Зашифровали базу 1с что делать

Обновлено: 07.07.2024

С ноября 2018 года участились случаи потери базы данных из-за атак вирусов-шифровальщиков. Рассказываем подробнее, что это и как обезопасить файлы от зашифровки.

Что делает вирус-шифровальщик?

Вирус-шифровальщик (далее — шифровальщик) — вредоносное программное обеспечение, шифрующее файлы пользователя и требующее денежный выкуп за расшифровку. Чаще всего шифруются популярные типы файлов — документы, таблицы, изображения, видеофайлы, документы в формате pdf и др.

В чём опасность таких вирусов для бизнеса?

Главная проблема столкновения с шифровальщиками – невозможность расшифровки файлов после вируса собственными силами. Хакеры используют сложные схемы шифрования и полностью удаляют исходные файлы при помощи специальных алгоритмов. Это исключает возможность восстановления зараженной информации.

Пути заражения

Чаще всего заражение вирусом происходит через почтовые вложения. Пользователь получает письмо по электронной почте, замаскированное под знакомого ему адресата или известную организацию (банк, налоговая). В письме содержится информация, способная напугать или заинтересовать получателя: просьба произвести оплату счета, провести бухгалтерскую сверку или т.д. Реже заражение происходит после установки взломанного ПО или после перехода по заражённой ссылке.

Очень часто, заразив один ПК в сети, вирус распространяется и на другие машины. Поэтому на 100% нельзя быть уверенным, что ваши коллеги случайно не откроют вложение с шифровальщиком.

Что делать, если вирус зашифровал базу 1С?

Главный вопрос пользователей, кто столкнулся с вирусом - как вылечить и расшифровать файлы? Распространители шифровальщиков вымогают деньги за восстановление базы 1С после вируса, потому что удалить вирус самостоятельно или расшифровать данные невозможно.

Пытаться выйти на связь с вымогателями и вернуть данные – значит участвовать в незаконной деятельности, к тому же нет гарантий, что после оплаты базу восстановят.

Поэтому бороться с вирусом можно только, проявляя должную осмотрительность.

3 простых шага, чтобы сократить риск потери информации:

1. Обновите операционную систему, браузер, антивирус, программы 1С и другого ПО. Преступники активно используют слабые места в программном обеспечении, чтобы заразить устройства пользователей.
Для обновления программ 1С проверьте наличие договора сопровождения ИТС: продлить или узнать срок его действия можно у специалистов Первого Бита. Помимо обновления воспользуйтесь сервисами ИТС для сдачи отчетности, проверки контрагентов и оценке рисков.

2. Не открывайте вложения из подозрительных писем. Обращайте особое внимание на входящие письма с сомнительными ссылками и вложениями.

3. Проведите регламентные операции с помощью специалиста 1С, который выполнит диагностику технологических ошибок в базе данных, создаст резервные копии информационных баз, выявит технические ошибки в работе системы.

Важно учитывать, что при заражении могут быть зашифрованы даже файлы в облачном хранилище. Поэтому мы рекомендуем вам помещать резервные копии баз в облако с помощью сервиса 1С:Облачный архив с закрытым доступом.

Проконсультируйтесь у наших специалистов по работе облачного сервиса и созданию резервных копий баз в облаке, чтобы защитить бизнес от действий мошенников!


Иллюстрация: Борис Мальцев/Клерк

Уже несколько лет хакеры, применяющие вирус-шифровальщик, держат в страхе бухгалтеров.

На днях очередной жертвой злоумышленников стала участница группы «Красный уголок бухгалтера» на Фейсбуке.

Вирус проник на сервер и зашифровал базу 1С. Не помог даже лицензионный антивирус. Напомним, мы уже рассказывали о подобной истории, приключившейся с бухгалтером. Тогда все завершилось относительно благополучно. Бухгалтер, сторговавшись с вымогателем на сумме 25 тыс. рублей (изначально он просил 40 тысяч), получила ключ, с помощью которого удалось расшифровать файлы. Со времен той истории прошло уже более 2 лет, однако методы решения этой проблемы все те же.

Выход

Как следует из комментариев участников дискуссии на Фейсбуке, в основном вопрос расшифровки решается путем выкупа ключа у злоумышленников.

Как показывает практика, цена варьируется от 15 до 50 тыс. рублей.

Иногда пострадавшим помогает обращение к антивирусной компании. В этом случае удается получить ключ расшифровки, не прибегая к услугам вымогателей. Однако этот процесс может быть небыстрым, да и успех не всегда гарантирован. Кроме того, далеко не все компании используют в своей работе платные антивирусные программы.

