Злоумышленник зашифровал базы 1С и другие файлы

Публикация № 311132

Администрирование - Информационная безопасность

FKLOCK ВАШИ ФАЙЛЫ ЗАШИФРОВАНЫ КАК РАСШИФРОВАТЬ ФАЙЛЫ злоумышленник вирус ufsupport@meta.ua

47
Звонит пользователь, на экране сообщение ваши данные зашифрованы, введите пароль, пишите письма и т.д.

Текст  письма злоумышленника:

ВНИМАНИЕ!!!
ВАШИ ФАЙЛЫ ЗАШИФРОВАНЫ, И ЭТО ФАКТ. КОЛ-ВО ПОПЫТОК ВВОДА ПАРОЛЯ -10, ПОСЛЕ ЭТОГО ВОССТАНОВЛЕНИЕ ФАЙЛОВ
БУДЕТ НЕВОЗМОЖНО.

НЕ РЕКОМЕНДУЕТСЯ:
- ПРОВЕРЯТЬ КОМП АНТИВИРУСОМ;
- ПЕРЕУСТАНАВЛИВАТЬ ВИНДОВС;
- ПЫТАТЬСЯ ВОССТАНОВИТЬ ДАННЫЕ САМОСТОЯТЕЛЬНО.

 ВСЕ ЭТИ ДЕЙСТВИЯ - БЕСПОЛЕЗНАЯ ТРАТА ВАШЕГО ВРЕМЕНИ И УСИЛИЙ, А ТАКЖЕ РЕАЛЬНЫЙ РИСК ПОТЕРЯТЬ ВСЮ ИНФОРМАЦИЮ НАВСЕГДА. НЕ УСЛОЖНЯЙТЕ СВОЕ ПОЛОЖЕНИЕ, ЛУЧШЕ ПИШИТЕ НА:
ufsupport@meta.ua

И ВСЕ БУДЕТ ХОРОШО. ДО СКОРОГО.

 

Вобщем дело было так.
Звонит пользователь, так мол и так, сообщение (введите пароль) на экране (пользователи по терминалке с ограниченными правами). Как я понял проникновение было подбором пароля (после недавней переустановки ПО не успели поработать по безопасности). На счастье нашел незакодированный архив (старый) в котором содержались некоторые файлы, которые повторялись в каталоге с базами данных в закодированном виде. Имменно благодаря сравнению удалось выяснить способ кодировки.
Кодировка начинается с 29 байта включительно (что бы осталась шапка файла, что бы файлы определялись по содержимому) и заканчивается на 1786639 включительно. Кодировка происходит переворачиванием (NOT) некоторых битов в байте (обычно один бит в старшей группе (биты 7-4) и один в младшей (биты 3-0)) в зависимости от того на каком месте они (байты) стоят (различаются 16 мест), т.е. через 16 байт способ кодировки повторяется.
Для начала я решил составить таблицу перекодировки, т.е., допустим, A5 соответствует B3 в первой позиции и т.д.:

позиции
      1 |        2 |       3 | .... |   16 |

00-F0 |  00-E8 | 00-23 |
...
A5-B3 | A5-C7 | A5-9F |
A6-B2 | A6-C8 | A6-9E |
...

Т.о. получался массив из 16 позиций в каждой по 256 элементов соответствий (2 байта) или 3-мерный массив (16,256,2). Этот массив я заполнил из имеющихся пар файлов (оригинал-закодированный), мне повезло после того как я обработал пару десятков таких пар файлов весь массив у меня заполнился. Вначале я еще не знал по каким правилам можно заполнить соответствия, после заполнения видна явная закономерность (см.выше), хот она мне и не понадобилась, возможно, поможет кому то если файлов пар окажется недостаточно.
Имея на руках таблицу я принялся раскодировать (благо правила совпадали для всех файлов).
Когда начинал писать думал или Delphi или FoxPro, но т.к. я владел только DOS-овскими аналогами (TP 7 и FoxPro 2.0/2.6 которые не подходили - длинные имена русские буквы) быстрее оказалось написать на 1С v7 используя ВК binfiles (что конечно отразилось на скорости раскодировки, но все равно хорошо :) ). Написал 2 обработки: одна собирает таблицу перекодировки из пар файлов (находящихся в одном каталоге), другая раскодирует все файлы в каталоге по предварительно собранной таблице перекодировки. Для тех у кого отсутствуют пары файлов может подойдет и моя таблица перекодировки (если злоумышленник использует один способ).

Предлагаю ИБ 7.7 с обработками

ИБ - для хранения таблицы перекодировки, которая состоит из 2-ух справочников: "Матрица" (16 элементов-позиций) и подчиненный ему "Коды" (максимум по 256 элементов при полной таблице перекодировки) реквизит Код - байт оригинал, реквизит Наименование - кодированный байт (в виде 2-ух символьной строки - HEX-представлении байта). В справочнике Матрица есть реквизит Кол - количество подчиненных элементов (будет расти по мере заполнения таблицы перекодировки), в данной ИБ таблица перекодировки уже заполнена, поэтому для заполнения ее вашими файлами справочник Матрица предварительно очистите, если нет пар файлов попробуйте использовать заполненную таблицу перекодировки (вдруг повезет)

ЗаполнениеМатрицы.ert - заполняет таблицу перекодировки (в указанном каталоге должны содержаться пары файлов *.* - *.*.FKLOCK не кодированные - кодированные, обратите внимание размер должен совпадать). Так же убедитесь что содержимое пар файлов отличается после 28 байта.

ПроверкаСовпаденияКодов.ert - проверяет совпадают ли значения Код и Наименование справочника Коды. Совпадать не должны, если совпадают значит в качестве пар файлов вы положили одинаковые файлы по содержанию (например оба закодированы). Проверка выполняется до расшифровки (иначе расшифровка бессмысленна), если проверка нашла совпадения - Ваша таблица перекодировки неправильная, можете удалить и начать заполнение заново, предварительно выявив и удалив предательскую (совпадающую) пару файлов.

Расшифровка.ert - расшифровывает по заполненной таблице перекодировки (в т.ч. частично заполненной, т.к. возможно этого будет достаточно, но нет 100% гарантии), в.т.ч. возможность включить вложенные каталоги. Расшифровка копирует файл *.*.FKLOCK в *.* который и расшифровывает (т.е. FKLOCK файл не затрагивается), если при этом файл *.* уже есть, он переименовывается в *.*_ файл. Т.о. на диске должно быть свободное место для расшифровки от 1-го до 2-ух объемов FKLOCK файлов (закодированныз файлов).

