как раз 4 версия по моим ссылкам)(33), Сейчас уже пятая версия идет)

70. Pasha1st 849 29.01.15 23:26 Сейчас в теме

(48) Bukaska, Как раз на днях ко мне обратились с таким, уже 6 версии. Пошифровал базы от 7.7 Торговли. В процессе изучения было замечено что троян шифрует блок 1кб в начале файла и возможно 1кб в середине. Плюс дописывает текстовый "хвост" со своей информацией.
Что удалось:
1. берем 1cv7.md, 1cv7.dd, кладем в новый каталог, заходим туда конфигуратором и заставляем 1С пересоздать DBF-файлы. Получаем пустые заголовки файлов. Структура DBF-файла такова, что сначала идет 32 служебной информации (количество полей, количество записей), затем по 32 байта на описание каждого поля.
На коленке пишу утилиту, которая определяет шифрован ли файл, если да - отрезает "хвост", и переписывает заголовки из "образца", плюс пересчитывает и вписывает количество записей. Ну и плюс-минус пара тонкостей учитывается.
Получаем файлы, в которых почти все данные есть, за исключением первых записей и "дырки" в середине. На получившийся набор натравляем "Тестирование и исправление ИБ", которое уже опознает в файлах базу и вычищает битые куски. На выходе - почти полный восстановленный набор данных. Вести учет в такой базе я бы не рискнул, но посмотреть историю и снять почти все остатки можно.

71. Cooler 22 30.01.15 00:51 Сейчас в теме

(70) Pasha1st, мне довелось вчера познакомиться с результатами "работы" версии 6.1.0.0.b. Испорчены как базы 8, так и 7.7. Маленькие файлы зашифрованы полностью, в крупных - 4 фрагмента по 1 килобайту: один в самом начале, остальные три расположены примерно равномерно по файлу. Можно было бы попытаться подменить эти фрагменты аналогичными из архивной копии (даже старой), но ее нет. Видимо, будут обращаться к злоумышленнику.

72. Program 215 23.03.15 08:28 Сейчас в теме

(71) Cooler, Только что попалась база, зашифрованная уже 8 версией данного шифратора. Снесла конец файла, перезаписала заголовок, база ожила. То, что в центре перебирать не стала. База ожила. Документы повыдергивать можно, что уже неплохо

49. ignor 237 13.11.14 15:22 Сейчас в теме

У нас вот другая ситуация. Злоумышленник упаковал все до чего смог дотянутся в архивы rar с паролём. И мне интересно какова вероятность, имея неупакованный файл и упакованный с неизвестным паролём, подобрать пароль?

50. Tiger86 13.11.14 15:56 Сейчас в теме

ну програмки для подбора паролей к rar вроде есть в сети, другое дело, что они достаточно долго подбирают пароли вроде как

52. Cooler 22 13.11.14 19:13 Сейчас в теме

(50) Долго потому, что уже очень давно в WinRAR встроена специальная защита от подбора. Если мне не изменяет склероз, то перед упаковкой сам пароль пропускается через процедуру шифрования 250 тысяч раз или около того. Соответственно, при переборе паролей надо проделывать такую же процедуру, что снижает скорость подбора до нескольких тысяч или даже сотен в секунду. А это очень и очень мало для нормальных (длинных) паролей.

53. ignor 237 13.11.14 19:14 Сейчас в теме

(50) Tiger86, интересно бы не перебором, а архивацией с шифрованием одного маленького файла который имеется в несжатом виде и сравнением его с архивом на котором пароль. Нам не базу пожали с паролем, а кучу разнообразных документов на общем ресурсе.

54. Cooler 22 13.11.14 19:35 Сейчас в теме

(53)

интересно бы не перебором, а архивацией с шифрованием одного маленького файла который имеется в несжатом виде и сравнением его с архивом на котором пароль

Интересно другое - вы вообще имеете представление о том, чего хотите? Разные пароли - разные архивы, даже простейший 6-символьный пароль из одних только цифр даст вам миллион разных зашифрованных файлов. Замучаетесь сравнивать.

