Зашифровали базу 1с что делать
Все базы 1С зашифрованы. За расшифровку вымогают деньги
Главбух рассказала, что на сервер проник хакер, после чего все папки с 1С зашифровались. К зашифрованным файлам было приложено письмо с указанием электронного адреса хакера. За расшифровку файлов с компании запросили денежное вознаграждение.
Но что делать, если победить это вирус не удастся, как сдавать отчеты? Эти мысли не дают покоя бухгалтеру. Вопрос. Впереди отчеты в ФНС, ПФР, ФСС.
Как зафиксировать факт атаки?
Как оповестить ФНС и проч., чтобы получить то ли отсрочку, то ли сдать годовую отчетность с данными только 4-го квартала. и не корректными данными за год. Понятно, что распечатаю из СБИСа предыдущие отчеты.
— Angelina V
Компьютерщики говорят, восстановить невозможно. этот вирус новый.
поэтому два выхода: самый простой: заплатить хакеру. и это проще. директор согласен. Просто вопрос : пришлет ли хакер дешифратор? (восстановить всю бухгалтерию по 20 фирмам очень сложно). нас всего два бухгалтера.
и второй выход: как с ФНС и проч. в связи с утерей всей информации.
— Angelina V
Между тем участники обсуждения огорчили бухгалтера, пояснив, что ни ИФНС, ни ПФР, ни ФСС не будут вникать в сложности компании и потребуют своевременной сдачи отчетов с достоверными данными.
Впрочем, бухгалтер вступила в переписку с вымогателями, пытаясь торговаться. Следите за продолжением этой детективной истории в теме форума «Хакерская атака. Потеряна вся 1С. Как объяснить ФНС, ПФР, ФСС».
Желаем нашим читателям никогда не попадать в такие передряги. Делайте резервное копирование базы, используйте лицензионные антивирусные программы, не открывайте файлы, вложенные в подозрительные электронные письма.
Редакция «Клерка» получила информацию от источников в ФНС о том, что в 2022 году налоговики начнут массово снимать расходы компаний.
Чтобы подготовить вас к непростому 2022 году, «Клерк» оперативно разработал уникальный курс по защите при налоговых проверках. Записаться и получить подарок тут.
Тема: Хакерская атака. Потеряна вся 1С. Как объяснить ФНС, ПФР, ФСС.
Опции темы
Поиск по теме
Хакерская атака. Потеряна вся 1С. Как объяснить ФНС, ПФР, ФСС.
Как зафиксировать факт проникновения хакера? Собираюсь написать заявление в полицию, может уже кто-то писал, дайте, плиз, образец заявления, какой текст написать. Уже представляю, как полиция постарается отмахаться даже в попытке подачи заявления.
Кстати, было приложено к зашифрованным файлам письмо. с почтой хакера. понятно, что деньги будут просить. Но я еще не связалась с ними.
Мы готовы заплатить. Вопрос: если кто сталкивался, скажите, дешифратор (код/ключ разблокировки) высылали вам или только деньги получили и в ответ тишина? Вообще, не могу найти информацию, реально ли хакеры высылают пострадавшим дешифратор? На одном сайте только нашла, что «дешифратор выслали, даже дали советы по защите компа, Мы счастливы!» Но именно этот источник выглядит как самореклама самих хакеров.
А мне нужен ответ от обычных людей, попробовавших заплатить хакеру и результат какой.
Конфигурация 7 или 8?
База на сервере или на самом компе?
Лицензионный антивирус стоит?
конфиг 8. (8.2)
базы на компе (в офисе стоит), служил «сервером», один бух работал на нем, а я по удаленке входила и работала..
ативирус стоял Каспер, но бесплатная версия.
Компьютерщики говорят, восстановить невозможно. этот вирус новый.
поэтому два выхода: самый простой: заплатить хакеру. и это проще. директор согласен. Просто вопрос : пришлет ли хакер дешифратор? (восстановить всю бухгалтерию по 20 фирмам очень сложно). нас всего два бухгалтера.
и второй выход: как с ФНС и проч. в связи с утерей всей информации.
Компьютерщики говорят, восстановить невозможно. этот вирус новый.
поэтому два выхода: самый простой: заплатить хакеру. и это проще. директор согласен. Просто вопрос : пришлет ли хакер дешифратор? (восстановить всю бухгалтерию по 20 фирмам очень сложно). нас всего два бухгалтера.
и второй выход: как с ФНС и проч. в связи с утерей всей информации.
Пока не могу сказать с каким расширением. пишу из дома.
системник в офисе. сейчас бухгалтер доедет я попрошу сфоткать.
Подскажите, что именно сфотографировать? как папки зашифрованные выглядят?
