Хакерская атака. Потеряна вся 1С. Как объяснить ФНС, ПФР, ФСС.

[Генук]

Я тут подумал. А как бы на расходы в НУ провести )

[Angelina V]

Я торговалась, в итоге 25 договорились.

[бух2007]

Все восстановилось, все перепроверила.

поздравляю! Хорошо, что этот стресс уже позади!

[Angelina V]

Спасибо... Я до сих пор в себя прихожу.....

[flatcher]

http://scloud.ru/?ref=gwH1G
воспользуйтесь данным сервисом. У них очень надежно защищенные сервера и прописанная договором финансовая ответственность. Сами неоднократно сталкивались с такими ситуациями. И не всегда директора соглашаются давать деньги на оплату (Вам можно сказать повезло)

[FA]

У Майкрософта есть отличный сервис. Облачный бэкап по расписанию с сохранением заданного количества копий (ну т.е. если последний бэкап уже с зашифрованного компа, то можно взять предыдущий). Стоит - копейки. Естественно только при лицензионной ОС.

[room111]

воспользуйтесь данным сервисом. У них очень надежно защищенные сервера и прописанная договором финансовая ответственность. Сами неоднократно сталкивались с такими ситуациями. И не всегда директора соглашаются давать деньги на оплату (Вам можно сказать повезло)

Вы осторожнее со ссылками, реклама на форуме банится

[YUM]

а Вы уверены, что Ваши базы действительно были "зашифрованы" ?
Вот, не далее как сегодня утром получил такую "красоту" на экране
рабочего компа

Разумеется ни какие "порнографические сайты" я не "посещаю". Более того,
меня и на работе-то не было 5 дней!
Ясен пень, что никакой "МВД" не получает штрафные деньги на телефонный номер.
Стал разбираться.
1. Никакой "блокировки" компа, разумеется нет! Это просто картинка на экране, которую
поддерживает просочившийся вирусяга. А значит, топаем в папочку Drivers\etc,
что находится в Виндовозе\System32. ( в "семерке" Windowos.old\System32\drivers\etc
Здесь в файле hosts быстренько обнаруживаем свежую строчку после
стандартной :
# 127.0.0.1 localhost
которую быстренько и убиваем!
Сохраняем файл и отправляемся к "анналам".
2. Поскольку я жуткий консерватор, то активно пользую TotalCommander,
которому и задаю задачку - найти все файлы, измененные за последние
, ну , скажем 5 дней.
Получаю неслабый такой списочек , который вывожу "на панель" того же
"командёра".
О! Вот они, голубчики!!! Папочка с небрежно наименованными экзешниками.
А вот и главный рассадник мразей в рунете - mail.ru и его updater!
Удалить это дерьмо ( пардон мой френч!) прямо из виндовозины ( а "тотал коммандёр"
,к сожалению, именно его внучок, не получится) .
3. запускаю regedit ( а вот тут уже потребуется более - менее профессиональный
юзер!)
а. сохраняю реестр в файл на рабчоий стол. Мало ли чего...Хоть кривой реестр, но может пригодиться!
б. Жму ctrl+F и, пользуясь выведенным на экран списком "новоявленных помощничков", нахожу названия этих файлов и папок. Удаляю.
Сохраняю изменения.

4. Есть у меня еще одна смешная "мулька", которая называется AnviTask Manager.
"Усвоил" я её в давние времена, когда она была абсолютно бесплатной, но уже тогда
удивительно хорошей! Настолько хорошей, что пользователи сами попросили автора сделать эту прогу платной. Купите! Не пожалеете ни разу!!! Тем более , что деньги там просят совсем смешные.
Запускаю "Анвира". Первое, что она делает - смотрит в автозапуск. Если прога
стартует вообще впервые, она спрашивает обо всём, что стартует вместе с компом -оно Вам надо?
А уже при следующем запуске сообщает какие проги были добавлены в атопуск.
Во-от! Вот она эта мразь, по имени mail.ru с обновлятелем! Убираем и её и всё, что
было добавлено без моего разрешения! В итоге осталось 7 программ.
Бывает что нужно и еще меньше!
5. Тут же в "Анвире", есть окно для просмотра всех запущенных процессов.
"гасим" все, которые вызвали наше сомнение.
А чтобы не погасить полезное, запрашиваем совета в интернете, просто поставив курсор на имени процесса и нажав специальную кнопочку на панели "анвира". Онлайновые антивирусы, "посовещавшись" сообщают что это за..и как его...
Дополнительным плюсом является то, что "анвир" нам показывает и то место, откуда "процесс пошел" ( прям по Горбачеву!)
6. "удавить" одноименные сервисы в соседнем окошке уже не составит труда.
В заключении:
можно всё это решить проще при помощи "одноразвых" антивирусов, полученных из сети и запускаемых с "флэшки", на всякий случай - прикрытой от перезаписи.
Но я этим "одноразовым" не совсем доверяю. Т.к. они "попутно", могут и ещё что то
снести.
Ну и совсем уж в конце. AnvirTask Manager ( сейчас может называться-AnvirStart Manager)
приходит с условно - бесплатным редактором реестра, который бесплатно трудится дней 20. Чего вполне хватает на "лечение" даже не очень квалифицированными руками.
PS. пока писал пост, запущенный "анвир" выдал инфу:

