Восстановление файлов после трояна-шифровальщика
В конце рабочего дня бухгалтер одного из предприятий получила письмо по электронной почте от контрагента, с которым постоянно велась деловая переписка, письмо, в котором содержался вложенный файл, именуемый, как «Акт сверки.xls». При попытке открытия визуально ничего не произошло с точки зрения бухгалтера. Несколько раз повторив попытки открытия бухгалтер удостоверилась, что excel не собирается открывать присланный файл. Отписавшись контрагенту о невозможности открыть полученный ею файл, бухгалтер, нажала кнопку выключения ПК , и, не дождавшись завершения работы ПК, покинула рабочее место. Придя утром, обнаружила, что компьютер так и не отключился. Не придав этому особого значения, попыталась начать новый рабочий день, привычно кликнув по ярлыку 1С Бухгалтерии, но после выбора базы ожидал неприятный сюрприз.
Последующие попытки запуска рабочей среды 1С также не увенчались успехом. Бухгалтер связалась с компанией, обслуживающей вычислительную технику их организации, и запросила техническую поддержку. Специалистами обслуживающей организации выяснено, что проблемы куда более масштабные, так как кроме того что файлы базы 1С Бухгалтерии 7.7 были зашифрованы и имели расширение “BLOCKED“, зашифрованными оказались и файлы с расширениями doc, docx, xls, xlsx, zip, rar, 1cd и другие. Также обнаруживался текстовый файл на рабочем столе пользователя, в котором сообщалось, что файлы зашифрованы с использованием алгоритма RSA 2048, и что для получения дешифратора необходимо оплатить услуги вымогателя. Резервное копировании 1С баз осуществлялось ежедневно на другой жесткий диск установленный в этом же ПК в виде создания zip архива с папкой 1С баз, и копия архива помещалась на сетевой диск (NAS ). Так как ограничения доступа к резервным копиям не было, то вредоносное программное обеспечение имело доступ и к ним.
Оценив масштаб проблемы, специалисты обслуживающей организации выполнили копирование только шифрованных файлов на отдельный накопитель и произвели переустановку операционной системы. Также из почтового ящика бухгалтера были удалены письма, содержащие вредоносное ПО . Попытки расшифровки с использованием популярных дешифраторов антивирусных компаний на тот момент результата не дали. На этом обслуживающая организацию компания закончила свои работы.
Перспективы начать с ввода первичной документации в новую 1С базу, не сильно радовали бухгалтеров. Посему были рассмотрены дальнейшие возможности восстановления шифрованных файлов.
К сожалению, не были сохранены оригинальное тело вредоносного ПО и сообщение вымогателя, что не позволило дизассемблировать тело и установить алгоритм его работы посредством анализа в отладчике. Так же не было возможности проверить, встречался ли он различным антивирусным компаниям.
Поэтому сразу приступаем к анализу файлов, структуры которых хорошо известны. В данном случае удобно использовать для анализа DBF файлы из базы 1С, так как структура их весьма предсказуема. Возьмем файл 1SENTRY.DBF.BLOCKED (журнал бухгалтерских проводок), размер данного файла 53 044 658 байт
рис. 2
Рассматривая шифрованный DBF файл, обращаем внимание на то, что первые 0x35 байт не зашифрованы, так как присутствует заголовок, характерный для данного типа файлов, и наблюдаем часть описания первого поля записи. Произведем расчет размера файла. Для этого возьмем: WORD по смещению 0x08, содержимое которого равно 0x04C1 (в нем указан размер заголовка DBF файла), WORD по смещению 0x0A, содержимое которого равно 0x0130 (в нем указан размер одной записи в базе), DWORD по смещению 0x04, содержимое которого равно 0x0002A995 (количество записей), и 0x01 – размер конечного маркера. Решим пример: 0x0130*0x0002A995+0x04C1+1=0x0032965B2 (53 044 658) байт. Размер файла, согласно записи файловой системы, соответствует расчетному на основании информации в заголовке DBF файла. Выполним аналогичные проверки для нескольких DBF файлов и удостоверимся, что размер файла не был изменен вредоносным ПО.
Анализ содержимого DBF показывает, что небольшие файлы начиная со смещения 0x35 зашифрованы целиком, а крупные нет.