А 12-символьный, с буквами и спецзнаками? А 20-символьный не хотите? Где вы их хотя бы хранить собираетесь?

В конце концов, это тот же перебор получается.

А склероз меня не подвел, вот что нашлось тут:

Принцип разархирование прост – при вводе пароля, из него 262144 раз вычисляется хеш по алгоритму SHA1, и полученным ключом WinRAR пытается расшифровать (по AES) и разархировать файлы (тут не проверяется правильный пароль или нет). После того как файлы расшифрованы и разархированны, из них вычисляется контрольная сумма по CRC32, и это сумма сравнивается с той суммой которая прописана в самом архиве. Если эти суммы совпадает – мы получает расшифрованные файлы, а если не совпадает, то получаем предупреждение что контрольная сумма или пароль неправильны. Нет в RAR других проверок правильности пароля — только вот это проверка контрольный суммы «готового продукта».

56. AlX0id 17.11.14 16:58 Сейчас в теме

(54) Cooler,

Я можт чего не понимаю, но что в таком случае мешает перебирать сами хэши? В чем суть вот этой 262144 нагрузки на проц тогда?

57. AllexSoft 17.11.14 17:05 Сейчас в теме

(56) AlX0id, можно и хеши перебирать, в таком случае ты узнаешь хеш пароля, но не сам пароль.. если тебе 1 раз распаковать архив то сгодится) правда инструмент придется писать свой. Только вот распаковка архива все равно намного больше ресурсов скушает, по сравнению с генерацией хеша, так что ускорение перебора ты конечно получишь, но не кардинальное

58. AlX0id 17.11.14 17:13 Сейчас в теме

(57) AllexSoft, да вот я к тому и спрашиваю - нафига мурыжить фигзнаетсколькораз пароль, если все равно распаковка занимает куда больше времени..

60. AlX0id 17.11.14 17:15 Сейчас в теме

(57) AllexSoft, да и нафига нужен сам пароль, если есть хэш от него.. Хэш ведь не поменяется от того, что от пароля возьмут SHA1 200тыс раз сегодня, в пятницу и в следующую среду..

64. AllexSoft 17.11.14 17:25 Сейчас в теме

(60) AlX0id, именно... поэтому я и сказал что однократно расшифровать архив своим каким нибудь самописным инструментом получится, но юзеру отдать хеш чтобы он распаковал этот архив стандартным архиватором не получится) тут кароче в порос в том нужен ли вам сам пароль или важны только данные) если только данные пишите софт который будет расшифровывать, включаете, пару тысяч лет ждете завершения, отдаете пользователю данные...

59. Cooler 22 17.11.14 17:15 Сейчас в теме

(56)

что в таком случае мешает перебирать сами хэши?

А длина их мешает: в виде бинарной строки (т.е. допускаются все символы) - 20 байт, в виде 16-ричного числа (символы только 0-9, A-F) - все 40.

Таким образом становится одинаковой задача подбора даже простейшего пароля из 3-х символов и сложнейшего из 20-ти... одинаково нереальной.

61. AlX0id 17.11.14 17:16 Сейчас в теме

(59) Cooler,
Терь ясно, что мешает. Неясно нафига 200 тыс раз :)

63. Cooler 22 17.11.14 17:21 Сейчас в теме

(61) И это ясно - чтобы намеренно замедлить скорость подбора: при реальном разархивировании этот цикл прогоняется всего один раз, что практически не сказывается на времени всей операции, а вот для подбора это смерть, медленная и мучительная.