ух я их!!!

[Шерочка]

Спасибо... Я до сих пор в себя прихожу.....

Вот какое письмо опубликовано на сайте Сбис++
11 ноя 13:54

Осторожно: вирус-шифровальщик!
Зафиксированы случаи распространения вируса-шифровальщика через электронную почту. Вредоносные письма приходят с вложением СБИС+Docs.zip и текстом «СБИС++ Электронная отчетность и документооборот... Обязательно к ознакомлению».

[flatcher]

У Майкрософта есть отличный сервис. Облачный бэкап по расписанию с сохранением заданного количества копий (ну т.е. если последний бэкап уже с зашифрованного компа, то можно взять предыдущий). Стоит - копейки. Естественно только при лицензионной ОС.

а как называется? Есть еще сервис у 1с непосредственно "1с облачный архив" но он только для файловых баз

[flatcher]

Вот какое письмо опубликовано на сайте Сбис++
11 ноя 13:54

Осторожно: вирус-шифровальщик!
Зафиксированы случаи распространения вируса-шифровальщика через электронную почту. Вредоносные письма приходят с вложением СБИС+Docs.zip и текстом «СБИС++ Электронная отчетность и документооборот... Обязательно к ознакомлению».

еще на 1с пишут такие вирусы! Ноу хау вирусописателей

Здравствуйте!
У нас сменился БИК банка.
Просим обновить свой классификатор банков.
Это можно сделать в автоматическом режиме, если Вы используете 1С Предприятие 8.
Файл - Открыть обработку обновления классификаторов из вложения.
Нажать ДА. Классификатор обновится в автоматическом режиме.
При включенном интернете за 1-2 минуты.

Те кто открывает обработку скачивают вирус шифровальщик уже через 1с и отправляют письмо "счастья" всем контрагентам из базы 1с где указана эл. почта

[room111]

У нас на сервере настроено теневое копирование данных - как я понял из объяснений сисадмина 2 раза в день сервер переносит самые важные данные с основного жёсткого диска на резервный. Ну и всякие фаярволы, брандмауэры стоят. Бухгалтерия работает в 1Ске в терминальном режиме, сама база стоит на сервере и доступ к файлам базы закрыт.
И все сотрудники не имеют возможности работать с правами админа. У каждого своя учетка, и вирусня дальше учетки сотрудника обычно не пролазит. По сути у сотрудника запрещено всё, что не разрешено - т.е. по соцсетям не полазишь и на левые сайты тоже.

Я это к тому говорю, что ваша информационная безопасность зависит в первую очередь от жадности директора и грамотности сисадмина, а уже во вторую - от каждого конкретного сотрудника.

[Генук]

room111, кхе, кхе... а klerk.ru?

[Шерочка]

У нас на сервере настроено теневое копирование данных - как я понял из объяснений сисадмина 2 раза в день сервер переносит самые важные данные с основного жёсткого диска на резервный. Ну и всякие фаярволы, брандмауэры стоят. Бухгалтерия работает в 1Ске в терминальном режиме, сама база стоит на сервере и доступ к файлам базы закрыт.
И все сотрудники не имеют возможности работать с правами админа. У каждого своя учетка, и вирусня дальше учетки сотрудника обычно не пролазит. По сути у сотрудника запрещено всё, что не разрешено - т.е. по соцсетям не полазишь и на левые сайты тоже.

Я это к тому говорю, что ваша информационная безопасность зависит в первую очередь от жадности директора и грамотности сисадмина, а уже во вторую - от каждого конкретного сотрудника.