рис. 3
Номера счетов, даты и суммы изменены, чтобы не нарушать соглашения о конфиденциальности в том числе и в зашифрованном участке.
Начиная со смещения 0x00132CB5 обнаруживаем отсутствие признаков шифрования до конца файла, выполнив проверки в иных крупных файлах подтверждаем предположение, что целиком шифруются только файлы менее 0x00132CB5 (1 256 629) байт. Многие авторы вредоносного ПО выполняют частичное шифрование файлов с целью сокращения времени искажения пользовательских данных. Руководствуются вероятно тем, чтобы их вредоносный код за минимальное время нанес максимально возможный ущерб пользователю.
Приступим к анализу алгоритма шифрования
рис. 4
На рис. 4 на месте заголовков полей DBF файла присутствуют почти одинаковые последовательности из 16 байт (смещения 0x50, 0x70, 0x90), также видим частичное повторение последовательностей из 16 байт (смещения 0x40,0x60,0x80), в которых есть отличия только в байтах, где должно прописываться имя поля и тип поля.
Исходя из особенностей строения заголовков DBF файлов и изменений байт в последовательностях, можно сделать предположение, что шифрование выполнено посредством XOR операции над данными с неким паттерном. Также можно сделать предположение, исходя из длины повторяющихся последовательностей, что длина паттерна 16 байт (128 бит). Заголовок базы равен 0x04C1 байт, размер описания одного поля в заголовке 0х20 (32) байт. Из этого следует, что заголовок данного DBF файла содержит (0x4C1-0x21)/0x20=0x25 (37) описаний полей. На рис. 4 подчеркнуты красным фрагменты записей двух полей начиная со смещения 0x10, которые в случае 1С как правило имеют нулевые значения, кроме самого 0x10 (так как по этому смещению указывается размер поля), на основании этого можно полагать, что уже имеем 15 из 16 байт ключа шифрования 0x97 0x99 0xE6 0xBF 0x4B 0x6C 0x77 0x76 0x3A 0x80 0x0B 0xXX 0xAF 0x45 0x6A 0xB7.
Для нахождения последнего байта в ключе возьмем другой фрагмент этого же DBF файла.
рис. 5
На рисунке 5 обратим внимание на нулевой столбец, точнее на его нешифрованную часть, и видим, что там преобладает значение 0x20 (код пробела согласно ASCII таблицы). Соответственно, и в шифрованной части столбца будет преобладать некое одинаковое значение. Легко заметить, что это 0xFA. Для получения оригинального значения недостающего байта ключа необходимо выполнить 0xFA xor 0x20=0xDA.
Подставив полученное значение на недостающую позицию, получим полный ключ 0x97 0x99 0xE6 0xBF 0x4B 0x6C 0x77 0x76 0x3A 0x80 0x0B 0xDA 0xAF 0x45 0x6A 0xB7.
После выполнения процедуры xor операции с полученным ключом над шифрованными участками получили оригинальное содержимое файла
рис. 6
Для окончательного контроля проведем операцию расшифровки zip архива, затем распакуем архив. Если все файлы извлеклись и не возникало ошибки CRC для какого-либо файла, то можно окончательно подтвердить корректность ключа. И финальным этапом будет распаковка остальных файлов согласно технического задания.
Данный пример говорит о том, что вероятно не все высказывания авторов вредоносного программного обеспечения правдивы. И нередко можно решить задачу восстановления пользовательских данных посредством анализа измененных данных.
Наряду с подобными простыми случаями встречаются трояны-шифровальщики, которые действительно будут использовать современные криптографические алгоритмы и в случае их атаки подобное простое решение в принципе невозможно. Посему будьте предельно осторожны при открытии любых файлов, полученных по электронной почте даже от доверенных источников. Регулярно обновляйте антивирусное ПО и делайте резервное копирование таким образом, чтобы ваши данные во всех копиях не были доступны кому-либо единовременно.
ВНИМАНИЕ! Опасный вирус-шифровальщик для 1С
Антивирусная компания «Доктор Веб» сообщила 22 июня 2016 г. о том, что выявлен опасный вирус для 1С:Предприятия – троянец, запускающий шифровальщика-вымогателя.