62. AllexSoft 17.11.14 17:20 Сейчас в теме

(59) Cooler, в прочем подобрать пароль типа 12345, ровно такая же вероятность как подбор пароля типа 1G6^j при равном количестве символов и используемом массиве символов.. хотя я с вами согласен, если ломать по словарям скажем то хеши становятся бесполезными, только если заранее не иметь таблицу соответствий хеш = фраза.. вот эти процессы проверки хешей, генерации таблицы соответствий уже можно и распределить на несколько компов

51. fzt 13.11.14 19:04 Сейчас в теме

Как-то обратился клиент. Ему зашифровало базу, они купили декриптор за 2 килорубля.
База имела размер 4ГБ, декриптор был 32х битный. Кодер его писавший был бараном, загружал базу в память целиком, адресация естественно кончалась на втором гигабайте и декодер падал.
Повезло что шифрование было блочным - таки удалось порезать файл базы на куски и скормить частями декодеру.
Итого 2к ру вирусмейкеру, 8к мне.

Дело было года полтора назад.

55. insurgut 208 14.11.14 09:18 Сейчас в теме

Более того, самому шифровальщику не интересно, какой у вас тип файла. Архив это. Зашифрован он или нет. Он возьмет просто двоичные данные и заново их зашифрует.

65. spectre1978 61 01.12.14 21:46 Сейчас в теме

я никак не могу понять - зачем RDP голым задом в инет-то выставлять? Ведь лет 15 назад уже было говорено, что делать этого нельзя. VPN роутеры копейки стоят сейчас. Я понимаю в начале 2000-х Cisco дорого было, но сейчас ведь куча вариантов есть, в том числе совсем дешманские типа Mikrotik'ов. И уже все-таки гораздо сложнее становится поломать... Позапрещать исполняемые файлы из почты, а в идеале вообще сделать белый список исполняемых файлов - и все, никто ничего не зашифрует...

66. insurgut 208 03.12.14 14:17 Сейчас в теме

(65) spectre1978, а что плохого в RDP по нестандартному порту с паролями у пользователей допустим не менее 12-15 символов и ограничением на количество попыток ввода неверного пароля?

67. Bukaska 140 03.12.14 14:18 Сейчас в теме

(66) insurgut, Вопрос в том, что нужно делать или это или то.. а народ ни то ни это не делает)))

68. spectre1978 61 03.12.14 19:27 Сейчас в теме

(66) там по умолчанию шифрование слабенькое совсем, можно вскрыть трафик довольно просто современными средствами. В википедии написано. И случаев взлома особенно 2003 серваков очень много описано. На своей шкуре не хотелось бы это испытывать

69. spectre1978 61 03.12.14 19:31 Сейчас в теме

Справедливости ради добавлю, что возможности для создания защищенной системы у RDP есть: TLS, шлюз терминалов. Но это уже не двумя тыками мышкой настраивается, и самое главное - оно будет работать только для RDP. А настроив один раз VPN, можно гонять через него любые протоколы как через обычную локальную сеть без дополнительных заморочек. Мало ли что понадобится потом? Смысл явно есть.

73. uriy 3 01.04.15 22:17 Сейчас в теме

Да уж я думал этот вирусяка в лето канул, а он оказывается прогрессирует. Сам как-то ловил его и была такая же мысль проверить на файле дубликате принцип действия - все руки не доходили.
Самое плохое что он еще попадается.

74. Гость 05.06.15 11:17

Если зашифрованы файлы 1с 8, можно попробовать восстановить следующим образом, у меня получалось: вернуть расширение файлу *.1cd, потом открыть данный файл в программе chdbfl.exe - находится в папке bin каталога 1с, открыть там этот зашифрованный файл, нажать выполнить. Записи восстанавливаются.

75. fzt 05.06.15 11:46 Сейчас в теме

(74) Гость, я бы это отнес к вредным советом, без этого:
Обазательно проводить манипуляции утилитой chdbfl.exe только над копией базы. Всегда.
Эта "замечательная" утилита, просто удаляет записи, которые не может прочитать. Удаляет молча. База то заработает, в ней может не оказаться документов, элементов справочников, записей регистров и тд.

