Форум программистов, компьютерный форум, киберфорум
Компьютерная безопасность
Войти
Регистрация
Восстановить пароль
 
Рейтинг 4.89/18: Рейтинг темы: голосов - 18, средняя оценка - 4.89
34 / 34 / 8
Регистрация: 13.06.2014
Сообщений: 509
1

Зашифрованы базы 1с

31.07.2014, 16:08. Просмотров 3757. Ответов 12
Метки нет (Все метки)

Привет всем
Наша не знаю как назвать дружественная фирма столкнулась с интересным вирусом, который походу уже довольно популярен
Вирусня зашифровала файлы в формат .rar.raR, базы 1с пишет, что весят 0 КБ

В инете почитал про похожие проблемы юзеров, но никаких продуктивных ответов не нашел
Мб сталкивался кто-нибудь?

А и само собой вирусня просит 10к рублей на покушать)

Добавлено через 1 час 20 минут
все решения проблемы нет
Касперский этот вирус не видит, был запущен на другом компе, шифрует все подряд, скачет процесс rar.exe
Дешифровать тоже нет смысла, архивирует обычным архиватором виндоус, как говорят пароль гигантский и на подбор уйдет милиадр лет

так что будьте бдительны, друзья, и делайте бекапы
0
Programming
Эксперт
94731 / 64177 / 26122
Регистрация: 12.04.2006
Сообщений: 116,782
31.07.2014, 16:08
Ответы с готовыми решениями:

Ваши документы и базы зашифрованы
Здравствуйте! Помогите, пожалуйста. Сегодня пришло сообщение от клиента, что нужно отсканировать...

Vault. Ваши документы и базы данных были зашифрованы
Здравствуйте! Помогите, пожалуйста. Сегодня на рабочем столе ПК в открытом блокноте обнаружили...

Файлы зашифрованы
Доброе утро! Пожалуйста помогите!!! Открыла компьютер, а все файлы зашифрованы "BETTER_CALL_SAUL",...

Зашифрованы файлы
Здравствуйте форумчане.Срочно нужна помощь!Недавно словил на комп вирус которий переименовал...

12
2506 / 1127 / 582
Регистрация: 07.06.2014
Сообщений: 3,278
31.07.2014, 22:56 2
Цитата Сообщение от frostyfull Посмотреть сообщение
Дешифровать тоже нет смысла, архивирует обычным архиватором виндоус, как говорят пароль гигантский и на подбор уйдет милиадр лет
пароль для шифрации файлов можно перехватить?
Он один и тот же для всех файлов?
Меняется от компьютера к компьютеру?
От чего зависит?

если поймать пароль - то перебирать миллиард лет не придётся - как ни странно, расшифровать запакованные архивы можно тем же самым паролем, который был указан при запаковке!
0
34 / 34 / 8
Регистрация: 13.06.2014
Сообщений: 509
01.08.2014, 09:42  [ТС] 3
Sergio Leone, пароли на всех компах разные, отловить можно только как-то поймав процесс шифрования, что не представляется возможным, когда вирус все шифрует у банального юзера, который 0 в сфере IT + отловить его очень трудно, на шифрование одного файла уходит доля секунды, после чего процесс исчезает

Именно по этой версии вируса я не нашел абсолютно никакой информации, известно, что в первых версиях он генерировал ключ из UUID компъютера, тогда расшифровать было возможно

В последующей версии для создания ключа еще использовалось движение мышкой юзера, координаты, и чем больше юзер двигал мышкой, тем сложнее был ключ, по окончании шифрования обойти или расшифровать файлы уже не представлялось возможным

Здесь же новая версия, которая, я уверен, еще более сложная, антивирусами не определеятся никак, они ни файл вируса ни процесс не считают вредоносным

Единственный вариант как мне кажется это взломать их файл ключа, который создается при шифровании и который нужно отослать злоумышленнику, там я уверен для шифрования используется статичный ключ, но вероятнее всего, что и этот ключ не самых маленьких размеров, т.е. на дешифрацию этого файла так же уйдут годы

P.S. если есть желание могу скинуть вирус в архиве) запустишь на виртуалке и посмотришь как он работает
вообще штучка интересная)

Добавлено через 6 минут
Sergio Leone, ах да и еще зашифрованные файлы дешифраторами так же не определяются, они думаю, что это обычные винрарные архивы

Добавлено через 5 минут
думаю попробовать декомпилировать exe файл и посмотреть как конкретно он работает, мб из него можно вытащить тот статичный ключ, но не много очкую на свой рабочий комп эту штуку скидывать
0
2506 / 1127 / 582
Регистрация: 07.06.2014
Сообщений: 3,278
01.08.2014, 11:49 4
Цитата Сообщение от frostyfull Посмотреть сообщение
если есть желание могу скинуть вирус в архиве
я, к сожалению, полный ноль в подобных вопросах. Поэтому, сбрасывать мне смысла нет.
Но есть же люди на форуме, которые профессионально занимаются борьбой с подобной нечистью. Попробуйте связаться с ними! Так же, можно (и даже нужно!) отправить вирус в антивирусные компании, там есть крутые спецы, способные заглянуть во внутренности дряни. И обновить сигнатуры, чтобы оставить распространение этой заразы!