Троянец распространяется в виде вложения в сообщения электронной почты с темой «У нас сменился БИК банка» и следующим текстом:
К письму прикреплен файл внешней обработки для программы «1С:Предприятие» с именем ПроверкаАктуальностиКлассификатораБанков.epf. Тело этого модуля защищено паролем, поэтому просмотреть его исходный код стандартными средствами невозможно. Если получатель такого письма последует предложенным инструкциям и откроет этот файл в программе «1С:Предприятие», на экране отобразится диалоговое окно.
Какую бы кнопку ни нажал пользователь, 1C.Drop.1 будет запущен на выполнение, и в окне программы «1С:Предприятие» появится форма с изображением забавных котиков.
В это же самое время троянец начинает свою вредоносную деятельность на компьютере. В первую очередь он ищет в базе 1С контрагентов, для которых заполнены поля с адресом электронной почты, и отправляет по этим адресам письмо с собственной копией. Текст сообщения идентичен приведенному выше. Вместо адреса отправителя троянец использует e-mail, указанный в учетной записи пользователя 1С, а если таковой отсутствует, вместо него подставляется адрес 1cport@mail.ru. В качестве вложения троянец прикрепляет к письму файл внешней обработки с именем ОбновитьБИКБанка.epf, содержащий его копию. Пользователи, попытавшиеся открыть такой файл в приложении 1С, также пострадают от запустившегося на их компьютере шифровальщика, однако эта копия 1C.Drop.1 разошлет по адресам контрагентов поврежденный EPF-файл, который программа «1С:Предприятие» уже не сможет открыть. 1C.Drop.1 поддерживает работу с базами следующих конфигураций 1С:
«Управление торговлей, редакция 11.1»
«Управление торговлей (базовая), редакция 11.1»
«Управление торговлей, редакция 11.2»
«Управление торговлей (базовая), редакция 11.2»
«Бухгалтерия предприятия, редакция 3.0»
«Бухгалтерия предприятия (базовая), редакция 3.0»
«1С:Комплексная автоматизация 2.0»
После завершения рассылки 1C.Drop.1 извлекает из своих ресурсов, сохраняет на диск и запускает троянца-шифровальщика Trojan.Encoder.567. Этот опасный энкодер, имеющий несколько модификаций, шифрует хранящиеся на дисках зараженного компьютера файлы и требует выкуп за их расшифровку. К сожалению, в настоящее время специалисты компании «Доктор Веб» не располагают инструментарием для расшифровки файлов, поврежденных этой версией Trojan.Encoder.567, поэтому пользователям следует проявлять особую бдительность и не открывать полученные по электронной почте файлы в приложении «1С:Предприятие», даже если в качестве адреса отправителя значится адрес одного из известных получателю контрагентов.
тот редкий случай, когда я рад, что у нас 7.7
Подобные шифровальщики не первый месяц уже распространяются. Под видом писем из налоговой, от клиентов с новыми реквизитами и т.д и т.п. А бедные бухгалтера, ничего не подозревая, лишаются баз 🙁
Надо написать аналогичную обработку, которая ничего плохого не делает, но сообщает, что вы только что могли огрести кучу проблем. Сам я это делать конечно не буду.
Вот это сервис.
Ответ mr.jsmith в «Я был там. »
ООоо помню такое, один из моих пиков «Хакерства» был когда я играл в браузерную игру типа Фермы, моя подружка тогда в нее играла, поэтому и мне пришлось (кто помнит вк, однокласники эти игры были оч популярны) Естестенно там кристаллы донат и прочая «деньго-сосалка»
И тут я вспомнил, что как то я на форуме, встречал программулину, способную изменять ответы серверу. Имя того детища Чарли (Charles) вроде так, сколько уж лет прошло)
Поковырявшись в программе, после пары часов копания, я нашел строку в запросе отвечающую за эти кристаллы. И Вуаля работает. Но счастье было недолгим, после того как выйдешь из игры и войдешь снова все откатывалось «взад» как говорится) Я тогда подумал, что вероятно игра подтягивает информацию и со своего сервера, и начался второй этап «войны». Решение оказалось банальным, после того как выписал себе пару тысяч кристаллов, я использовал функцию игры, где можно было дарить донатные плюшки другим игрокам. Проверил,все работало и сохранялось у игрока которому я дарил. Вот тогда я почувствовал себя мамкиным хакером) До сих пор думаю, что если бы развивал себя в той области что-нибудь из этого бы да и вышло)))
Ответ на пост «Про родительский контроль и ограничения компьютера»
Пост-оригинал многим дал повод вспомнить истории из собственной жизни — эпизоды жестких запретов и ограничений от родни для детей-подростков, в стремлении отвадить их от компьютера\интернета\игровой приставки. Обычно такие истории становятся забавным примером детской изобретательности, однако у затронутой темы есть и более серьёзная и мрачная сторона.