Антивирусная компания нам не помогла, заплатили разработчику шифровальщика 50т

делится Анастасия

Кто-то ищет умельцев-расшифровщиков на просторах Интернета. Так, например, сделала одна из участниц дискуссии:

Была такая ситуация. Все айтишники оказались бессильны. Отправлять деньги хаккерам не рискнула. Погуглила — нашла услуги по расшифровке именно по моей проблеме. Возможно работают в паре — не знаю. Но 3 часа, 50 000 руб и всё ок.

Хотя большинство коллег предпочитают обреченно заплатить выкуп преступникам, некоторые бухгалтеры призывают не делать этого.

Дело в том, отмечают коллеги, что если бы никто не платил, то хакерам и смысла не было шифровать. А так получается, что пока фирмы платят, злоумышленники будут продолжать наживаться, делая свое черное дело.

Откуда вирус

В основном вирус-шифровщик попадает на компьютер из электронной почты. Пользователь открывает письмо с файлом и сам запускает вредителя. Злоумышленники прибегают к разным уловкам и умело шифруются под что-то приличное.

Причем иногда на первый взгляд это письма с электронных ящиков действующих контрагентов. Бухгалтер может просто не заметить замену одной буквы или символа.

Я такой вирус сама запустила — его в виде ссылки прислали нам на рабочую почту в виде письма от контрагента с документами. По-хорошему, конечно, я могла бы распознать и не «тыкать». Там и контрагент был какой-то странный, и другие признаки. но руки мои быстрее сработали, чем голова. Этот вирус зашифровал мне абсолютно все на компьютере.

— рассказывает Виктория

Часто бухгалтеры «попадаются» на якобы актах сверки, в том числе с энергоснабжающими организациями, кому-то шлют счета от Ростелекома, кто-то получает письма с вирусом от ФНС.

Как уберечься

Чтобы минимизировать риски таких злоключений, целесообразно регулярно делать резервную копию базы 1С. Причем если хранить эти копии на том же компьютере, где находится 1С, труды по копированию могут оказаться бесполезными. Защита — только резервное копирование, хотя у нас был случай, когда хакер проник в сервер и прежде чем зашифровать данные, зашел на жесткий диск резервного копирования и удалил и там все.

— Pavel

Уберечься от гибели 1С на компьютере бухгалтера помогает перенос базы в облако.

Кроме того, очень важно ответственно подходить к вскрытию файлов, полученных по электронной почте. Невнимательность или излишнее любопытство кого-то из сотрудников компании, может обернуться огромной проблемой.

Ну и конечно не надо пренебрегать антивирусной защитой компьютеров.

обидно что вирус зашифровал и основной сервер Windows Server2008 и второй сервер, куда каждый день снимались архивы, на втором сервере 580 архивов за каждый день - тоже все зашифрованы.

сервера я восстановил программой Acronis backup recovery из образа с внешнего HDD (сделанного 1,5 года назад) сервера работают
А что делать с базой (и её архивами) ?

если админы дебилы - пусть платят из личных денег.

зы
бекапы должны быть недоступны .

сколько раз говорил - файловая база 1с только для тестов и демок .

даже простенький минисервер 1с спасает от напасти.

или работа через веб сервер.

Есть те, кто не делает бекапы.
А есть те, кто уже начал делать :)

>>>куда каждый день снимались архивы,

Вот тут у вас ошибка.
Архивы должны создаваться под отдельной учетной записью, даже не в домене.

(8) Обычный путь №1 - через засвеченную корпоративную почту.
№2 - флешка с зипом с домашнего компа (1) если в должностных админа регламентов на бэкапы нет (а значит нет ни нормативов, ни обеспечения, ни контроля), то с чего на исполнителей пинять? (0) буквально недели 2 назад, знакомые заплатили в биткоинах за расшифровальщик порядка 200к рублев Работал я в одной из фирм.. Там ребята-админы были с ушками на макушке: звонок по местному телефону: в ваш mail проскочил файл с подозрением на вирус. Не открывайте, пока мы не посмотрим.

(0) Теневое копирование тома - предыдущие версии тоже зашифрованы?

А пробовали - удаленные файлы восстановить поблочно разными альтернативными методами – преимущественно из потоков ($DATA, $MFT и др.) файловой системы NTFS?

(0) У моей клиентки шифровальщик поработал, у нее каспер стоял, но был выключен непонятно по каким причинам. Сразу к ним позвонили, они подключились забрали несколько файлов и через 8 дней расшифровали все.

А эти подонки, чей контакт был во всех директориях требовали 40 тыщ изначально за расшифровку.