Возвращаясь к проблеме расшифровки.
Если действительно:
Цитата Сообщение от frostyfull Посмотреть сообщение
В последующей версии для создания ключа еще использовалось движение мышкой юзера, координаты, и чем больше юзер двигал мышкой, тем сложнее был ключ
то расшифровке ваших данных всё вышесказанное не сильно Вам поможет! Если ключ каждый раз (даже на одной и той же машине) различный, то перехват его после того, как вирус завершил свою работу (повторый запуск вируса на той же машине, как я изначально предполагал) ничего не даст. Значит, либо терять данные (или брать из бэкапа), либо платить злоумышленникам, чтобы они хорошо жили и имели возможность выпускать новые версии своего дерьма!
В случае, если не собираетесь платить, не думали о том, чтобы накатать заявление в полицию? Я, конечно, не верю, что это что-то даст, но, с другой стороны, "под лежачий камень..."



Цитата Сообщение от frostyfull Посмотреть сообщение
Единственный вариант как мне кажется это взломать их файл ключа, который создается при шифровании и который нужно отослать злоумышленнику
нет, решение в лоб ничего не даст, это бесполезно! Уверен, что этот файл серьёзно зашифрован. Не исключено, что даже НЕОБРАТИМО (например, ассинхронная шифрация, когда шифруется открытым ключом, а для того, чтобы расшифровать используется приватный ключ, который есть только у самого злоумышленника. На мой взгляд, это самое малоперспективное направление решения задачи расшифровки!

Добавлено через 15 минут
кстати, результаты поиска говорят о том, что такое не только у ваших друзей произошло:

http://forum.drweb.com/index.php?showtopic=318230

http://forum.drweb.com/index.php?showtopic=318227

Расшифровка: Возможна при наличии файла с именем thy Других возможностей я пока не вижу.
0
34 / 34 / 8
Регистрация: 13.06.2014
Сообщений: 509
01.08.2014, 12:40  [ТС] 5
Sergio Leone, да я особо не заморачиваюсь, просто восстановили все из бекапа, юзеров предупредили не пытаться открыть вордовские документы с расширением .exe))

а отправлять вирусологам не думаю что есть смысл, проблема актуальная и я уверен, что они уже в курсе
0
2506 / 1127 / 582
Регистрация: 07.06.2014
Сообщений: 3,278
01.08.2014, 12:51 6
Цитата Сообщение от frostyfull Посмотреть сообщение
просто восстановили все из бекапа
ага. ну и отлично! Хорошо, когда бэкап есть!
0
34 / 34 / 8
Регистрация: 13.06.2014
Сообщений: 509
01.08.2014, 13:50  [ТС] 7
Sergio Leone, по этому и написало вот это)
Цитата Сообщение от frostyfull Посмотреть сообщение
так что будьте бдительны, друзья, и делайте бекапы
0
0 / 0 / 0
Регистрация: 05.06.2015
Сообщений: 1
05.06.2015, 11:25 8
Если зашифрованы файлы 1с 8, можно попробовать восстановить следующим образом, у меня получалось: вернуть расширение файлу *.1cd, потом открыть данный файл в программе chdbfl.exe - находится в папке bin каталога 1с, открыть там этот зашифрованный файл, нажать выполнить. Записи восстанавливаются.
0
Вирусоборец
8605 / 4175 / 332
Регистрация: 22.02.2011
Сообщений: 13,730
06.06.2015, 05:42 9
Цитата Сообщение от frostyfull Посмотреть сообщение
а отправлять вирусологам не думаю что есть смысл
Смысл есть всегда.., лучше отправьте.
Как и куда можно отправить подозрительные файлы на анализ?
0
2506 / 1127 / 582
Регистрация: 07.06.2014
Сообщений: 3,278
06.06.2015, 12:54 10
shestale, это всё было в августе пршлого года...
0
Вирусоборец
8605 / 4175 / 332
Регистрация: 22.02.2011
Сообщений: 13,730
06.06.2015, 14:12 11
Я не заметил предыдущий некропостинг)))
0
2506 / 1127 / 582
Регистрация: 07.06.2014
Сообщений: 3,278
06.06.2015, 20:42 12
Цитата Сообщение от shestale Посмотреть сообщение
Я не заметил предыдущий некропостинг)))
я так и понял!

ну, ваш совет в любом случае хороший и универсальный!
Возможно, кому-то пригодится, кого-то подтолкнёт отправить пойманную заразу специалистам...
0
34 / 34 / 8
Регистрация: 13.06.2014
Сообщений: 509
15.07.2015, 14:49  [ТС] 13
shestale, думал тогда касперу отправить, но чет подзабил, через неделю они сами выпустили обнову сигнатур и антивирь начал ловить этот вирус
0
IT_Exp
Эксперт
87844 / 49110 / 22898
Регистрация: 17.06.2006
Сообщений: 92,604
15.07.2015, 14:49

Заказываю контрольные, курсовые, дипломные и любые другие студенческие работы здесь.

Зашифрованы файлы
Такая проблема возникла несколько дней назад. Видимо какие-то недоноски взломали меня через бэкдор,...

Зашифрованы файлы
Добрый день. Есть ПК пользователя, после неудачного серфинга по порно сайтам заразил ПК. ...

Зашифрованы файлы
Добрый день.Проблема в следующем.Поймал вирус,не понятным для себя образом,на посторонние сайты не...

Зашифрованы файлы 1С
Добрый вечер всем!!! Возникла проблема, может кто сталкивался?... Все файла на диске С...


Искать еще темы с ответами

Или воспользуйтесь поиском по форуму:
13
Ответ Создать тему
Опции темы

КиберФорум - форум программистов, компьютерный форум, программирование
Powered by vBulletin® Version 3.8.9
Copyright ©2000 - 2020, vBulletin Solutions, Inc.