День добрый, господа и дамы. Ситуация возникла. Сегодня на копме главбуха все базы 1с оказались закатанными в архив с паролем. Рядом файлик с текстом: "Внимание! Ваши базы данных заархивированы с паролем, использование их невозможно.
Для получения пароля к архиву от вас требуется оплата 13000р на Яндекс деньги. При согласии напишите на почту rob111stewar@hotmail.com". Подключились тупо по рдп за 2 дня забрутфорсив пароль администратора (про сложность ничего не знаю, но подозреваю, что без инсайдера не обошлось). По айпи вычислил, ломились с трех разных адресов, но все три- точка в океане возле западных берегов Африки (прокся,ясенхуй). Пока пытаюсь восстановить оригиналы (после создания архива их удалили)но что то подсказывает,что толку будет 0 (поверх в той же директории записаны-удалены кучи файлов с нулевым весом и километровыми именами). Платить не хочется(пусть и не из моих прийдется). Что посоветуете? гугление всякими изощренными методами мало что дало
Брутфорсить пароль на архив.
22.05.2014, 08:27
пароль, по словам тех,кто таки платил, пароль вида 3g4f2jk342kh3g4k2 и длиной до 20 символов. нет таких мощностей и времени, к сожалению
и провайдер (при удачном раскладе) сможет указать, кто за проксей сидел(реальный айпи)?
Проси логи у провайдера, на прокси, но это надо заяву в отдел "К" писать
ну, чем черт не шутит, а брут я запустил. бестолку,согласен (пройдут недели и года, но не сломаю никогда...). А с заявой...почитал я про заявы. Отдел К говорит, что человек скрывается за прокси и найти его невозможно, засим "глухарь" и нет смысла искать.
"скрывается за прокси и его невозможно найти"
охуительный у нас отдел К. "а отдать вам логи мы не можем, поскольку принтер не работает"
все эти СОРМ-2 нахуя блять нужны
охуительный у нас отдел К. "а отдать вам логи мы не можем, поскольку принтер не работает"
все эти СОРМ-2 нахуя блять нужны
Бекапы тоже запаролены, ибо,как я сказал, был сломан пароль администратора.
бэкапы лежали на другом устройстве, которое цеплялось по сети. Доступ к нему был только с админки.
ждем схд под ленточный архив и автоматические бекапы :) а пока что...
и? где там в ветке решение? автоматическое сообщение, а потом Уважаемый(ая) wolf3984, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В результате лечения ваш компьютер был избавлен от вредоносных и других нежелательных программ, но чтобы этого не повторилось, мы настоятельно рекомендуем:
бла бла бла. Самого решения нет. только отчет о выполнении
В результате лечения ваш компьютер был избавлен от вредоносных и других нежелательных программ, но чтобы этого не повторилось, мы настоятельно рекомендуем:
бла бла бла. Самого решения нет. только отчет о выполнении
удаленные базы восстановить не удалось-поверх были записаны-стерты кучи файлов. Забыть про архив нельзя,к сожадению. Антивирус был поставлен, однако,когда подобран пароль к админке подключение по рдп он не воспринял как сетевую атаку (все как бы норм, логин пароль верные).
Как написали выше, проще заплатить, и надеяться, что не кинут.
На будущее я бы посоветовал:
1. Оградить вашу сеть хоть каким-то нормальным фаерволом + роутером.
2. Запретить любые внешние подключения, за исключением избранных IP.
3. Бекапы - на будущее - держи не только на отдельном серваке, но и пароль там тоже делай другой. Хост лучше юниксовый.
З.Ы. Антивирус ловит троянов итп. Если кацкер пробился через какую-то дыру в системе, то он бы ничерта и не поймал. Если же атака прошла умпешно именно из-за пойманного вируса, то надо бы еще надавать по жопе бухгалтеру за заслуги перед отечеством.
На будущее я бы посоветовал:
1. Оградить вашу сеть хоть каким-то нормальным фаерволом + роутером.
2. Запретить любые внешние подключения, за исключением избранных IP.
3. Бекапы - на будущее - держи не только на отдельном серваке, но и пароль там тоже делай другой. Хост лучше юниксовый.
З.Ы. Антивирус ловит троянов итп. Если кацкер пробился через какую-то дыру в системе, то он бы ничерта и не поймал. Если же атака прошла умпешно именно из-за пойманного вируса, то надо бы еще надавать по жопе бухгалтеру за заслуги перед отечеством.
за заслуги воздастся, ибо они ныли, что работать на сервере в терминальной среде им "неудобно и медленно" (куда блять быстрее-сервак за 8 лямов) и еще им, видите ли, подавай каспер без родительского контроля. Ну что ж, начальство им убедить удалось, поставили локальные машины. Теперь будут последствия их выебонов
одно жаль, я скоро в отпуск, а отпускные мне не успели начислить
Сочувствую
В подробности не вдавался, но при восстановлении удаленных файлов очень важно,чтобы поверх ничего не записывалось. если хоть один такой мини-файл попадает в кластер, в котором хранились нужные файлы, то весь файл не прочитается или прочитается с ошибкой. как то так, насколько я понял. а этих мини файлов там порядка 16000 в каждой папке
вот это интересный момент.
т.е. злоумышленник пытался создать как можно больше путей, с наибольшим количеством символов, и наибольшим количеством символов файла. Но эта операция не сможет перекрыть размер БД,(кластер или раздел). Может он хотел засрать таблицу FAT? Но от этого файлы физически с винта не удалятся. ну и в принципе бОльшая часть файлов должна быть сохранной. Может я не прав, и чего то не допонимаю. Поправте если не так.
т.е. злоумышленник пытался создать как можно больше путей, с наибольшим количеством символов, и наибольшим количеством символов файла. Но эта операция не сможет перекрыть размер БД,(кластер или раздел). Может он хотел засрать таблицу FAT? Но от этого файлы физически с винта не удалятся. ну и в принципе бОльшая часть файлов должна быть сохранной. Может я не прав, и чего то не допонимаю. Поправте если не так.
я тоже чего то не понимаю и исправлять не буду, но факт остается фактом-файлы восстановить не удалось