Полностью с вами согласна. Чем лучше оснастишь сервер, тем сохраннее будут данные в нем. У нас была такая же хакерская атака в конце декабря 2014 года. Все что было на сервере зашифровалось. Естественно денег просили. Но наш сисадмин не стал платить. Жалко только мои архивы баз 1С, да письма в налоговую. Слава богу мой системный блок не был включен тогда, а то бы и мои базы зашифровались. Системщик сейчас делает зеркало с диска, каждую ночь на сервере. Антивирус у всех сотрудников установлен. Я своим трудом очень дорожу. Поэтому попросила защитить мои базы.

[FA]

Поскольку я не спец, то не помню. Обратитесь к их представителям - сразу скажут. У нас все работает. Бэкапим раз в неделю более 200 баз, стоит что-то порядка 800 руб/мес (там от места зависит и от чего-то еще).

[Mmmaximmm]

Разумеется ни какие "порнографические сайты" я не "посещаю". Более того,
меня и на работе-то не было 5 дней!
Ясен пень, что никакой "МВД" не получает штрафные деньги на телефонный номер.
Стал разбираться.

У меня один раз сын такую ошибку словил, не знаю уж чего он там посещал, я своими силами смогла откатить систему на день назад

[leo_cheri]

Заблокированно

[Над.К]

leo_cheri, подобные ссылки у нас запрещены.

[Winny Buh]

хорошо, что все обошлось.
теперь наверняка будете делать архивные копии.
можно выбрать из вариантов:
- если у 1С есть оформленная подписка ИТС ПРОФ, то в его стоимость уже входит штатный сервис 1С:Облачный архив
- настроить систему резервного копирования от сторонних разработчиков, лучше куда-нибудь в облако, систем подобных довольно много, есть как платные, так и бесплатные
- полностью перенести всю базу данных на облачный сервер и переложить ответственность по сохранности ваших информационных баз на владельца облака

[Шерочка]

хорошо, что все обошлось.
теперь наверняка будете делать архивные копии.
можно выбрать из вариантов:
- если у 1С есть оформленная подписка ИТС ПРОФ, то в его стоимость уже входит штатный сервис 1С:Облачный архив
- настроить систему резервного копирования от сторонних разработчиков, лучше куда-нибудь в облако, систем подобных довольно много, есть как платные, так и бесплатные
- полностью перенести всю базу данных на облачный сервер и переложить ответственность по сохранности ваших информационных баз на владельца облака

Как я выяснила, 1с облачный архив платный. Вот подключение к нему по моему бесплатное.

[amon_ra]

Сообщаем для всех, кто был или будет зашифрован от вируса Globeimposter 2.0, еще его называют Trojan-Ransom.Win32.Purgen.aho (файлы шифруются под .mark) или вообще от любого другого вируса-шифровальщика. НЕ платите вымогателям ни копейки! Никакого дешифратора вам не вышлют, вы просто потеряете свои деньги. Жертва в апреле 2019 г. пострадала от вышеуказанного вируса, в виду отсутствия бэкапов и невозможности восстановить файлы через какие-либо программы (Data Recovery, Shadow Explorer и т.п.) жертва решила выйти на связь с мошенникамии выкупить дешифратор. Писали с ящиков: diesel_space@ aol.com и diesel_space@ india.com . Требовали 0,5 биткоина за дефишратор. Когда сумма была переведена на кошелек хакеров, они написали, что прежней договоренности конец, платите еще 1,4 биткоина и мы вышлем вам дешифратор и, естественно, ничего не отправили. Конечно же, жертва не стала более ничего платить, но и осталась ни с чем. Будьте осторожны! НИЧЕГО вам не вышлют! Ни эти мошенники, ни другие...

[АнонимЕ]

У нас вирус. Зашифрована 1 С бухгалтерия за несколько лет. Нанятые специалисты пытаются помочь, но пока безуспешно.Идет к тому, что придется все восстанавливать. С нуля. С чего начать? Что необходимо сделать в первую очередь? За три года?

[Анжелика Ник]

С нуля. С чего начать? Что необходимо сделать в первую очередь? За три года?

ищите архив.. за три года что ни разу не делали копию? при обновлении всегда предлагает сделать копию

[АнонимЕ]

ищите архив.. за три года что ни разу не делали копию? при обновлении всегда предлагает сделать копию

Все копии тоже зашифрованы, т.к. сохранялись не там, где следовало бы.