День добрый, господа и дамы. / личное :: помогите советом :: взлом :: Хаккеры :: лично

День добрый, господа и дамы. Ситуация возникла. Сегодня на копме главбуха все базы 1с оказались закатанными в архив с паролем. Рядом файлик с текстом: "Внимание! Ваши базы данных заархивированы с паролем, использование их невозможно.
Для получения пароля к архиву от вас требуется оплата 13000р на Яндекс деньги. При согласии напишите на почту rob111stewar@hotmail.com". Подключились тупо по рдп за 2 дня забрутфорсив пароль администратора (про сложность ничего не знаю, но подозреваю, что без инсайдера не обошлось). По айпи вычислил, ломились с трех разных адресов, но все три- точка в океане возле западных берегов Африки (прокся,ясенхуй). Пока пытаюсь восстановить оригиналы (после создания архива их удалили)но что то подсказывает,что толку будет 0 (поверх в той же директории записаны-удалены кучи файлов с нулевым весом и километровыми именами). Платить не хочется(пусть и не из моих прийдется). Что посоветуете? гугление всякими изощренными методами мало что дало

Подробнее
лично,Хаккеры,взлом,помогите советом,песочница,личное

Еще на тему

песочница(701749)

Развернуть

Комментарии 2822.05.201412:21ссылка-0.7

Брутфорсить пароль на архив.

kempin fegget 22.05.201412:27 ответить ссылка 0.0

пароль, по словам тех,кто таки платил, пароль вида 3g4f2jk342kh3g4k2 и длиной до 20 символов. нет таких мощностей и времени, к сожалению

LegioUltima 22.05.201412:29 ответить ссылка ↑ 0.2

Advanced Archive Password Recovery

ikari 22.05.201412:28 ответить ссылка 0.1

Проси логи у провайдера, на прокси, но это надо заяву в отдел "К" писать

Rainfoll 22.05.201412:34 ответить ссылка 0.1

и провайдер (при удачном раскладе) сможет указать, кто за проксей сидел(реальный айпи)?

LegioUltima 22.05.201412:35 ответить ссылка ↑ 0.3

Проси логи у провайдера, на прокси, но это надо заяву в отдел "К" писать

Rainfoll 22.05.201412:34 ответить ссылка 0.1

Брутфорс не поможет - слишком высокая стойкость. К сожалению, реальнее всего будет заплатить. Ведь промедление может стоить б0льших денег. На будущее, думаю, понятно уже как предотвращать подобное. С логами и заявой можно попробовать, но это очень долго.

Farell 22.05.201412:43 ответить ссылка 0.0

ну, чем черт не шутит, а брут я запустил. бестолку,согласен (пройдут недели и года, но не сломаю никогда...). А с заявой...почитал я про заявы. Отдел К говорит, что человек скрывается за прокси и найти его невозможно, засим "глухарь" и нет смысла искать.

LegioUltima 22.05.201412:48 ответить ссылка ↑ 0.1

"скрывается за прокси и его невозможно найти"
охуительный у нас отдел К. "а отдать вам логи мы не можем, поскольку принтер не работает"
все эти СОРМ-2 нахуя блять нужны

forbrrrtschkhnig 22.05.201416:44 ответить ссылка ↑ 0.0

Есть два типа системных администраторов - которые не делают бекапы, и которые уже делают. Старо как мир.

shusher 22.05.201412:44 ответить ссылка 0.8

Бекапы тоже запаролены, ибо,как я сказал, был сломан пароль администратора.

LegioUltima 22.05.201412:49 ответить ссылка ↑ 0.0

Подожди, хочешь сказать, что бекапы лежали на том же компьютере, где и оригинал базы? Для чего вообще делаются бекапы.

alakyst 22.05.201413:04 ответить ссылка ↑ 0.2

бэкапы лежали на другом устройстве, которое цеплялось по сети. Доступ к нему был только с админки.

LegioUltima 22.05.201413:05 ответить ссылка ↑ 0.1

Именно поэтому у меня бэкапы на съемных 2,5" террабайтниках. Раз в день бэкап важного, раз в неделю всей шары. После бэкапа харды отключаются и все :)

Reku 22.05.201413:12 ответить ссылка ↑ 0.2

ждем схд под ленточный архив и автоматические бекапы :) а пока что...