Сочувствую. Но помочь здесь вряд ли чем можно - либо платите, либо забейте и начните жизнь с чистого листа. Либо поизголяйтесь как советовал (13)

Админам или "безопасникам" строгий выговор и - 25% премии в этом месяце

(16) согласен, но за IT-инфраструктурой в целом - можно, дабы избегать таких ситуаций в будущем. У нас, например, были несколько случаев, когда шифровались данные на локальных машинах клиентов, но не более. Про "вирусные" вещи автоматом делается рассылка дважды в день, а так же предусмотрен штраф за нарушение полученной инструкции. только бэкапы спасают от этой напасти
к несчастью мелкие конторы не защищены полностью от шифровальщиков (18) Любые конторы защищены где админ нормальный строит систему. Для бекапов и теневого не надо лишних ресурсов. Нужно админам нормальную зарплату платить,тогда можно избегать этих шифровальщиков и даже после шифрования! Если базы зашифрованы, то шифровальщик не сможет их повторно зашифровать, у меня напр вообще все локалка зашифрована! (22) Да, что вы говорите.
Похоже на анекдот, в котором владелец бахчи, повесил записку, что 1 из арбузов отравлен, а на утро обнаружил приписку, что уже 2 арбуза отравлены. (0) Единственный вариант - заплатить вымогателям.
Иначе - набивать с нуля.
А вообще бэкапы для этого делают. (22) не пори чушь, никто не мешает зашифровать твою базу как пофайлово, так и весь образ целиком.

(2) >>сколько раз говорил - файловая база 1с только для тестов и демок .

Сколько можно повторять этот бред?
Файловая база самый популярный и самый быстрый рабочий вариант.
На ней работает большинство.
SQL используется очень редко, ее имеет смысл использовать только при 5 и более пользователях одновременно работающих в базе.
Поднимать сервер ради одного- двух пользователей это абсурд.

Большая.Если база зашифрована зарытым ключом не один шифровальщик не сможет зашифровать повторно! (30) Что за бред?
Какая разница чем зашифрована база и как? База это файл!
Шифровальщик видит файл, и шифрует.
Все.
А что внутри файла - ему фиолетово. Видимо тебе фиолетово. Вирус не сможет зашифровать базу пока не узнает её ключ! А ключ он никогда не узнает, нет ещё пока таких троянов! Ключ нужен чтобы расшифровать и прочитать зашифрованное содержимое зашифрованного файла.
Шифровальщику читать содержимое файла не надо. Реализация алгоритма шифрования RSA при известных параметрах p и q. (30) А про закрытый ключ - вообще смешно.
Сразу видно что с шифрованием вы не знакомы.
Закрытым ключь это термин из ассиметричного шифрования.
И им никогда ничего не шифруют!
Шифруют открытым(публичным) ключом.
А закрытым расшифровывают. Троян не сможет зашифровать повторна без закрытого ключа

(35) Какая нафиг реализация, нафига тут вообще алгоритмы?

У тебя есть зашифрованный файл.
Прочитать что там за информация ты не можешь.
Но ты можешь скопировать этот файл - он так и скопируется зашифрованным.
Или зашифровать его.

Берешь текстовый документ. Документ.doc
Шифруешь его с помощь архиватора WinRAR с ключом A%(Js,gytr6t6jh, получается зашифрованный архив Документ.rar

Так вот чтобы зашифровать зашифрованынй архиво Документ.doc не нужно знать ключ шифрования, и не нужно его расшифровывать.
Просто берешь файл Документ.rar шифруешь его архиватором WinRAR.
В итоге у тебя получится зашифрованный архив Документ.rar внутри которго находится зашифрованный архив Документ.rar внутри которого находится документ Документ.doc

обидно что вирус зашифровал и основной сервер Windows Server2008 и второй сервер, куда каждый день снимались архивы, на втором сервере 580 архивов за каждый день - тоже все зашифрованы.

сервера я восстановил программой Acronis backup recovery из образа с внешнего HDD (сделанного 1,5 года назад) сервера работают
А что делать с базой (и её архивами) ?

если админы дебилы - пусть платят из личных денег.

зы
бекапы должны быть недоступны .

сколько раз говорил - файловая база 1с только для тестов и демок .

даже простенький минисервер 1с спасает от напасти.

или работа через веб сервер.

Есть те, кто не делает бекапы.
А есть те, кто уже начал делать :)

>>>куда каждый день снимались архивы,

Вот тут у вас ошибка.
Архивы должны создаваться под отдельной учетной записью, даже не в домене.