Попытки родни взять подростка в «ежовые рукавицы» могут порождать длительные конфликты, выливаться в настоящую войну, с рукоприкладством и враждой, непредсказуемым подростковым бунтом, с побегами из дома, употреблением наркотиков, попытками суицида и пр. Давайте разбираться, в чем здесь проблема.
Во многих семьях сталкивались и продолжают сталкиваться с подобной проблемой — ребенок-подросток совсем «отбивается от рук» с появлением в его жизни компьютера\приставки, перестает учиться, пропускает занятия, почти не выходит на улицу и сутками напролёт сидит и играет в «эти свои проклятые игры» (за наиболее яркий пример возьмем именно их). Родительская логика здесь проста и понятна: «появился новый фактор (компьютер\приставка) -> поведение ребенка сразу изменилось в худшую сторону -> значит, виноват компьютер\приставка -> значит надо просто запретить\ограничить доступ к ним и сразу всё наладится (чадо снова начнет посещать школу, гулять на улице и т.д.)» А если в ответ на «воспитательные меры» чадо ещё и начинает закатывать истерики, вести себя агрессивно и неадекватно, то тут у его родни пазл-то и складывается — «Ну точно как наркоман, у которого дозу отняли! Все из-за игровой зависимости!»
На первый взгляд всё логично. И даже есть некоторые объективные факты, которые подкрепляют такую логику. Игры действительно обладают сильным влиянием, особенно на детскую психику, за счет того, что косвенно манипулируют механизмами психологического вознаграждения. В обычной жизни мы это вознаграждение чаще всего получаем в куда более «разбавленном» виде и его получение сопряжено с выполнением постоянно обновляющегося списка жизненных задач, что, как минимум, требует от нас приложения усилий и сложной деятельности, готовности довольствоваться отложенными результатами. А как максимум — у нас может и вовсе не быть представления, как эти задачи вообще выполнять (воспитание взрослыми далеко не всегда вооружает нас хотя бы минимумом необходимых для этого знаний).
К тому же, игровая зависимость, конечно же имеет место быть, однако у неё нет биологического компонента, который играет важную роль при настоящей наркомании. Это значит, что у игровой зависимости, как и у прочих психологических зависимостей, всегда только психологические причины. Обычно такое становится результатом неблагополучия и дезадаптации человека. Проще говоря — если у него психологический кризис и он не знает, как его разрешить. К благополучному адаптированному человеку психологически зависимости не липнут, потому что у него есть достаточно других способов получать психологическое вознаграждение и позитивные эмоции, чтобы не искать им замену в виде «дешевого суррогата» зависимости.
Что всё это значит, применительно к теме с детьми и играми? То, что если ребенок благополучен, если он не находится в длительном и безвыходном для него стрессе, если он адаптирован и у него есть сферы, где он чувствует себя успешным и компетентным (в меру возраста), то игровая зависимость у него не разовьется. В силу новизны и яркости впечатлений игры на какое-то время его безусловно увлекут, но достаточно быстро наступит пресыщение и он вернется к прежнему ритму жизни. В комментариях к оригинальному посту подобное было наглядно отражено фразой «. а потом мне просто надоело (играть), и я пошел кататься на велике» (именно так и должно происходить в норме).