Если шифратор спокойно закончил свою работу, то он отослал по мэйлу вымогателям ключ. В этом случае они вышлют Вам ключ для дешифровки после получения денег. Если в процессе шифрования был сбой и ключ не был сформирован, то вымогатели, естественно, ничего не смогут прислать после получения денег.
т.е. ключ выслать могут! уже хоть какая=то надежда!
Спасибо! свяжусь! отпишусь потом.
А им нет смысла не высылать ключ, если таковой у них есть. Они сами заинтересованы в том, чтобы сарафанное радио разносило по инету, что они «честные» вымогатели )
Вы же всё сделали наиболее плохо: ни бэкапов на флэшку, ни лицензионного антивирусника. Детский сад.
Никак. Ни фонды, ни ФНС это не интересует. Отчетность должна быть сдана в срок.
пытаюсь торговаться. жду ответа.
room111, Какая техподдержка при НЕлицензионке?
Можно поплакаться в налоговой и фондах они дадут последние отчеты.
При этом у нас вовсю процветают и сорм-2, и всякие управления с буквами, и «пакет яровой». и роскомпозор бдит и блокирует.
Возможно, что Вы уже решили задачу
Как защитить данные в 1С от вирусов-шифровальщиков: 3 простых действия
С ноября 2018 года участились случаи потери базы данных из-за атак вирусов-шифровальщиков. Рассказываем подробнее, что это и как обезопасить файлы от зашифровки.
Что делает вирус-шифровальщик?
Вирус-шифровальщик (далее — шифровальщик) — вредоносное программное обеспечение, шифрующее файлы пользователя и требующее денежный выкуп за расшифровку. Чаще всего шифруются популярные типы файлов — документы, таблицы, изображения, видеофайлы, документы в формате pdf и др.
В чём опасность таких вирусов для бизнеса?
Главная проблема столкновения с шифровальщиками – невозможность расшифровки файлов после вируса собственными силами. Хакеры используют сложные схемы шифрования и полностью удаляют исходные файлы при помощи специальных алгоритмов. Это исключает возможность восстановления зараженной информации.
Чаще всего заражение вирусом происходит через почтовые вложения. Пользователь получает письмо по электронной почте, замаскированное под знакомого ему адресата или известную организацию (банк, налоговая). В письме содержится информация, способная напугать или заинтересовать получателя: просьба произвести оплату счета, провести бухгалтерскую сверку или т.д. Реже заражение происходит после установки взломанного ПО или после перехода по заражённой ссылке.
Очень часто, заразив один ПК в сети, вирус распространяется и на другие машины. Поэтому на 100% нельзя быть уверенным, что ваши коллеги случайно не откроют вложение с шифровальщиком.
Что делать, если вирус зашифровал базу 1С?
Пытаться выйти на связь с вымогателями и вернуть данные – значит участвовать в незаконной деятельности, к тому же нет гарантий, что после оплаты базу восстановят.
Поэтому бороться с вирусом можно только, проявляя должную осмотрительность.
3 простых шага, чтобы сократить риск потери информации:
1. Обновите операционную систему, браузер, антивирус, программы 1С и другого ПО. Преступники активно используют слабые места в программном обеспечении, чтобы заразить устройства пользователей.
Для обновления программ 1С проверьте наличие договора сопровождения ИТС: продлить или узнать срок его действия можно у специалистов Первого Бита. Помимо обновления воспользуйтесь сервисами ИТС для сдачи отчетности, проверки контрагентов и оценке рисков.
2. Не открывайте вложения из подозрительных писем. Обращайте особое внимание на входящие письма с сомнительными ссылками и вложениями.
3. Проведите регламентные операции с помощью специалиста 1С, который выполнит диагностику технологических ошибок в базе данных, создаст резервные копии информационных баз, выявит технические ошибки в работе системы.
Важно учитывать, что при заражении могут быть зашифрованы даже файлы в облачном хранилище. Поэтому мы рекомендуем вам помещать резервные копии баз в облако с помощью сервиса 1С:Облачный архив с закрытым доступом.
Проконсультируйтесь у наших специалистов по работе облачного сервиса и созданию резервных копий баз в облаке, чтобы защитить бизнес от действий мошенников!
Кибершпана атакует бухгалтерию. Разбор случаев атак на базы 1С
Все наслышаны про нашумевшие хакерские атаки на финансовые организации. Злоумышленники воруют миллионы долларов, их действия детально разбираются исследователями, целая индустрия кормится на средствах защиты от них. В мире офлайновой преступности тоже широко обсуждаются громкие убийства, а не мелкие кражи. Маленькие компании не представляют интереса для серьезного киберкриминала, но подвергаются они атакам не реже крупных банков. Обычно это различное вредоносное ПО, в частности вирусы-шифровальщики, вымогающие деньги за расшифровку файлов. Но встречаются и реальные «хакеры», которые хотят поживиться за счет незадачливых бизнесменов.