77. insurgut 208 05.06.15 19:11 Сейчас в теме

(75) fzt, какая база? После шифрования это цепочка непонятных символов и иероглифов, которую никакой chdbfl.exe не поймет :)

80. fzt 18.03.16 05:09 Сейчас в теме

(77) insurgut, шифрование разное бывает. Вирмейкеры тоже косячат и тупят как все. У Гостя вероятно были зашифрованы фрагменты БД, которые chdbfl.exe не поймет. Все что он не поймет - выпилит. Такая уж топорная утилита.

Один раз ко мне обратился клиент, который заплатил за расшифровку баз вымогателям. Выслали декриптор, который умирал аккурат сожрав 2 ГБ памяти. Т.е. программист(написавший декриптор) грузил файл единым блоком в память, больше 2ГБ ось не позволяла забрать процессу, процесс умирал. БД была около 6ГБ. После экспериментов с вирусом, который благо сжирал файлы состоящие из одних единиц, удалось выяснить что шифрование блочное. Вот нарезав файл на 4 блока, по смещению блочного шифрования, удалось это дело расшифровать и склеить обратно. Ещё удалось выяснить что вирь шифровал первые несколько сотен байт из блока 100МБ. Тут я с вирмейкером согласен - так быстрее, а данные попорчены. Так-то.

76. insurgut 208 05.06.15 19:10 Сейчас в теме

(74) Гость, Гениально! Премия ОСКАР (да и любая другая, которую пожелаете) ваша!!! =)

Разработчики алгоритмов SHA5 и ему подобных кусают локти, chdbfl.exe все расшифрует!

78. ignor 237 05.06.15 22:27 Сейчас в теме

chdbfl.exe расшифрует только в случае если зашифрован один только заголовок

79. timeforlive 16 17.03.16 09:52 Сейчас в теме

Еще помогает резервное копирование (до случившегося, конечно) =)

81. fzt 18.03.16 05:27 Сейчас в теме

(79) timeforlive, многим не помогает. Есть такие глупые администраторы, которые делают копии на свой же сервер. Есть чуть менее глупые, которые делают копии на сетевую машину, но оставляют каталог бэкапов доступным по сети (т.е. можно зашифровать бэкапы по сети, заразив сервер). Как-то помогает хорошо организованный домен, права и роли в нем. Но потенциально под учеткой админа можно зашифровать сетевые шары для бэкапов. Мало кто ограничивает доступ к архивам даже доменному администратору. Архивы моих клиентов обслуживает отдельный БП, он вне домена. Сервер БД его кормит архивами в сетевую шару. Архивный ПК сам каталогизирует скормленные ему бэкапы, не оставляя архивы торчать в шарах. Это работало уже 4 раза на моей практике, когда администраторы умудрялись дать вирусу шифровальщику права доменного администратора.
Спасают бэкапы только то, что вирусмейкеры пишущие шифровальщики, в большинстве ещё более глупы и не всегда шифруют бэкапы.

82. fzt 18.03.16 05:38 Сейчас в теме

Т.е. вирус скомпилирован без ключа /LARGEADDRESSAWARE. Квалификация вирмейкеров шифровальщиков баз крайне низка. Прихожу к выводу что этим вполне могут заниматься 1Снеги, которые немного освоили "большое" программирование. Пишут видать на дельфи. Пусть хоть AWE юзают, чтоб расшифровщики нормально работали.

83. AllexSoft 21.03.16 14:33 Сейчас в теме

(82) fzt, этим занимаются школота последних классов обучения, либо студенты первых курсов.. 1Сники себе могут на хлеб с маслом заработать и честными методами, хорошему 1Снику вообще нет времени на занятие такой хренотой )

84. fzt 28.03.16 13:00 Сейчас в теме

(83) AllexSoft, нуууу.... если исключить сам момент "заработка". Я писал всякую ересь уже и после института. Вроде как для "спортивного" интереса. Пока не стало понятно что программирование это тупое вкалывание, описание 8 часов в день контейнеров данных и немного логики. Кажеться сейчас SQL запросы писать интересней чем кодить.

UPD: Вы категорически правы! Именно когда я стал "1С-ником" времени на хреноту не стало вовсе. А косить то надо.©