 

P.S.

Думаю обработки могут подойти и для других расширений (LOCK, CRYPDER и т.д.)

BinFiles включен в архив.

Про права: бесплатно, никаких гарантий, надеюсь за BinFiles меня не засудят :)

47

Скачать файлы

Наименование Файл Версия Размер
Coder
.rar 106,68Kb
05.11.14
45
.rar 1.0 106,68Kb 45 Скачать

Специальные предложения

Комментарии
Избранное Подписка Сортировка: Древо
1. Sanario 20 08.11.14 13:23 Сейчас в теме
Ну вот и 1С подстегнули для расшифровки троянов энкодеров. Обработка несомненно хорошая, правда работает только для одного вида трояна. И для других придется искать другой алгоритм. Плюс однозначно.
2. script 206 08.11.14 16:31 Сейчас в теме
Мой клиент месяца 2 назад заплатил таким редиска.
3. Pasha1st 579 08.11.14 17:18 Сейчас в теме
>Кодировка происходит переворачиванием (NOT) некоторых битов в байте
>через 16 байт способ кодировки повторяется
Это означает XOR по строке длиной 16 байт ;)
Типовой вариант кодирования, проверяется в первую очередь. Действительно, для получения маски надо знать оригинал и код, их XOR и даст маску для декодирования.
корум; Патриот; +2 Ответить
4. Bukaska 130 08.11.14 19:06 Сейчас в теме
кодируют каждый раз по разному.. не универсальное конечно же.. решение
5. insurgut 196 10.11.14 11:13 Сейчас в теме
Получается, это какой-то старый шифровальщик нацеленный на базы 1С 7.7 версии?
6. PiccaHut001 10.11.14 11:32 Сейчас в теме
(5) insurgut, нет. Подлый шифровальщик шифровал вообще все файлы, а автор написал расшифровщик на 1С 7.7
7. logdog 10.11.14 11:32 Сейчас в теме
Этим 1С как-бы говорит, переходите на 8.3 =)
8. AlX0id 10.11.14 12:12 Сейчас в теме
(7) logdog, а что, 8.3 защищена особым образом от порновирусов? )
корум; +1 Ответить
10. Bukaska 130 10.11.14 12:58 Сейчас в теме
(8) AlX0id, При чем тут порновирусы и 8.3?
порнобаненеры вообще-то не шифровальщики.. порнобаннер на рабочем столе снять - 5 минут работы, порнобаннер в браузере - ну тут подольше повоюешь - пока разберешься)
Самая неприятность - шифровальщики.. от них не всегда есть ключи расшифровки
11. insurgut 196 10.11.14 13:52 Сейчас в теме
(10) Bukaska, все верно. Если бы вирусы просто напросто удаляли бы все файлы - и то было бы проще, т.к. их можно было бы восстановить соответствующими утилитами. В случае с шифровальщиками - файлы перезаписываются. И спасут только разве бэкапы.
26. AlX0id 11.11.14 00:10 Сейчас в теме
(10) Bukaska,
Проно - это я не про форму вируса, а про источник распространения )
А так - наиболее защищенный метод бекапов - сейвить на десяток разных флешек попеременно и держать их не воткнутыми в системник :)
30. Bukaska 130 11.11.14 10:00 Сейчас в теме
(26) AlX0id, И это тоже..)
(27) Region102,
Насчет RSA Пример и ещё пример
особенно первая ссылка с подробным описанием)
32. Sanario 20 11.11.14 10:19 Сейчас в теме
(30) Bukaska, киньте ссылки целиком - не переходит по ним почему-то. Редирект не делается
9. artfa 41 10.11.14 12:21 Сейчас в теме
12. -fox- 10.11.14 13:57 Сейчас в теме
1с пошла на крайние меры что бы избавиться от поддержки 7.7.
13. insurgut 196 10.11.14 14:03 Сейчас в теме
(12) -fox-, это вряд ли :) Потому что *.1CD файлы шифровальщики тоже любят. А это говорит об ориентированности хакеров именно на российский рынок. Потому что у нас никто их не наказывает.
14. Sanario 20 10.11.14 14:06 Сейчас в теме
(13) insurgut, вариант перехода только на скуль? :) С файлом базы без расширения (когда я с подобным столкнулся - были шифрованы файлы только с расширением)
15. insurgut 196 10.11.14 14:11 Сейчас в теме
(14) Sanario, да, клиент-серверный вариант пока что спасает от этой проблемы, потому что доступа к файлам баз SQL вирус не получит, даже если они в зоне его видимости. И все же, ничто не стоит хакерам и эту проблему решить - останавливать сервис SQL и шифровать базы.

Но чтобы на сервере запустить исполняемый код шифровальщика... не знаю кем надо быть. Хотя - видел настраивают доступ для пользователей по RDP и дают им права администратора. Тут все от компетентности администратора зависит. Ни в коем случае никогда пользователей напрямую пускать на сервер нельзя. Отговорки по типу "у нас только 1 сервер, иначе никак" - для ленивых. Ничто не мешает запустить тот же HyperV и настроить доступ к базе через виртуальную машину.
16. Sanario 20 10.11.14 14:25 Сейчас в теме
(15) insurgut, а там схема простая как 2х2. По крайней мере в моем случае было так - брутом ломанули пароли к администратору (прошлый был не особо умный и ленивый - пароль 123 ему нравился) и после этого уже творили на сервере что хотели. Да еще и порт по умолчанию во внешку висел - 3389 который. Пришлось откупаться, а уж потом я сделал все по уму:

1. Систему пришлось переставить - ибо хз какие могли остаться закладки
2. Система паролей организовал со всеми мерами предосторожности - заглавные, строчные, символы, цифры
3. Авторизация по другому порту
4. Правильно устроил доступы и роли на сервере
5. Ограничил число попыток авторизации по времени и количеству.

Пользователи попыхтели но от безалаберности потихоньку отвыкают
Master598; Spacer; scarfase; Дмитрий74Чел; +4 Ответить
17. insurgut 196 10.11.14 14:29 Сейчас в теме
(16) Sanario, все правильно сделали!
19. Sanario 20 10.11.14 14:37 Сейчас в теме
(17) insurgut, Что-то забыл?