Недавно нам удалось изучить две скомпрометированные системы, на которые были осуществлены схожие атаки. На их примере рассмотрим, как действуют злоумышленники, и какие ошибки позволили им успешно проникнуть на серверы организаций.
Жертва 1
Небольшая компания (менее 50 сотрудников). 1 сервер под управлением Win 2008. На сервере установлена 1С Бухгалтерия, развернуты файловые шары. Домен не развернут, на АРМ и сервере используются локальные учетные записи для сотрудников. Бухгалтеры могут заходить из дома по RDP на сервер для удаленной работы в 1С. Администратор приходящий. В целом, картина довольно характерная.
В понедельник утром у бухгалтеров не стартует 1С. Такое бывает. По инструкции администратора бухгалтер заходит в папку с базами 1С, чтобы их «передернуть». Не знаю, что это за режим работы 1С, который требует «передергивать» базы, и что это вообще значит, но баз в папке не обнаруживается. Вместо них лежит файл «ЧИТАТЬ. txt». В нем написано (без всякого уважения к орфографии и пунктуации), что базы похищены. При желании вернуть базы предлагается обратиться по указанному email-адресу (в стиле vasyanpetrov2001@mail.ru).
Начинается паника. Администратор вызван в компанию и безуспешно пытается разобраться, что случилось, и восстановить работу системы. Директор пишет письмо хакеру. Хакер лаконично запрашивает IP-адрес сервера и требует затем 30 000 руб. за возврат баз. Честно говоря, мы полагали, что требовать должны на порядок больше, но злоумышленники, очевидно, лучше знают своих жертв.
Нашего специалиста попросили помочь. Администратор вернул сервер в офис из дома, куда он увозил его для анализа, и сам присоединился к нашему специалисту. Анализ жесткого диска показал, что восстановить удаленные базы уже затруднительно. Из-за многократного включения сервера, попыток восстановления бекапов и прочих манипуляций, удаленные файлы перезаписались новыми. Никаких следов заражения системы, руткитов и т.п. обнаружено не было. В логах (их не почистили) было ясно видно, что в пятницу вечером стартовал перебор логинов/паролей на RDP. В воскресенье незамысловатый пароль одного из бухгалтеров был подобран. Перебор продолжился и закончился только после логина злоумышленника на машину в ночь на понедельник.
Здравый смысл подсказывал, что логика «бизнеса» злоумышленника не предполагала возврата баз, да и вообще их копирования на удаленный сервер. Вирусам-шифровальщикам нужна хорошая репутация для роста платежей, так как они работают массово и жертвы могут почитать о них в интернете. Здесь же логично было на месте хакера просто потребовать еще денег после получения первого транша. Для проверки этой версии были запрошены данные из биллинга провайдера. Действительно, базы никто не скачивал. Их просто удалили. Общение с не уважающим Розенталя хакером, соответственно, было свернуто.
Дальнейшее исследование показало, что в панике все почему-то решили, что последний бекап был пару месяцев назад. Причем базы бекапа лежали на том же жестком диске, что и боевые базы, и были доступны хакеру, но он не удосужился их поискать. На самом же деле бекап был сделан за 1 рабочий день до взлома и информацию можно быстро восстановить. Все мысленно пожелали хакеру мучительной смерти и радостные разошлись.
Рекомендации, которые можно было бы дать пострадавшей компании (с учетом ее скромного размера):
Жертва 2
Крупная компания, располагающая серверы на коллокации в одном из коммерческих ЦОДов Москвы. От ЦОДа поступает информация, что с одного из белых IP компании фиксируется поток вредоносного трафика (подробностей не предоставили). Нас попросили помочь администраторам разобраться, что происходит.
Анализ показал, что трафик идет с виртуального сервера с консолью управления Антивирусом Касперского. Те, кто работал с этим продуктом, знают, что чаще всего контроль над консолью дает администраторские права на всех машинах, где установлен антивирус. Ясно, что седых волос от такой новости у группы администрирования сильно прибавилось. Немедленно был создан снимок виртуальной машины с сохранением данных оперативной памяти. После этого машину в рабочей сети погасили и начался анализ копии в изолированном сегменте.
Каково же было наше удивление, когда мы обнаружили, что взлом был также осуществлен через перебор пароля на RDP из интернета. Администраторы уверяли, что сервер в интернет не публиковался. Параллельно стали изучать последствия взлома и то, как RDP оказался доступен из внешней сети.