LegioUltima 22.05.201413:14 ответить ссылка ↑ 0.0

"Постой, царевич. Наконец
Я слышу речь не мальчика, но мужа." (с)

лично,Хаккеры,взлом,помогите советом,песочница,личное

adad2 22.05.201413:16 ответить ссылка ↑ 0.3

ипать боян.. http://virusinfo.info/showthread.php?t=152094

Hoon22.05.201414:03ответить ссылка -0.1

и? где там в ветке решение? автоматическое сообщение, а потом Уважаемый(ая) wolf3984, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

В результате лечения ваш компьютер был избавлен от вредоносных и других нежелательных программ, но чтобы этого не повторилось, мы настоятельно рекомендуем:
бла бла бла. Самого решения нет. только отчет о выполнении

LegioUltima 22.05.201414:06 ответить ссылка ↑ 0.0

делать копию винта, восстанавливать удаленные базы, архивы, про запароленный архив забыть и все таки поставить антивирус и настроить архивацию баз на внешний HDD.

Hoon22.05.201414:20ответить ссылка 0.0

удаленные базы восстановить не удалось-поверх были записаны-стерты кучи файлов. Забыть про архив нельзя,к сожадению. Антивирус был поставлен, однако,когда подобран пароль к админке подключение по рдп он не воспринял как сетевую атаку (все как бы норм, логин пароль верные).

LegioUltima 22.05.201414:25 ответить ссылка ↑ 0.0

Как написали выше, проще заплатить, и надеяться, что не кинут.

На будущее я бы посоветовал:
1. Оградить вашу сеть хоть каким-то нормальным фаерволом + роутером.
2. Запретить любые внешние подключения, за исключением избранных IP.
3. Бекапы - на будущее - держи не только на отдельном серваке, но и пароль там тоже делай другой. Хост лучше юниксовый.

З.Ы. Антивирус ловит троянов итп. Если кацкер пробился через какую-то дыру в системе, то он бы ничерта и не поймал. Если же атака прошла умпешно именно из-за пойманного вируса, то надо бы еще надавать по жопе бухгалтеру за заслуги перед отечеством.

vivisector 22.05.201414:39 ответить ссылка 0.1

за заслуги воздастся, ибо они ныли, что работать на сервере в терминальной среде им "неудобно и медленно" (куда блять быстрее-сервак за 8 лямов) и еще им, видите ли, подавай каспер без родительского контроля. Ну что ж, начальство им убедить удалось, поставили локальные машины. Теперь будут последствия их выебонов

LegioUltima 22.05.201414:44 ответить ссылка ↑ 0.3

одно жаль, я скоро в отпуск, а отпускные мне не успели начислить

LegioUltima 22.05.201414:45 ответить ссылка ↑ 0.2

Сочувствую

vivisector 22.05.201416:03 ответить ссылка ↑ 0.0

Можно нубский вопрос? "кучи файлов с нулевым весом и километровыми именами" коли у них нулевой вес, и длинные названия они разве могут перекрыть бОльшую по размерам БД?

kum_pda 22.05.201415:48 ответить ссылка 0.0

В подробности не вдавался, но при восстановлении удаленных файлов очень важно,чтобы поверх ничего не записывалось. если хоть один такой мини-файл попадает в кластер, в котором хранились нужные файлы, то весь файл не прочитается или прочитается с ошибкой. как то так, насколько я понял. а этих мини файлов там порядка 16000 в каждой папке

LegioUltima 22.05.201416:10 ответить ссылка ↑ 0.0

вот это интересный момент.
т.е. злоумышленник пытался создать как можно больше путей, с наибольшим количеством символов, и наибольшим количеством символов файла. Но эта операция не сможет перекрыть размер БД,(кластер или раздел). Может он хотел засрать таблицу FAT? Но от этого файлы физически с винта не удалятся. ну и в принципе бОльшая часть файлов должна быть сохранной. Может я не прав, и чего то не допонимаю. Поправте если не так.

kum_pda 22.05.201417:03 ответить ссылка ↑ 0.0

я тоже чего то не понимаю и исправлять не буду, но факт остается фактом-файлы восстановить не удалось

LegioUltima 22.05.201417:24 ответить ссылка ↑ 0.0

Только зарегистрированные и активированные пользователи могут добавлять комментарии.

Похожие темы