Резервное копирование настраиваю по умолчанию :) Потому и не упомянул
21. insurgut 196 10.11.14 14:46 Сейчас в теме
(19) Sanario, прошу прощения, знак не тот поставил, вместо "!" - "?"
24. -fox- 10.11.14 15:13 Сейчас в теме
(13) insurgut, у 1с есть на это решение, облако!
25. insurgut 196 10.11.14 18:52 Сейчас в теме
(24) -fox-, думаю это не всегда удобное решение. В принципе достаточно отдельной виртуальной машины без доступа к ней обычным пользователям.
18. Bukaska 130 10.11.14 14:35 Сейчас в теме
(12) -fox-, При чем тут 1С???
Последние версии шифровальщиков не жалеют ничего.. ни *CD, ни *dbf, даже архивы и то будут зашифрованы. Так что последние версии не жалеют никакие форматы и шифруют всё что можно..
Не только 1с, но и файлы базы налогоплательщика ЮЛ, и даже файлы от программки ПФР.. так что берегите данные. делайте бекапы в папку, где нет прав на чтение, но есть права на запись, тогда данные целее будут)
scarfase; Дмитрий74Чел; +2 Ответить
20. Sanario 20 10.11.14 14:39 Сейчас в теме
(18) Bukaska, вот про чтение и запись я как то не докумекал... Спасибо за подсказку
22. Tomy82 47 10.11.14 15:07 Сейчас в теме
это сообщение при включении или уже во время сеанса в 1С?
23. -fox- 10.11.14 15:10 Сейчас в теме
У этой ситуации есть и другая сторона медали, мелкие конторы не будут самостоятельно обслуживать ИБ. Появиться больше рабочих мест для квалифицированных специалистов.
27. Region102 11.11.14 05:54 Сейчас в теме
Конечно может кому и поможет, но сейчас ребята с криптовирусами доросли до RSA и расшифровать данные без ключа злоумышленника теперь не получится. Так что учите своих клиентов и друзей "интернет гигиене".
AllexSoft; +1 Ответить
28. webester 29 11.11.14 07:18 Сейчас в теме
Постоянно слышу про эту проблему там где есть терминальный сервер, была уязвимость в какой то версии рдп, сервер я так понял у вас принимает подключения извне и обновления не устанавливаются?
29. dandykry 3 11.11.14 08:36 Сейчас в теме
Я так понимаю если нет незашифрованного файла, то можно отдать заранее подготовленный файл шифровщику на растерзание, а потом делать маску. Стало настолько интересно, что готов на виртуальную машину пустить гада и поиграться. У кого-нибудь есть?
31. Sanario 20 11.11.14 10:19 Сейчас в теме
Млин, у одного меня редирект с инфостарта не работает?
34. Bukaska 130 11.11.14 10:33 Сейчас в теме
(31) Sanario, нет.. это видать у форума редирект отключен. Копируем ссылку и тогда должно работать)
35. iov 364 12.11.14 03:55 Сейчас в теме
жаль потерли сайт и "стену позора"куда выкладывались емейлы тех кто заплатил - так вот там были и очень крупные компании и писатели антивирусов- делайте выводы. как говорится.
36. Bukaska 130 12.11.14 09:52 Сейчас в теме
(35) iov, в смысле.. что бы за сайт?
Хочешь сказать, что если организация заплатила за ключ расшифровки - то она в позоре?
А если ключ формируется сервером злоумыленника. Между прочем если тип шифрования RSA1024, то я не думаю, что это вирлабам под силу. Достаточно почитать что это такое - и все вопросы отпадут.
ivprovotorov; AllexSoft; +2 Ответить
37. Sanario 20 12.11.14 10:05 Сейчас в теме
(35) iov, во первых если стоит работа и потери крупнее, чем сумма выплаты - то никто простой оплачивать не будет, во вторых, если ключ шифрования на 256 битах - запаришься расшифровывать
AllexSoft; +1 Ответить
38. Bukaska 130 12.11.14 11:39 Сейчас в теме
(37) Sanario, Как раз AES256 ещё некоторые порталы могут помочь,А вот RSA1024 из моего поста (33),там точно и сам бог вселенной не поможет)
39. Sanario 20 12.11.14 12:05 Сейчас в теме
(38) Bukaska, в некоторых случаях и AES256 не вскроешь. Особенно если двойное шифрование ... Называется заплатите и не мучтесь
41. Bukaska 130 12.11.14 15:49 Сейчас в теме
(39) Sanario, На этот случай не так давно есть сервис)
Платите 500р и даете нужные файлы для расшифровки)
Если не получилось расшифровать данные, вам деньги вернут.
Но это уже конечно не сервис злоумышленника, а как один из сервисов специализированных порталов)
44. Bukaska 130 13.11.14 09:40 Сейчас в теме
40. karapuzzzz 63 12.11.14 15:36 Сейчас в теме
Обезопаситься от таких случаев или, хотя бы, свести к минимуму последствия не так уж и сложно (потерять пол рабочего дня и восстановиться из архива). Я думаю, что те, кто попался вынесут из этого хоть какие-то выводы?
А платить за что-то надо. Тут или админам за правильную настройку или ...
42. DAnry 6 12.11.14 18:43 Сейчас в теме
А я первый раз про такое слышу. Видать к нам ещё не добрались... Честно говоря в шоке!
43. CaptainMorgan 12.11.14 18:56 Сейчас в теме
Есть 100% способ лечения:
Восстановление погибшей базы из вчерашней копии.
Выполнение элементарных правил информационной безопасности еще ни кто не отменял.
Сисадмин каждое утро должен быть удивлен тому, что за ночь ни чего не рухнуло (а не наоборот).
корум; Sardukar; +2 Ответить
45. AllexSoft 13.11.14 09:53 Сейчас в теме
Жена словила такой вирусняк, он ей учебную демо базу бухгалтерии зашифровал =))) винду переставил, новую демо базу поставил, пускай учится ))
46. Bukaska 130 13.11.14 09:55 Сейчас в теме
(45) AllexSoft, текущие версии шифровальщиков не жалеют ничего, даже архивы)))
47. AllexSoft 13.11.14 09:58 Сейчас в теме
(46) Bukaska, у нее все равно ничего ценного там не было, пусть хоть все шифруют ) единственное фотки зашифровал кое какие.. ну и фиг с ними )
48. Bukaska 130 13.11.14 10:03 Сейчас в теме
(47) AllexSoft, Зато у нас некоторые клиенты схватили такое, о чем я давала ссылки.. там файлы шифруются типа:
Файл.xls.id-{KNOPRSTUVWYZABCDEFGHJJKLNNOQRSSUVWXY-13.10.2014 10@23@061057749}-email-mserbinov@onionmail.in_mserbinov@aol.com-ver-4.1.0.0.rar
Это как раз 4 версия по моим ссылкам)(33), Сейчас уже пятая версия идет)
70. Pasha1st 579 29.01.15 23:26 Сейчас в теме
(48) Bukaska, Как раз на днях ко мне обратились с таким, уже 6 версии. Пошифровал базы от 7.7 Торговли. В процессе изучения было замечено что троян шифрует блок 1кб в начале файла и возможно 1кб в середине. Плюс дописывает текстовый "хвост" со своей информацией.
Что удалось:
1. берем 1cv7.md, 1cv7.dd, кладем в новый каталог, заходим туда конфигуратором и заставляем 1С пересоздать DBF-файлы. Получаем пустые заголовки файлов. Структура DBF-файла такова, что сначала идет 32 служебной информации (количество полей, количество записей), затем по 32 байта на описание каждого поля.
На коленке пишу утилиту, которая определяет шифрован ли файл, если да - отрезает "хвост", и переписывает заголовки из "образца", плюс пересчитывает и вписывает количество записей. Ну и плюс-минус пара тонкостей учитывается.
Получаем файлы, в которых почти все данные есть, за исключением первых записей и "дырки" в середине. На получившийся набор натравляем "Тестирование и исправление ИБ", которое уже опознает в файлах базу и вычищает битые куски. На выходе - почти полный восстановленный набор данных. Вести учет в такой базе я бы не рискнул, но посмотреть историю и снять почти все остатки можно.
71. Cooler 21 30.01.15 00:51 Сейчас в теме
(70) Pasha1st, мне довелось вчера познакомиться с результатами "работы" версии 6.1.0.0.b. Испорчены как базы 8, так и 7.7. Маленькие файлы зашифрованы полностью, в крупных - 4 фрагмента по 1 килобайту: один в самом начале, остальные три расположены примерно равномерно по файлу. Можно было бы попытаться подменить эти фрагменты аналогичными из архивной копии (даже старой), но ее нет. Видимо, будут обращаться к злоумышленнику.
72. Program 207 23.03.15 08:28 Сейчас в теме
(71) Cooler, Только что попалась база, зашифрованная уже 8 версией данного шифратора. Снесла конец файла, перезаписала заголовок, база ожила. То, что в центре перебирать не стала. База ожила. Документы повыдергивать можно, что уже неплохо
49. ignor 221 13.11.14 15:22 Сейчас в теме
У нас вот другая ситуация. Злоумышленник упаковал все до чего смог дотянутся в архивы rar с паролём. И мне интересно какова вероятность, имея неупакованный файл и упакованный с неизвестным паролём, подобрать пароль?
50. Tiger86 13.11.14 15:56 Сейчас в теме
ну програмки для подбора паролей к rar вроде есть в сети, другое дело, что они достаточно долго подбирают пароли вроде как
52. Cooler 21 13.11.14 19:13 Сейчас в теме
(50) Долго потому, что уже очень давно в WinRAR встроена специальная защита от подбора. Если мне не изменяет склероз, то перед упаковкой сам пароль пропускается через процедуру шифрования 250 тысяч раз или около того. Соответственно, при переборе паролей надо проделывать такую же процедуру, что снижает скорость подбора до нескольких тысяч или даже сотен в секунду. А это очень и очень мало для нормальных (длинных) паролей.
53. ignor 221 13.11.14 19:14 Сейчас в теме
(50) Tiger86, интересно бы не перебором, а архивацией с шифрованием одного маленького файла который имеется в несжатом виде и сравнением его с архивом на котором пароль. Нам не базу пожали с паролем, а кучу разнообразных документов на общем ресурсе.
54. Cooler 21 13.11.14 19:35 Сейчас в теме
(53)
интересно бы не перебором, а архивацией с шифрованием одного маленького файла который имеется в несжатом виде и сравнением его с архивом на котором пароль
Интересно другое - вы вообще имеете представление о том, чего хотите? Разные пароли - разные архивы, даже простейший 6-символьный пароль из одних только цифр даст вам миллион разных зашифрованных файлов. Замучаетесь сравнивать.