Родители, в попытке «нормализовать» ребенка через запрет игр, часто не учитывают важные факторы, действующие на ребенка. Например, что кроме игр у него больше нет никакой отдушины. «Иди лучше погуляй» — а у ребенка, например, нет друзей, и одинокие прогулки лишь жирно это подчеркивают, а не развлекают. Либо он вовсе может быть изгоем среди сверстников. «Ты должен учиться, а не играть в игры» — а есть ли у него четкое представление, зачем ему учиться? Просто потому что вы его заставляете? Просто потому что так положено? Тем более, если начало учебы у ребенка не задалось, если он впал в «школьную дезадаптацию», то у него просто нет позитивного опыта школьных достижений, из-за чего школа ассоциируется только с обидными неудачами, давлением и бесконечными бессмысленными требованиями. Иногда и вовсе ребенку вместо игр приходится лицезреть вялотекущий супружеский конфликт в трещащей по швам семье или уныние депрессивного района города. Почему именно ребенок становится «проблемным» при семейных кризисах? Потому что у родителей и выросших братьев-сестер есть, где восстанавливаться свои ресурсы, где разгружаться. У них почти всегда есть какой-то свой мирок вне дома и семьи — друзья, работа, социальные хобби и т.д. А у ребенка никакого другого мира пока нет.
«Пусть лучше занимается спортом\читает книги» — а ввели ли вы его в мир спорта\чтения? Показали ли преимущества этих занятий своим примером?
Иногда игры становятся для ребенка единственным доступным способом убежать от проблем и стрессов, которые он не может разрешить своими силами. Отсюда и такая нервозная реакция, когда его пытаются игр лишить, отсюда отчаянное и едва ли не маниакальное стремление любым способом снова оказаться в мире игры хотя бы ненадолго — в мире, где всё просто, дружелюбно, где легко получить «вознаграждение» за свои усилия, где нет бесконечных и бессмысленных для детской психики требований.
Игровая зависимость — всегда лишь симптом куда больших проблем, растущих из семейной обстановки. В глубине души родители таких детей об этом догадываются, но не хотят признавать своих ошибок и попущений, которые к такому привели, и от того с ещё большим ожесточением пытаются «выдрать с корнем эту заразу» в виде игр, даже видя, как страдает от этого их чадо (но всегда же есть железное оправдание — «это ради твоего же блага»), и даже видя, что их меры делают только хуже.
Лучшая стратегия здесь — позволить ребенку окунуться в игры, мягко подталкивая его к соблюдению разумных рамок. А если проявляются признаки нездоровой увлеченности (играет неделями и месяцами, все мысли только об играх, сузился круг общения и занятостей, резко рухнула успеваемость, нервное раздражительное поведение и т.д.) — то это повод присмотреться, в каких условиях живет ребенок, соответствуют ли стоящие перед ним стрессы и задачи его детским силенкам и его пониманию окружающего мира. Но уж точно не надо давить и запрещать, т.к. это только увеличит количество детского стресса, и вместе с тем — усилит его стремление от этих стрессов убежать. Полностью станут недоступны игры? Он может найти для этого наркотики\алкоголь. Или шагнуть с крыши многоэтажки. Если возник устойчивый кризис и тенденция к бегству от него — любое давление сделает только хуже.
Вирус-шифровальщик зашифровал базу и бэкапы
обидно что вирус зашифровал и основной сервер Windows Server2008 и второй сервер, куда каждый день снимались архивы, на втором сервере 580 архивов за каждый день — тоже все зашифрованы.
сервера я восстановил программой Acronis backup recovery из образа с внешнего HDD (сделанного 1,5 года назад) сервера работают
А что делать с базой (и её архивами) ?
если админы дебилы — пусть платят из личных денег.
зы
бекапы должны быть недоступны .
сколько раз говорил — файловая база 1с только для тестов и демок .
даже простенький минисервер 1с спасает от напасти.
или работа через веб сервер.
>>>куда каждый день снимались архивы,
Вот тут у вас ошибка.
Архивы должны создаваться под отдельной учетной записью, даже не в домене.
(0) Теневое копирование тома — предыдущие версии тоже зашифрованы?
А пробовали — удаленные файлы восстановить поблочно разными альтернативными методами – преимущественно из потоков ($DATA, $MFT и др.) файловой системы NTFS?
(0) У моей клиентки шифровальщик поработал, у нее каспер стоял, но был выключен непонятно по каким причинам. Сразу к ним позвонили, они подключились забрали несколько файлов и через 8 дней расшифровали все.
А эти подонки, чей контакт был во всех директориях требовали 40 тыщ изначально за расшифровку.
