# Форум на русском языке  > Угрозы информационной безопасности  > Вредоносные программы  > Шифровальщики  >  [email protected] 0.0.1.0.id Восстанавливаем зашифрованные базы 1С v8.2

## 24xx22

Словили недавно вышеназванного шифровальшика на почту и, соответственно, зашифровал он все файлы и стали они все называться типа:
[email protected]-CL 0.0.1.0.id-WYWYEGNOWXUCDKYQEYGXITHETHIWXUMJUBTG-15.06.2015 [email protected]@526523165.randomname-DAJRLQSQBQ...KPKOCX.NLQ.cbf

Да и фиг бы с этими файлами, да только на компе еще находились базы 1с-ки 8-ки и бэкапов небыло, и фиг с ними не прокатывал  :Smiley: )

Пришлось покопать структуру 1с-овской базы, оценить насколько глубоко зашифровалась база и после недолгого времени выяснилось следующее:
1) Шифровальщик шифрует первые 0x752F байт
2) В базе 1С ничего сильно больно важного в этом промежутке не лежит.
Следовательно, для восстановления базы понадобится аналогичная чистая база и hex редактор (в мое случае это HxD). Из чистой базы копируем первые 0x752F байт и вставляем в "зашифрованную", после чего переименовываем испорченый файл как и положено в 1cv8.1cd и после этого с базой уже можно работать.. Но для полноценной работы надо будет еще прогнать базу через утилиту chdbfl.exe в режиме исправления ошибок.

Вот, собственно, и все... Надеюсь кому-нибудь это поможет в борьбе со зловредами.

----------

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

----------


## sergh1970

Кроме первых 0x7530 байт шифровальщик шифрует три блока по 0x400 байт.
И тут уж как повезет - запортят эти блоки важную информацию.
Пробовал восстанавливать таким образом базы после 6 версии вируса.
Из 6 баз в 3 незначительные ошибки - можно с ними дальше работать,
и в 3 утилита удалила кучу полей - базы безнадежно испорчены.

----------


## 24xx22

Мне повезло больше, 4 из 4-х восстановились до рабочего состояния..посему и решил поделиться способом с народом..

----------


## Денис Польгин

> Словили недавно вышеназванного шифровальшика на почту и, соответственно, зашифровал он все файлы и стали они все называться типа:
> [email protected]-CL 0.0.1.0.id-WYWYEGNOWXUCDKYQEYGXITHETHIWXUMJUBTG-15.06.2015 [email protected]@526523165.randomname-DAJRLQSQBQ...KPKOCX.NLQ.cbf
> 
> Да и фиг бы с этими файлами, да только на компе еще находились базы 1с-ки 8-ки и бэкапов небыло, и фиг с ними не прокатывал )
> 
> Пришлось покопать структуру 1с-овской базы, оценить насколько глубоко зашифровалась база и после недолгого времени выяснилось следующее:
> 1) Шифровальщик шифрует первые 0x752F байт
> 2) В базе 1С ничего сильно больно важного в этом промежутке не лежит.
> Следовательно, для восстановления базы понадобится аналогичная чистая база и hex редактор (в мое случае это HxD). Из чистой базы копируем первые 0x752F байт и вставляем в "зашифрованную", после чего переименовываем испорченый файл как и положено в 1cv8.1cd и после этого с базой уже можно работать.. Но для полноценной работы надо будет еще прогнать базу через утилиту chdbfl.exe в режиме исправления ошибок.
> ...


Подскажите как перейти на эту строку "0x752F байт" Я первый раз вообще Хекс открыл. Чет не могу понять. Понимаю что логично но как?

----------


## 24xx22

> Подскажите как перейти на эту строку "0x752F байт" Я первый раз вообще Хекс открыл. Чет не могу понять. Понимаю что логично но как?


В меню "поиск" пункт "перейти", либо ctrl+G и вводишь смещение, только без "0x"
А лучше всего написать касперскому по адресу [email protected], приложив несколько зашифрованых файлов, у них оказывается дешифраторы есть... Мне уже 2 раза помогли.. бесплатно

----------


## Денис Польгин

- - - - -Добавлено - - - - -




> Кроме первых 0x7530 байт шифровальщик шифрует три блока по 0x400 байт.
> И тут уж как повезет - запортят эти блоки важную информацию.
> Пробовал восстанавливать таким образом базы после 6 версии вируса.
> Из 6 баз в 3 незначительные ошибки - можно с ними дальше работать,
> и в 3 утилита удалила кучу полей - базы безнадежно испорчены.


Можно подробнее что за 0x400 байт. и как их найти

----------