А 12-символьный, с буквами и спецзнаками? А 20-символьный не хотите? Где вы их хотя бы хранить собираетесь?

В конце концов, это тот же перебор получается.

А склероз меня не подвел, вот что нашлось тут:
Принцип разархирование прост – при вводе пароля, из него 262144 раз вычисляется хеш по алгоритму SHA1, и полученным ключом WinRAR пытается расшифровать (по AES) и разархировать файлы (тут не проверяется правильный пароль или нет). После того как файлы расшифрованы и разархированны, из них вычисляется контрольная сумма по CRC32, и это сумма сравнивается с той суммой которая прописана в самом архиве. Если эти суммы совпадает – мы получает расшифрованные файлы, а если не совпадает, то получаем предупреждение что контрольная сумма или пароль неправильны. Нет в RAR других проверок правильности пароля — только вот это проверка контрольный суммы «готового продукта».
56. AlX0id 17.11.14 16:58 Сейчас в теме
(54) Cooler,
Принцип разархирование прост – при вводе пароля, из него 262144 раз вычисляется хеш по алгоритму SHA1, и полученным ключом WinRAR пытается расшифровать (по AES) и разархировать файлы (тут не проверяется правильный пароль или нет)..

Я можт чего не понимаю, но что в таком случае мешает перебирать сами хэши? В чем суть вот этой 262144 нагрузки на проц тогда?
57. AllexSoft 17.11.14 17:05 Сейчас в теме
(56) AlX0id, можно и хеши перебирать, в таком случае ты узнаешь хеш пароля, но не сам пароль.. если тебе 1 раз распаковать архив то сгодится) правда инструмент придется писать свой. Только вот распаковка архива все равно намного больше ресурсов скушает, по сравнению с генерацией хеша, так что ускорение перебора ты конечно получишь, но не кардинальное
58. AlX0id 17.11.14 17:13 Сейчас в теме
(57) AllexSoft, да вот я к тому и спрашиваю - нафига мурыжить фигзнаетсколькораз пароль, если все равно распаковка занимает куда больше времени..
60. AlX0id 17.11.14 17:15 Сейчас в теме
(57) AllexSoft, да и нафига нужен сам пароль, если есть хэш от него.. Хэш ведь не поменяется от того, что от пароля возьмут SHA1 200тыс раз сегодня, в пятницу и в следующую среду..
64. AllexSoft 17.11.14 17:25 Сейчас в теме
(60) AlX0id, именно... поэтому я и сказал что однократно расшифровать архив своим каким нибудь самописным инструментом получится, но юзеру отдать хеш чтобы он распаковал этот архив стандартным архиватором не получится) тут кароче в порос в том нужен ли вам сам пароль или важны только данные) если только данные пишите софт который будет расшифровывать, включаете, пару тысяч лет ждете завершения, отдаете пользователю данные...
59. Cooler 21 17.11.14 17:15 Сейчас в теме
(56)
что в таком случае мешает перебирать сами хэши?
А длина их мешает: в виде бинарной строки (т.е. допускаются все символы) - 20 байт, в виде 16-ричного числа (символы только 0-9, A-F) - все 40.

Таким образом становится одинаковой задача подбора даже простейшего пароля из 3-х символов и сложнейшего из 20-ти... одинаково нереальной.
AllexSoft; +1 Ответить
61. AlX0id 17.11.14 17:16 Сейчас в теме
(59) Cooler,
Терь ясно, что мешает. Неясно нафига 200 тыс раз :)
63. Cooler 21 17.11.14 17:21 Сейчас в теме
(61) И это ясно - чтобы намеренно замедлить скорость подбора: при реальном разархивировании этот цикл прогоняется всего один раз, что практически не сказывается на времени всей операции, а вот для подбора это смерть, медленная и мучительная.
62. AllexSoft 17.11.14 17:20 Сейчас в теме
(59) Cooler, в прочем подобрать пароль типа 12345, ровно такая же вероятность как подбор пароля типа 1G6^j при равном количестве символов и используемом массиве символов.. хотя я с вами согласен, если ломать по словарям скажем то хеши становятся бесполезными, только если заранее не иметь таблицу соответствий хеш = фраза.. вот эти процессы проверки хешей, генерации таблицы соответствий уже можно и распределить на несколько компов
51. fzt 13.11.14 19:04 Сейчас в теме
Как-то обратился клиент. Ему зашифровало базу, они купили декриптор за 2 килорубля.
База имела размер 4ГБ, декриптор был 32х битный. Кодер его писавший был бараном, загружал базу в память целиком, адресация естественно кончалась на втором гигабайте и декодер падал.
Повезло что шифрование было блочным - таки удалось порезать файл базы на куски и скормить частями декодеру.
Итого 2к ру вирусмейкеру, 8к мне.

Дело было года полтора назад.
55. insurgut 196 14.11.14 09:18 Сейчас в теме
Более того, самому шифровальщику не интересно, какой у вас тип файла. Архив это. Зашифрован он или нет. Он возьмет просто двоичные данные и заново их зашифрует.
65. spectre1978 50 01.12.14 21:46 Сейчас в теме
я никак не могу понять - зачем RDP голым задом в инет-то выставлять? Ведь лет 15 назад уже было говорено, что делать этого нельзя. VPN роутеры копейки стоят сейчас. Я понимаю в начале 2000-х Cisco дорого было, но сейчас ведь куча вариантов есть, в том числе совсем дешманские типа Mikrotik'ов. И уже все-таки гораздо сложнее становится поломать... Позапрещать исполняемые файлы из почты, а в идеале вообще сделать белый список исполняемых файлов - и все, никто ничего не зашифрует...
66. insurgut 196 03.12.14 14:17 Сейчас в теме
(65) spectre1978, а что плохого в RDP по нестандартному порту с паролями у пользователей допустим не менее 12-15 символов и ограничением на количество попыток ввода неверного пароля?
67. Bukaska 130 03.12.14 14:18 Сейчас в теме
(66) insurgut, Вопрос в том, что нужно делать или это или то.. а народ ни то ни это не делает)))
68. spectre1978 50 03.12.14 19:27 Сейчас в теме
(66) там по умолчанию шифрование слабенькое совсем, можно вскрыть трафик довольно просто современными средствами. В википедии написано. И случаев взлома особенно 2003 серваков очень много описано. На своей шкуре не хотелось бы это испытывать
69. spectre1978 50 03.12.14 19:31 Сейчас в теме
Справедливости ради добавлю, что возможности для создания защищенной системы у RDP есть: TLS, шлюз терминалов. Но это уже не двумя тыками мышкой настраивается, и самое главное - оно будет работать только для RDP. А настроив один раз VPN, можно гонять через него любые протоколы как через обычную локальную сеть без дополнительных заморочек. Мало ли что понадобится потом? Смысл явно есть.
73. uriy 3 01.04.15 22:17 Сейчас в теме
Да уж я думал этот вирусяка в лето канул, а он оказывается прогрессирует. Сам как-то ловил его и была такая же мысль проверить на файле дубликате принцип действия - все руки не доходили.
Самое плохое что он еще попадается.
74. Гость 05.06.15 11:17
Если зашифрованы файлы 1с 8, можно попробовать восстановить следующим образом, у меня получалось: вернуть расширение файлу *.1cd, потом открыть данный файл в программе chdbfl.exe - находится в папке bin каталога 1с, открыть там этот зашифрованный файл, нажать выполнить. Записи восстанавливаются.
75. fzt 05.06.15 11:46 Сейчас в теме
(74) Гость, я бы это отнес к вредным советом, без этого:
Обазательно проводить манипуляции утилитой chdbfl.exe только над копией базы. Всегда.
Эта "замечательная" утилита, просто удаляет записи, которые не может прочитать. Удаляет молча. База то заработает, в ней может не оказаться документов, элементов справочников, записей регистров и тд.
77. insurgut 196 05.06.15 19:11 Сейчас в теме
(75) fzt, какая база? После шифрования это цепочка непонятных символов и иероглифов, которую никакой chdbfl.exe не поймет :)
80. fzt 18.03.16 05:09 Сейчас в теме
(77) insurgut, шифрование разное бывает. Вирмейкеры тоже косячат и тупят как все. У Гостя вероятно были зашифрованы фрагменты БД, которые chdbfl.exe не поймет. Все что он не поймет - выпилит. Такая уж топорная утилита.