(8) Обычный путь №1 - через засвеченную корпоративную почту.
№2 - флешка с зипом с домашнего компа (1) если в должностных админа регламентов на бэкапы нет (а значит нет ни нормативов, ни обеспечения, ни контроля), то с чего на исполнителей пинять? (0) буквально недели 2 назад, знакомые заплатили в биткоинах за расшифровальщик порядка 200к рублев Работал я в одной из фирм.. Там ребята-админы были с ушками на макушке: звонок по местному телефону: в ваш mail проскочил файл с подозрением на вирус. Не открывайте, пока мы не посмотрим.

(0) Теневое копирование тома - предыдущие версии тоже зашифрованы?

А пробовали - удаленные файлы восстановить поблочно разными альтернативными методами – преимущественно из потоков ($DATA, $MFT и др.) файловой системы NTFS?

(0) У моей клиентки шифровальщик поработал, у нее каспер стоял, но был выключен непонятно по каким причинам. Сразу к ним позвонили, они подключились забрали несколько файлов и через 8 дней расшифровали все.

А эти подонки, чей контакт был во всех директориях требовали 40 тыщ изначально за расшифровку.

Сочувствую. Но помочь здесь вряд ли чем можно - либо платите, либо забейте и начните жизнь с чистого листа. Либо поизголяйтесь как советовал (13)

Админам или "безопасникам" строгий выговор и - 25% премии в этом месяце

(16) согласен, но за IT-инфраструктурой в целом - можно, дабы избегать таких ситуаций в будущем. У нас, например, были несколько случаев, когда шифровались данные на локальных машинах клиентов, но не более. Про "вирусные" вещи автоматом делается рассылка дважды в день, а так же предусмотрен штраф за нарушение полученной инструкции. только бэкапы спасают от этой напасти
к несчастью мелкие конторы не защищены полностью от шифровальщиков (18) Любые конторы защищены где админ нормальный строит систему. Для бекапов и теневого не надо лишних ресурсов. Нужно админам нормальную зарплату платить,тогда можно избегать этих шифровальщиков и даже после шифрования! Если базы зашифрованы, то шифровальщик не сможет их повторно зашифровать, у меня напр вообще все локалка зашифрована! (22) Да, что вы говорите.
Похоже на анекдот, в котором владелец бахчи, повесил записку, что 1 из арбузов отравлен, а на утро обнаружил приписку, что уже 2 арбуза отравлены. (0) Единственный вариант - заплатить вымогателям.
Иначе - набивать с нуля.
А вообще бэкапы для этого делают. (22) не пори чушь, никто не мешает зашифровать твою базу как пофайлово, так и весь образ целиком.

(2) >>сколько раз говорил - файловая база 1с только для тестов и демок .

Сколько можно повторять этот бред?
Файловая база самый популярный и самый быстрый рабочий вариант.
На ней работает большинство.
SQL используется очень редко, ее имеет смысл использовать только при 5 и более пользователях одновременно работающих в базе.
Поднимать сервер ради одного- двух пользователей это абсурд.

Большая.Если база зашифрована зарытым ключом не один шифровальщик не сможет зашифровать повторно! (30) Что за бред?
Какая разница чем зашифрована база и как? База это файл!
Шифровальщик видит файл, и шифрует.
Все.
А что внутри файла - ему фиолетово. Видимо тебе фиолетово. Вирус не сможет зашифровать базу пока не узнает её ключ! А ключ он никогда не узнает, нет ещё пока таких троянов! Ключ нужен чтобы расшифровать и прочитать зашифрованное содержимое зашифрованного файла.
Шифровальщику читать содержимое файла не надо. Реализация алгоритма шифрования RSA при известных параметрах p и q. (30) А про закрытый ключ - вообще смешно.
Сразу видно что с шифрованием вы не знакомы.
Закрытым ключь это термин из ассиметричного шифрования.
И им никогда ничего не шифруют!
Шифруют открытым(публичным) ключом.
А закрытым расшифровывают. Троян не сможет зашифровать повторна без закрытого ключа

(35) Какая нафиг реализация, нафига тут вообще алгоритмы?

У тебя есть зашифрованный файл.
Прочитать что там за информация ты не можешь.
Но ты можешь скопировать этот файл - он так и скопируется зашифрованным.
Или зашифровать его.

Берешь текстовый документ. Документ.doc
Шифруешь его с помощь архиватора WinRAR с ключом A%(Js,gytr6t6jh, получается зашифрованный архив Документ.rar

Так вот чтобы зашифровать зашифрованынй архиво Документ.doc не нужно знать ключ шифрования, и не нужно его расшифровывать.
Просто берешь файл Документ.rar шифруешь его архиватором WinRAR.
В итоге у тебя получится зашифрованный архив Документ.rar внутри которго находится зашифрованный архив Документ.rar внутри которого находится документ Документ.doc

Читайте также: