В последнее время распостранились случаи, когда на сервера попадают интересные вирусы которые блокируют(шифруют) базы данных. Прошу вашему вниманию "дескриптор", который помогает справиться с этой проблемой.
В последнее время распостранились случаи, когда на сервера попадают интересные вирусы которые блокируют(шифруют) базы данных. Прошу вашему вниманию «дескриптор», который помогает справиться с этой проблемой.
Related Posts
Восстановление последовательности документов при закрытии месяца в Бухгалтерия 3.0 не завершается
Заполнение табличных частей
Формирование сводных актов выполненных работ
Ввод поступления в переработку на основании передачи сырья (между организациями)- Конспект по установке сервера 1С на linux
Получение имени компьютера и его IP локально и в терминале
ЭХ!
ЛЮБЛЮ Я ЗАПИСЫВАТЬ ПЕРВЫЕ ПОСТЫ К СТАТЬЯМ!!!
А ПОЧЕМУ ???
—————————————————-
А ПОТОМУ, ЧТО:
1) Можно смайлов в пост навставлять (другого способа на Инфостарте я не нашел).
2) По спаму рассылаемому сайтом по почте можно подумать — что Я АВТОР ПУБЛИКАЦИИ.
😀 💡 ❓ ❗ 😉 👿 😥 😳 :{} 😎 😮 🙁 🙂 😐
—————————————————-
а на будущее — изменять первый пост со смайлами не советую,
красота проподает — смайлики не отображаются.
(0) masspi,
а не ты ли эти вирусы распространяешь?
🙂
(2) Сегодня у заказчика боролся с этой проблемой, вот и решил поделиться с другими. Если бы сам рассылал, то смысл мне выкладывать метод борьбы))). А вообще тот кто этот вирус распостраняет потом требует перевести ему 10000 р. за расшифровку.
(3) masspi,
нда … круто!
за разблокировку винды, якобы заблокированной микрософтом
за просмотр порнографических материалов просят только 1000р.
а перевести просят тоже на сот.телефон ???
(4) Немного поясню как это происходит. Юзер запускает некий файл. Далее запускается прога которая шифрует данные и по завершению сама себя удаляет. А данные зашифрованы. Далее ни антивир, ни что либо другое не находит и следа. Если нужна более точная инфа, то можешь прогуглить адрес: unblocking666@gmail.com
Не имея кода для конкретного компьютера, всего лишь бесполезная софтина.
(5) masspi,
да я примерно о том же, но под другим соусом,
и с другими расценками!
🙂
в позапрошлую субботу моя жена
скачала какой-то халявный учебник в виде архива.
в архиве экзэшник, после запуска которого
на компе выводится сообщение, вроде этого:
«Микрософт скьюрити эссеншуалс зарегистрировала
с вашего компа доступ к порнографическим материалам,
распространяющим педофилию.
В связи с чем ваша копия Виндоус была заблокирова.
Для разблокировки требуется перечислить 1000р.
на телефон 8-nnn-nn-nn и получить сэмээской разблокировочный код»
(7)
троян крепко прописывается в авторанах
лечится только чисткой реестра
в режиме совместимости с командной строкой.
пришлось по мобильнику со своим ОДМИНОМ
связаться и под его мудрым руководством
выковыривать троян с компа.
(6) Squisher, Код отражается в сообщении которое выводится. Само сообщение я привел в изображении.
(8) В данном случае трояны все удаляются после шифрования. Остается только в автозагрузке вызов файла *txt. При этом все браузеры работают. Не работают только базы данных. Причем это могут быть базы 1с, access, firebird и т.д.
Не имеет смысла скачивать, он только для того компьютера у которого ключ указан на скриншоте
Этот дешифратор только для того компа для которого его купили, если попробовать на другом компьютере то просто угробите зашифрованные файлы.
(11) Andrey2682, Я сделал скриншот с компа который вылечил этой программой. Ее никто не покупал. И комп он не убил. Если необходимо то можно к примеру скачать архив, если нет возможности, то вышлю на мыло. В архиве другой ключ, под который она якобы покупалась, но сработала и на другом компе. Если есть сомнения,по поводу работы проги, всегда можно сделать образ интересующих файлов. Ну или платить деньги(где-то 10000р), чтобы Вам точно выслали прогу под Ваш комп. Кстати пробовал ее на сервере 2008.
(13) так об этом надо писать, в теле статьи, причем красненьким, что используя этот криптор и не имея бекапа зашифрованных файлов можно погубить файлы, сейчас ломанутся качать, начнут пробовать, а потом хрен восстановят даже если заплатят вымогателям.
З.Ы. у меня этот декриптор ничего не расшифровал, только файлы погробил, благо не бекапе пробовал.
(14) azubar, Дешифратор к железу не привязан, а првязан к коду, который внизу текстового файла. Для каждого компа этот код разный. Его (код) образует именно тот вредноносный шифратор, который самораспаковывается и потом удаляется и который создает данный *txt с кодом. Просто проги из одной оперы, т.е сама шифрует(или такая же) и сама же расшифровывает.если другой шифратор,может и не сработать. Т.е. при возникновении данной ситуации, когда комп показывает данное сообщение и адрес для расшифровки unblocking666@gmail.com или unblocking@tormail.org то эта прога работает нормально. Статья предназначена для тех кто сталкнется со столь нехорошим случаем.