Один раз ко мне обратился клиент, который заплатил за расшифровку баз вымогателям. Выслали декриптор, который умирал аккурат сожрав 2 ГБ памяти. Т.е. программист(написавший декриптор) грузил файл единым блоком в память, больше 2ГБ ось не позволяла забрать процессу, процесс умирал. БД была около 6ГБ. После экспериментов с вирусом, который благо сжирал файлы состоящие из одних единиц, удалось выяснить что шифрование блочное. Вот нарезав файл на 4 блока, по смещению блочного шифрования, удалось это дело расшифровать и склеить обратно. Ещё удалось выяснить что вирь шифровал первые несколько сотен байт из блока 100МБ. Тут я с вирмейкером согласен - так быстрее, а данные попорчены. Так-то.
76. insurgut 196 05.06.15 19:10 Сейчас в теме
(74) Гость, Гениально! Премия ОСКАР (да и любая другая, которую пожелаете) ваша!!! =)

Разработчики алгоритмов SHA5 и ему подобных кусают локти, chdbfl.exe все расшифрует!
78. ignor 221 05.06.15 22:27 Сейчас в теме
chdbfl.exe расшифрует только в случае если зашифрован один только заголовок
79. timeforlive 11 17.03.16 09:52 Сейчас в теме
Еще помогает резервное копирование (до случившегося, конечно) =)
81. fzt 18.03.16 05:27 Сейчас в теме
(79) timeforlive, многим не помогает. Есть такие глупые администраторы, которые делают копии на свой же сервер. Есть чуть менее глупые, которые делают копии на сетевую машину, но оставляют каталог бэкапов доступным по сети (т.е. можно зашифровать бэкапы по сети, заразив сервер). Как-то помогает хорошо организованный домен, права и роли в нем. Но потенциально под учеткой админа можно зашифровать сетевые шары для бэкапов. Мало кто ограничивает доступ к архивам даже доменному администратору. Архивы моих клиентов обслуживает отдельный БП, он вне домена. Сервер БД его кормит архивами в сетевую шару. Архивный ПК сам каталогизирует скормленные ему бэкапы, не оставляя архивы торчать в шарах. Это работало уже 4 раза на моей практике, когда администраторы умудрялись дать вирусу шифровальщику права доменного администратора.
Спасают бэкапы только то, что вирусмейкеры пишущие шифровальщики, в большинстве ещё более глупы и не всегда шифруют бэкапы.
82. fzt 18.03.16 05:38 Сейчас в теме
Т.е. вирус скомпилирован без ключа /LARGEADDRESSAWARE. Квалификация вирмейкеров шифровальщиков баз крайне низка. Прихожу к выводу что этим вполне могут заниматься 1Снеги, которые немного освоили "большое" программирование. Пишут видать на дельфи. Пусть хоть AWE юзают, чтоб расшифровщики нормально работали.
83. AllexSoft 21.03.16 14:33 Сейчас в теме
(82) fzt, этим занимаются школота последних классов обучения, либо студенты первых курсов.. 1Сники себе могут на хлеб с маслом заработать и честными методами, хорошему 1Снику вообще нет времени на занятие такой хренотой )
84. fzt 28.03.16 13:00 Сейчас в теме
(83) AllexSoft, нуууу.... если исключить сам момент "заработка". Я писал всякую ересь уже и после института. Вроде как для "спортивного" интереса. Пока не стало понятно что программирование это тупое вкалывание, описание 8 часов в день контейнеров данных и немного логики. Кажеться сейчас SQL запросы писать интересней чем кодить.

UPD: Вы категорически правы! Именно когда я стал "1С-ником" времени на хреноту не стало вовсе. А косить то надо.©
Оставьте свое сообщение

См. также

1С7 + MD5 3

Инструменты и обработки Программист Внешняя обработка (ert,epf) v7.7 v77::ОУ 1cv7.md Windows Абонемент ($m) Защита и шифрование

Шифрование MD5 появилось в 1991 году (опубликовано в 1992), но и в XXI-м веке в 1С7 функция шифрования так и не появилась...

1 стартмани

11.01.2019    2584    5    vakham    2       

Отчет по правам пользователей для любой конфигурации "1С:Предприятия 7.7" 13

Инструменты и обработки Системный администратор Внешний отчет (ert,erf) v7.7 1cv7.md Windows Абонемент ($m) Информационная безопасность

Инструмент для наглядного анализа и сравнения наборов прав доступа в 1С 7.7 Работает в любых конфигурациях. В одной из обслуживаемых мной баз 40 наборов прав пользователей (120 пользователей). Этим отчетом очень наглядно выходит анализировать разницу в правах и просто описывать права пользователей в документации. Обновлено: - В новой версии отчета добавил сравнение двух разных баз и анализ внешней БД. - объекты метаданных представлены в виде дерева (объект "Дерево-Таблица значений" FormEx)

1 стартмани

11.02.2014    17192    140    Amel2010    15       

Пример кодирования строки средствами 1С в BASE64 4

Инструменты и обработки Системный администратор Программист Архив с данными v7.7 1cv7.md Windows Абонемент ($m) Защита и шифрование

Вспомнил свою старую обработку. Кодирование строки в base 64. Может пригодится для обмена с сайтами из 1с, где это требуется протоколом.

1 стартмани

02.09.2013    18198    26    _Vovik    2       

Расширенные права пользователей для Торговля и Склад 7.7 (из режима "Предприятие" с детализацией по всем видам документов, справочников, отчетов и обработок) 5

Инструменты и обработки Системный администратор Программист Конфигурация (md, cf) v77::ОУ 1С7:ТиС Windows Абонемент ($m) Информационная безопасность

Если вы обслуживаете Торговлю и Склад 7.7 и устали менять права на документы и справочники по заданию руководства и список Наборов прав стал просто нечитаемым, то вам сюда.

