Здравствуй ̶ж̶о̶п̶а̶ newsantaclaus под новый год ;)

Раздел содержит статьи по различным тематикам: безопасность и пр.
iTuneDVR
Сообщения: 3218
Зарегистрирован: 24 авг 2013, 11:05

Здравствуй ̶ж̶о̶п̶а̶ newsantaclaus под новый год ;)

Сообщение iTuneDVR » 28 дек 2018, 23:03

Несколько дней назад, в наш коллектив единомышленников-исследователей IT технологий, обратились с проблемой зашифрованного сервера W2008 вирусом-вымогателем, где находились базы 1Сv8 10 штук, документы предприятия.
Расширение у всех файлов id-XXXXXXXX.[newsantaclaus@aol.com].santa ho-ho-ho ;)

Буквально за месяц до этого задавали другие люди про зашифрованный сервер и про файлы зашифрованные .id-XXXXXXXX.[cryptlife@qq.com].lock в том числе базы 1С, однако этот случай прошел стороной.

Анализ содержимого файлов на сервере зашифрованном newsantaclaus, дал представление о работе вируса и натолкнул на ряд идей, которые позволили извлечь данные из больших backup файлов копий 1С, которые находились на том же сервере, которые были зашифрованы тоже.

Всех кому актуально извлечь информацию из больших зашифрованных архивов - обращайтесь.
Будем посмотреть ;)

P.S.
С обоих приведенных случая заказчики платил вымогателям 100К рублей и $1000 соответственно и были обмануты.
Правовую сторону данного вопроса я не рассматриваю тут.

P.S.2
Структура зашифрованных файлов в обоих случаях очень схожая и скорее это далеко не все, что есть и будет.
В обоих случаях проблемы с администрированием серверов.
Две детали в красках не расписываю, но задуматься об этом необходимо всем!

iTuneDVR
Сообщения: 3218
Зарегистрирован: 24 авг 2013, 11:05

Re: Здравствуй ̶ж̶о̶п̶а̶ newsantaclaus под новый год ;)

Сообщение iTuneDVR » 19 янв 2019, 17:57

В продолжении темы с шифровальщиком newsantaclaus.
Появился собственный опыт восстановления зашифрованной базы 1С (формата 8.2.14 !!!).
Описываемый случай восстановления осложнен был тем, что сама база до зашифровки вирусом-вымогателем была побита (это выяснилось в процессе) и её сборка к рабочему виде оказалась проблемной и весь процесс исследования и поиска решения занял неделю.
При этом на руки была выдана дополнительно к зашифрованной базе еще её копия за апрель, откуда были взяты некоторые объекты в этот вариант восстановления. В частности справочник Банки, который по какой-то причине был побит.
По итогу, средства 1С устранили проблемы с некоторыми объектами, на что сохранены логи, а так же при проверке логической составляющей и других выяснились ошибки. Часть из них балы и в апрельской базе, а часть новых.
Задача оказалась трудоемкой, но результат восстановления говорит сам за себя.
Я доволен и дальше спокойно можно заниматься отложенными в сторону делами, крутить dahua регистратор и univew камеру ;)


Вернуться в «Статьи»