Ту тс — а можете выслать дешифровщик на мой мэйл zika@»тожесамое».pp.ru
случай явно тот же
Все что было описано выше относится к шифровальщику первого поколения, который лечился утилитами от касперского и веба.
Мы поймали, вернее у нас юзер поймал вирус похлеще с алгоритмом rca1024, его еще не лечит никто.
проникает через порт 3389 на терминальный сервер с правами пользователя используя дырки необновленной явы шифрует все локальные и сетевые папки в которые есть права на запись. Причем антивирусы с актуальными базами его не видят.
итог — около 100000 зашифрованных файлов — документы, ахивы, базы данных, картинки, медиафайлы и т.д.
запросили 80 евро, прислали дешифровщик (т.е. повели себя как бизнесмены).
антивирус на него ругается как на модифицированный троян.
была создана виртуальная машина без сетевого доступа, в нее были помещены все зашифрованные файлы.
некоторые пришлось проходить несколько раз (видимо шифровщик делал несколько заходов).
расшифровалось все кроме самой большой бух. базы 1.1 гб.
в которой был сверстан годовой баланс и перенесен и сверен последний месяц текущих документов относительно последнего имеющегося архива. (буквально за день до события).
как оказалось большие файли шифруются не полностью.
восстановить удалось заменив около 90-96 мегабайт наложением в Нех редакторе из архивной базы методом подбора и последующей проверки базы утилитами 1с и в конфигураторе.
итог:
1. обновлять ПО сервера и особенно явы
2. не использовать дефаултный терминальный порт 3389
3. полный бекап всего каждый день, а критических данных чаще.
4. жесткая политика паролей пользователей.
(15) masspi, Отчасти верно !! Дешифратор не привязан к компу. Привязка идет к коду. Если тупа ввести код из файла РАСШИФРОВКА.txt, то файлы будут расшифрованы по 16 кб. Т.е. первые 16 — останутся зашифрованы, дальше 16 — расшифровывается нормально, потом 16 — зашифровано, 16 — нормально !!
На форумах говориться, что через каждые 16 кб меняется первый символ…. но пока полного дешифратора нет !!!
Люди платят по 10 000 руб !!! Другие пока исследуют !!! Надеюсь на появление универсального дешифратора.
(17) valery_ok,
1. обновлять ПО сервера и особенно явы
2. не использовать дефаултный терминальный порт 3389
3. полный бекап всего каждый день, а критических данных чаще.
4. жесткая политика паролей пользователей.
ЭТО БЫЛ БЫ ИДЕАЛ !!!
Я пока таких админов не встречал !! 🙁
Может по этому дважды за год столкнулся с такой гадостью !!!
(18) в нашем случае одна часть ключа представляла вот такой код:
====================
821C6740AA8E474CF41F2249EB8BFD89501B43135002DFC24DE8A4CE09FD
F862D956D725CCF09EB7B08E31A44B8252A3FBE09F0BD80594E68C2805AF
6574C36BC935F7F3084257EF79E1E050E024BDC47094025CDB81877CD313
5E9D1531CD6414010C8EE603913CB4BB0F26BF54F4A5093D2D962E14A2FE
1741505F4B5443841526CCB55559F6E3D93738FFBD05E19CD775D3F84BB9
====================
вторая часть находится у злодея, пока что я не знаю способа расшифровать rca1024 и думаю никто не знает.
Вот на форуме Касперского один чел пишет:
Файл, действительно, кодируется блоками по 16Кб (16384 байт)
— для нечетных блоков, т.е. для 1,3,5,7… блоков по 16Кб и т.д. как раз нужен ключ (который присылают) — в этом еще надо покопаться
— для четных блоков ни какой ключ не нужен вообще. дешифратор элементарно отнимает от закодированного значения цифру 0x40
например:
— код символа «пробел» равен 0x20
— код символа «ноль» равен 0x30
так вот. в зашифрованном файле они выглядят как 0x60 и 0x70 соответственно.
итого еще раз (дабы не сбиться с мысли):
т.е. БЕЗ РАЗНИЦЫ какой код вводить, для ЧЕТНЫХ блоков дешифратор просто минусует от каждого байта значение 40 (попробуйте сами. просто введите код 123456 и увидете тот же результат как «считалось» ранее что нужен код из текстового файла Расшифровка.txt) — он скорее всего нужен для других целей
Показать
Самое обидное, все антивирусные компании молчат. А в Eset напрямую написали: «Что наш антивирус не занимается расшифровкой. И только для корпоративных клиентов мы предоставляем возможные варианты расшифровки.»
скачал архив по предложенной автором методике не расшифровывает даже им приложенные файлы…
я не ошибусь, если автор выложил тут дешифровщик от ДрВеба?
«Сам написал» — сомнителньо зело 🙂
и потом, причем тут «дешифровщик» баз?
это защита от вирусов, а шифруются все файлы поголовно.
Вообще — это в лайф.
(13) masspi, у вас остался еще дешифратор? если да то пришлите пожалуйста на le_brave@mail.ru
Мне помогло зашифрованный файл базы .CD до расширения .cbf расшифровать утилитой chdbfl.exe. Стер в наименовании все лишнее у зашифрованного файла. Прошелся утилитой. Дополнительно тестирование и исправление базы — база рабочая. В инете пишут, что может и не помочь.