Сочувствую. Но помочь здесь вряд ли чем можно — либо платите, либо забейте и начните жизнь с чистого листа. Либо поизголяйтесь как советовал (13)
Админам или "безопасникам" строгий выговор и — 25% премии в этом месяце
(2) >>сколько раз говорил — файловая база 1с только для тестов и демок .
Сколько можно повторять этот бред?
Файловая база самый популярный и самый быстрый рабочий вариант.
На ней работает большинство.
SQL используется очень редко, ее имеет смысл использовать только при 5 и более пользователях одновременно работающих в базе.
Поднимать сервер ради одного- двух пользователей это абсурд.
(35) Какая нафиг реализация, нафига тут вообще алгоритмы?
У тебя есть зашифрованный файл.
Прочитать что там за информация ты не можешь.
Но ты можешь скопировать этот файл — он так и скопируется зашифрованным.
Или зашифровать его.
Берешь текстовый документ. Документ.doc
Шифруешь его с помощь архиватора WinRAR с ключом A%(Js,gytr6t6jh, получается зашифрованный архив Документ.rar
Так вот чтобы зашифровать зашифрованынй архиво Документ.doc не нужно знать ключ шифрования, и не нужно его расшифровывать.
Просто берешь файл Документ.rar шифруешь его архиватором WinRAR.
В итоге у тебя получится зашифрованный архив Документ.rar внутри которго находится зашифрованный архив Документ.rar внутри которого находится документ Документ.doc
Зашифровали базу 1с что делать
Итак, как же нам уберечь наши архивы от шифровальщиков?
Заливка в облака
Прежде всего обратите внимание на недавно появившуюся в обновляторе возможность автоматической (а главное односторонней и однократной) заливки созданных архивов в облака.
Из облаков поддерживаются: ftp, ssh, webdav, mega.nz, yandex.disk, google.drive.
Заливка на сетевые накопители
Под сетевым накопителем я подразумеваю NAS. Причём в роли сетевого хранилища может выступать как специально купленная для этого коробочка (с каким-нибудь линуксом на борту), так и обычный компьютер, с папкой в общем доступе.
При этом мы можем подключить такой накопитель как по полному сетевому имени, так и через сетевой диск, указав имя и пароль пользователя.
Причём лучше всего, чтобы пользователь под которым мы пишем в сетевое хранилище был заведён только в этом сетевом хранилище.
О том как подключать такие хранилища в обновлятор (включая авторизацию) я рассказываю вот здесь: helpme1s.ru/obnovlyator-1s-kak-nastroit-ispolzovanie-setevyx-papok-diskov
Изменение расширения архивов
Этот способ очень примитивный, но пренебрегать им также не стоит. Настраивается он в дополнительных настройках обновлятора:
Разграничение прав на запись к папке с архивами
Общая идея этого способа — сделать возможной изменение папки с архивами только под одним пользователем системы. Назовём этого пользователя BackupUser.
Причём должно выполняться 3 условия:
- Напрямую под BackupUser в системе никто не работает.
- Пользователь BackupUser является владельцем папки с архивами и обладает всеми правами на эту папку.
- У всех пользователей, кроме BackupUser есть права только на чтение папки с архивами (права «Чтение» и «Список содержимого папки»).
При выполнении таких условий любой вирус-шифровальщик будет запущен под учетной записью, у которой нет прав на изменение папки с архивами.
А чтобы обновлятор смог менять папку с архивами достаточно прописать BackupUser в дополнительных настройках:
Не забудьте при этом нажать кнопку «Проверить пользователя», чтобы убедиться что всё в полном порядке.
После такой проверки, к примеру, обновлятор может попросить вас дать пользователю BackupUser права на чтение своей временной папки. Не откажите ему в в этом.
После этого убедитесь, что архивы записываются под BackupUser:
При этом ваша попытка зайти в папку с архивами (под любым другим пользователем) и что-нибудь в ней изменить должна заканчиваться вот так:
С уважением, Владимир Милькин (преподаватель школы 1С программистов и разработчик обновлятора).
Как помочь сайту: расскажите (кнопки поделиться ниже) о нём своим друзьям и коллегам. Сделайте это один раз и вы внесете существенный вклад в развитие сайта. На сайте нет рекламы, но чем больше людей им пользуются, тем больше сил у меня для его поддержки.