Второе выяснилось быстро. Оказалось, что сетевой администратор редактировал листы доступа (ACL) на граничном маршрутизаторе Cisco через консоль. После окончания работ он накатил ACL на интерфейс… наоборот. То есть входящий и исходящий были перепутаны местами, открыв полный доступ к набору серверов из интернета. Этого никто не заметил.
Пароль был подобран очень быстро. В компании была принята парольная политика, но тут про нее почему-то забыли. Затем на сервере были созданы 4 учетные записи с правами локального администратора (Adm1n, Default User, Register, ASPNET). Через какое-то время злоумышленник зашел под учеткой ASPNET. Не обнаружив баз 1С (далее станет ясно, как мы поняли, что здесь также орудовали охотники на 1С), хакер вручную открыл браузер, запустил speedtest.net для понимания пропускной способности канала к серверу, и залил на сервер утилиту для перебора паролей на RDP. Вручную пошаманив с настройками, хакер запустил атаку на внешние серверы. Никаких следов попыток развить атаку на внутреннюю сеть или воспользоваться консолью Касперского не было. Если бы злоумышленник хоть немного пораскинул мозгами, он бы смог в итоге вымогать у жертвы куда больше, чем 30 000 руб.
Для брута паролей использовалась утилита, скаченная с популярного «хакерского» форума. Хакер вручную загрузил словари для перебора и стартовал атаку. Перебор шел для учеток с говорящими именами: Администратор, User1, User2, Buh, Buh1, Buh2, Buhgalter, Glbuh.
Можно посмеяться над примитивностью подходов, полным отсутствием автоматизации и слабыми техническими знаниями взломщика, но все это оказалось достаточно эффективным. За время работы утилиты были взломаны 4 реальных сервера российских компаний (с паролями вроде 12345). Злоумышленник вручную заходил на взломанный сервер, с которого шла атака, и проверял улов, который складывался в файл в папке с утилитой.
В целом, компания сделала выводы после инцидента:
Заключение
Причиной обоих взломов являются скорее не жадные до легких денег скрипткидди, а безалаберность или ошибки самих администраторов. Будет возможность поживиться, найдутся и желающие. Особенно, если для этого не требуется особых усилий. Да и поверхностный подход к взломам можно объяснить не ленью и непрофессионализмом хакеров, а потоковым подходом к атакам: проще перебрать лишнюю сотню серверов, чем копаться с одним.
В любом случае, даже такие простые атаки могут стоить компании любого размера очень дорого. В оффлайне банки строят подземные сейфы, а на ларек на ночь вешают амбарный замок.
Нараспашку двери никто не оставляет. В интернете же до сих пор все несколько иначе. На радость злоумышленникам всех мастей и уровней профессионализма.
Вирус-шифровальщик зашифровал базу и бэкапы
Помогите расшифровать базу 1С 8.2
в субботу вирус зашифровал базу управление торговлей 10.3 и много файлов Word Excel
к имени файлов приписано
!____ELIZABETH7@PROTONMAIL.COM____.c400
зашифровалась даже база 1С файл 1cv8.1cd
теперь называется
1cv8.1cd1Cv8.cf!____ELIZABETH7@PROTONMAIL.COM____.c400
переименование не помогает
даже простенький минисервер 1с спасает от напасти.
или работа через веб сервер.
>>>куда каждый день снимались архивы,
Вот тут у вас ошибка.
Архивы должны создаваться под отдельной учетной записью, даже не в домене.
(0) У моей клиентки шифровальщик поработал, у нее каспер стоял, но был выключен непонятно по каким причинам. Сразу к ним позвонили, они подключились забрали несколько файлов и через 8 дней расшифровали все.
А эти подонки, чей контакт был во всех директориях требовали 40 тыщ изначально за расшифровку.
Сколько можно повторять этот бред?
Файловая база самый популярный и самый быстрый рабочий вариант.
На ней работает большинство.
SQL используется очень редко, ее имеет смысл использовать только при 5 и более пользователях одновременно работающих в базе.
Поднимать сервер ради одного- двух пользователей это абсурд.
(35) Какая нафиг реализация, нафига тут вообще алгоритмы?
Берешь текстовый документ. Документ.doc
Шифруешь его с помощь архиватора WinRAR с ключом A%(Js,gytr6t6jh, получается зашифрованный архив Документ.rar
Так вот чтобы зашифровать зашифрованынй архиво Документ.doc не нужно знать ключ шифрования, и не нужно его расшифровывать.
Просто берешь файл Документ.rar шифруешь его архиватором WinRAR.
В итоге у тебя получится зашифрованный архив Документ.rar внутри которго находится зашифрованный архив Документ.rar внутри которого находится документ Документ.doc