1 стартмани

05.02.2013    13865    42    malinko.vasiliy    5       

Индивидуальная установка даты запрета редактирования документов в торговле 1С 7.7 3

Инструменты и обработки Системный администратор Внешняя обработка (ert,epf) v77::ОУ 1С7:ТиС Россия УУ Windows Закрытие периода Абонемент ($m) Информационная безопасность

Установка даты запрета редактирования документов индивидуально для каждого пользователя,а также предоставление в индивидуальном порядке разрешения изменения конкретных документов в определенные периоды или в конкретные дни.Срок действия установок устанавливается вами. Вы можете спокойно настроить и уехать в отпуск.

1 стартмани

17.01.2013    20802    48    agent007_1    10       

Управление правами в 7.7 - "на лету" до каждой кнопочки! 37

Инструменты и обработки Системный администратор Компонента, плагин (dll, vbs,..) v7.7 1cv7.md Windows Абонемент ($m) Информационная безопасность

Система управления правами доступа "на лету" для конфигураций на платформе 1С:Предприятие 7.7. - Онлайн :: Не требует выхода пользователей. - Умная :: Позволяет управлять доступом хоть к каждой кнопке на форме. - Универсальная :: Встраивается в любую конфигурацию за 1 минуту! - Преемственная :: Сохраняет настройки существующих наборов прав.

1 стартмани

22.11.2012    22868    161    gavlexx    48       

Редактирование набора прав в Универсальном конструкторе отчетов (Новейший отчет) для 1C 7.7 3

Инструменты и обработки Системный администратор Внешняя обработка (ert,epf) v7.7 openconf 1С7:Бух 1С7:ЗиК 1С7:Комплекс 1С7:ТиС 1С7:ПУБ Россия Абонемент ($m) Информационная безопасность

Редактирование набора прав в Универсальном конструкторе отчетов (Новейший отчет) для 1C 7.7( далее УКО ) Данная обработка помогает в выставлении прав на тот или иной отчет, запускаемый из "УКО".

1 стартмани

09.12.2011    12358    19    serpent    1       

Гибридная авторизация в 1С 7.7 с использованием доменных учетных записей 11

Отчеты и формы Системный администратор Нет файла openconf v77::ОУ v77::БУ v77::Расчет 1cv7.md Россия Абонемент ($m) Информационная безопасность

Решение, позволяющее привязать пользователей базы данных 1С к доменным учетным записям и избавиться от неудобных паролей 1С.

1 стартмани

24.11.2011    13861    43    tedkuban    10       

Доступы на внешние отчеты без изменения конфигурации 8

Инструменты и обработки Системный администратор Внешняя обработка (ert,epf) openconf v77::ОУ v77::БУ v77::Расчет 1cv7.md Россия Абонемент ($m) Информационная безопасность

Возникла проблема установки прав доступа на внешние отчеты без изменения конфигурации. Т.е. конфигурацию вообще нельзя было трогать. Такого добра в инете очень много, но все как то сложно и мудрено. Решил написать свою. За основу взял разработку "Irzik" с одного из сайтов любителей 1С. За это ему большое спасибо. Использованы так же идеи других пользователей, заранее приношу им свои извинения, что не смог их отметить, просто не помню у кого подглядывал. Обращайтесь, подправлю. Программа написана на скорую руку, много мусора, на днях все лишнее выкину. Это моя первая раздача, так что не обессудьте. Используется компонента compound.dll.

1 стартмани

18.10.2011    9470    20    YChemodanov    10       

Определение подчиненных объектов для установки прав доступа 7

Инструменты и обработки Системный администратор Программист Внешняя обработка (ert,epf) v77::ОУ v77::БУ v77::Расчет 1cv7.md Россия Абонемент ($m) Информационная безопасность

Появился новый пользователь... Руководитель подразделения говорит: "Дайте ему доступ на создание документов .... и на редактирование справочников ....". Ну понятно, до документа доступ дадим, а на что еще нужно дать доступ???

1 стартмани

23.09.2011    11908    37    DarkAn    5       

Расширенная настройка прав пользователей с использованием 1С++ 28

Инструменты и обработки Системный администратор Конфигурация (md, cf) v77::ОУ 1С7:ТиС Россия Абонемент ($m) Информационная безопасность

Имеется организация с большим штатом. То и дело появляются сотрудники с "уникальными" должностными обязанностями. Создавать под кадждого такого "уникального" новый набор прав в Конфигурации не хотелось. А можно ли описать права в режиме Предприятия?

1 стартмани

26.05.2011    15465    227    pikul    15       

Внешняя обработка «Кинт: Обезличиватель 1.0» 17

Инструменты и обработки Системный администратор Программист Внешняя обработка (ert,epf) v7.7 1cv7.md Россия Абонемент ($m) Защита и шифрование

Обезличивание текстовых данных любых информационных баз на платформе «1С:Предприятие 7.7».

1 стартмани

31.12.2010    13673    107    kint    7       

Пользователи, права и интерфейсы. 48

Инструменты и обработки Системный администратор Внешняя обработка (ert,epf) v7.7 1cv7.md Windows Абонемент ($m) Информационная безопасность

При большом количестве пользователей рано или поздно станет большим и количество наборов прав и интерфейсов (ИФ). И подчас довольно сложно разобраться, какие же права и ИФ дать пользователю. Чтобы упростить себе такую задачу и была написана данная обработка.

1 стартмани

17.11.2010    17075    337    whtblck    35       

Скрыть персональные данные сотрудников (ЗиК) 18

Инструменты и обработки no Внешняя обработка (ert,epf) v77::Расчет 1С7:ЗиК Россия Управление персоналом (HRM) Абонемент ($m) Защита и шифрование

Обработка очищает или заменяет личную информацию сотрудника (Зарплата и Кадры)

1 стартмани

02.09.2010    13152    99    gucci76    15       

Смена периода журнала расчетов для 1С:Расчет 7.7 16

Инструменты и обработки Системный администратор Программист Бухгалтер Внешняя обработка (ert,epf) v77::Расчет 1С7:ЗиК 1С7:Комплекс БУ Windows Зарплата Абонемент ($m) Информационная безопасность Закрытие периода Администрирование данных 1С

Обработка предназначена для смены периода журнала расчетов в конфигурациях 1С:Предприятие 7.7 с использованием компоненты 1С:Расчет без снятия признака записи "Рассчитана".

1 стартмани

20.08.2010    19236    20    svitdir    9       

Сохранение файлов в конфигурации и обработках 1С: Предприятие 7.х 10

Инструменты и обработки Программист Архив с данными v77::ОУ v77::БУ v77::Расчет 1cv7.md Россия Windows Абонемент ($m) Защита и шифрование

Дальнейшее решение проблемы с сохранение файлов в конфигурации и обработках 1С: Предприятие 7.х

1 стартмани

17.05.2010    16079    152    VRP    10       

Анализатор наборов прав 35

Инструменты и обработки Системный администратор Внешняя обработка (ert,epf) v77::ОУ v77::БУ v77::Расчет 1cv7.md Россия Абонемент ($m) Информационная безопасность

Собственно еще одна обработка по построению списка наборов прав в конфе.

1 стартмани

01.03.2010    13207    474    GrayT    20       

Права доступа пользователей к отчету 1

Инструменты и обработки Системный администратор Архив с данными v7.7 1cv7.md Россия Абонемент ($m) Информационная безопасность

Выводим список пользователей, имеющих доступ к выбранному отчету.

1 стартмани

30.10.2009    8236    41    Myti    3       

Персональный по-документный обход константы "Дата запрета редактирования" 14

Инструменты и обработки Системный администратор Программист Конфигурация (md, cf) v7.7 1cv7.md Россия Абонемент ($m) Информационная безопасность

Для того, чтобы изменить какой-либо отдельный документ в закрытом периоде, приходится изменять эту константу, открывая тем самым нежелательную возможность изменения других документов в этом периоде другими пользователями. Устраняем ее.

1 стартмани

09.09.2009    16529    127    Shaman100M    9       

Удаляем конфиденциальную информацию на платформе 1С:Предприятие 7.7 36

Инструменты и обработки Системный администратор Программист Внешняя обработка (ert,epf) v77::ОУ v77::БУ v77::Расчет 1cv7.md Россия Абонемент ($m) Информационная безопасность

Информация бесценна! Данные - наше все. Это даже не обсуждается. И все-таки время от времени мы вынуждены эти самые бесценные данные отдавать посторонним людям. Программистам, которые пишут нам обработки и отчеты. Консультантам, которые пытаются найти в базе проблемы и подсказать способы их исправления. В том, чтобы Вы были спокойны за сохранность информации, а специалисты могли работать с данными может помочь эта очень полезная обработка.

1 стартмани

16.06.2009    18264    291    tomvlad    43       

Проект «Выездная оптовая торговля с кассовым аппаратом Екселлио DMP-55L» (демонстрационный видеоролик) -27

Инструменты и обработки no Внешняя обработка (ert,epf) v77::ОУ 1С7:ТиС Россия Абонемент ($m) Роли и права

Цель проекта: Обеспечить минимум физических и умственных затрат при работе: с отгружаемым товаром, а также по обработке и анализу данных при экспорте в ЭККА и импорте из него. Почему видеоролик? Потому, что: написано под нестандартную конфигурацию, да и наглядное пособие лучше, нежели читать его текстом.

1 стартмани

07.06.2009    11256    27    alex_merfi    5       

Управление пользователями 30

Инструменты и обработки Системный администратор Программист Конфигурация (md, cf) v77::ОУ v77::БУ v77::Расчет 1cv7.md Windows Абонемент ($m) Сервисные утилиты Информационная безопасность Администрирование данных 1С

Многим знакома ситуация, когда надо добавить пользователя в базы 77 во множество баз. Неудобно? Конфигурация позволяет управлять пользователями 1С 7.7 в любом количестве баз! Наводим порядок в пользователях 1С!

1 стартмани

20.05.2009    13034    268    Bosma    6       

Настройка доступа к документам 1С:Зарплата и кадры 8

Инструменты и обработки Системный администратор Программист Внешняя обработка (ert,epf) v77::Расчет 1С7:ЗиК Россия БУ Зарплата Абонемент ($m) Информационная безопасность

Позволяет ограничить доступ к документам в "1С:Зарплата и кадры" бухгалтерам и кадровикам. Доработка конфигурации минимальна: добавляется 1 строка в Глобальный модуль и 1 документ.

13.11.2008    14537    242    IsiKosta    4       

принудительное отключение пользователей 16

Инструменты и обработки Системный администратор Программист Конфигурация (md, cf) v7.7 1cv7.md Россия Абонемент ($m) Информационная безопасность

принудительное отключение пользователей (инструкция по доработке глобального модуля)

1 стартмани

05.11.2008    14561    787    shard    11       

Шахматка для анализа ролей в 1С 7.7 56

Инструменты и обработки Системный администратор Программист Внешняя обработка (ert,epf) v7.7 1cv7.md Россия Абонемент ($m) Информационная безопасность Специальные

Это универсальный (т. е. работающий в любой конфигурации) отчет по анализу ролей доступа пользователей к объектам конфигурации 1С 7.7.

1 стартмани

12.10.2008    16168    905    Semenyak    25       

Golden Key 1.1 Бесплатная защита твоей конфигурации 132

Инструменты и обработки Программист Компонента, плагин (dll, vbs,..) v77::ОУ v77::БУ v77::Расчет 1cv7.md Россия Абонемент ($m) Информационная безопасность Защита и шифрование

Вам надоело видеть, как взламывают Ваши конфигурации? Вам нужна надежная и бесплатная защита для 1С? И Вы, тем не менее, хотите оставить пользователям возможность видеть и изменять Ваши программные модули? КАЧАЙТЕ GOLDEN KEY! ---------------------------- Особенности этой защиты 1. На основе использования технологии внешних компонент 2. Проста в использовании 3. Взят в основу метод интеграции защиты в программный модуль 4. Надежный алгоритм перекодировки 5. Возможность выборочной защиты отдельных процедур и функций в модуле 6. Возможность ограничить демоверсию по количеству запусков и числу имеющихся в базе документов 7. Позволяет оставлять конфигурацию без пароля, открытой для изменения без ущерба защищенности

1 стартмани

18.10.2007    39372    2229    O-Planet    473       

Ограничение доступа к папкам справочника Контрагенты на примере ТиС 7

Инструменты и обработки Системный администратор Конфигурация (md, cf) v77::ОУ 1С7:ТиС Россия Абонемент ($m) Информационная безопасность

В каждой папке справочника Контрагенты администратор может установить ограничение на открытие этой папки другими пользователями. Изменение права происходит двойным щелчком на строке с именем пользователя, в открытой форме группы справочника.

1 стартмани

16.10.2007    9723    72    Джуниор    8