PDA

Просмотр полной версии : email-iizomer@aol.com.ver-CL 0.0.1.0.id Восстанавливаем зашифрованные базы 1С v8.2



24xx22
19.06.2015, 07:16
Словили недавно вышеназванного шифровальшика на почту и, соответственно, зашифровал он все файлы и стали они все называться типа:
email-iizomer@aol.com.ver-CL 0.0.1.0.id-WYWYEGNOWXUCDKYQEYGXITHETHIWXUMJUBTG-15.06.2015 9@09@526523165.randomname-DAJRLQSQBQKPTICXSXCAPDIMKPKOCX.NLQ.cbf

Да и фиг бы с этими файлами, да только на компе еще находились базы 1с-ки 8-ки и бэкапов небыло, и фиг с ними не прокатывал :))

Пришлось покопать структуру 1с-овской базы, оценить насколько глубоко зашифровалась база и после недолгого времени выяснилось следующее:
1) Шифровальщик шифрует первые 0x752F байт
2) В базе 1С ничего сильно больно важного в этом промежутке не лежит.
Следовательно, для восстановления базы понадобится аналогичная чистая база и hex редактор (в мое случае это HxD). Из чистой базы копируем первые 0x752F байт и вставляем в "зашифрованную", после чего переименовываем испорченый файл как и положено в 1cv8.1cd и после этого с базой уже можно работать.. Но для полноценной работы надо будет еще прогнать базу через утилиту chdbfl.exe в режиме исправления ошибок.

Вот, собственно, и все... Надеюсь кому-нибудь это поможет в борьбе со зловредами.

sergh1970
19.06.2015, 15:58
Кроме первых 0x7530 байт шифровальщик шифрует три блока по 0x400 байт.
И тут уж как повезет - запортят эти блоки важную информацию.
Пробовал восстанавливать таким образом базы после 6 версии вируса.
Из 6 баз в 3 незначительные ошибки - можно с ними дальше работать,
и в 3 утилита удалила кучу полей - базы безнадежно испорчены.

24xx22
20.06.2015, 02:58
Мне повезло больше, 4 из 4-х восстановились до рабочего состояния..посему и решил поделиться способом с народом..

Денис Польгин
01.10.2015, 16:10
Словили недавно вышеназванного шифровальшика на почту и, соответственно, зашифровал он все файлы и стали они все называться типа:
email-iizomer@aol.com.ver-CL 0.0.1.0.id-WYWYEGNOWXUCDKYQEYGXITHETHIWXUMJUBTG-15.06.2015 9@09@526523165.randomname-DAJRLQSQBQKPTICXSXCAPDIMKPKOCX.NLQ.cbf

Да и фиг бы с этими файлами, да только на компе еще находились базы 1с-ки 8-ки и бэкапов небыло, и фиг с ними не прокатывал :))

Пришлось покопать структуру 1с-овской базы, оценить насколько глубоко зашифровалась база и после недолгого времени выяснилось следующее:
1) Шифровальщик шифрует первые 0x752F байт
2) В базе 1С ничего сильно больно важного в этом промежутке не лежит.
Следовательно, для восстановления базы понадобится аналогичная чистая база и hex редактор (в мое случае это HxD). Из чистой базы копируем первые 0x752F байт и вставляем в "зашифрованную", после чего переименовываем испорченый файл как и положено в 1cv8.1cd и после этого с базой уже можно работать.. Но для полноценной работы надо будет еще прогнать базу через утилиту chdbfl.exe в режиме исправления ошибок.

Вот, собственно, и все... Надеюсь кому-нибудь это поможет в борьбе со зловредами.

Подскажите как перейти на эту строку "0x752F байт" Я первый раз вообще Хекс открыл. Чет не могу понять. Понимаю что логично но как?

24xx22
02.10.2015, 12:50
Подскажите как перейти на эту строку "0x752F байт" Я первый раз вообще Хекс открыл. Чет не могу понять. Понимаю что логично но как?

В меню "поиск" пункт "перейти", либо ctrl+G и вводишь смещение, только без "0x"
А лучше всего написать касперскому по адресу stopgpcode@kaspersky.com, приложив несколько зашифрованых файлов, у них оказывается дешифраторы есть... Мне уже 2 раза помогли.. бесплатно

Денис Польгин
02.10.2015, 18:44
- - - - -Добавлено - - - - -


Кроме первых 0x7530 байт шифровальщик шифрует три блока по 0x400 байт.
И тут уж как повезет - запортят эти блоки важную информацию.
Пробовал восстанавливать таким образом базы после 6 версии вируса.
Из 6 баз в 3 незначительные ошибки - можно с ними дальше работать,
и в 3 утилита удалила кучу полей - базы безнадежно испорчены.
Можно подробнее что за 0x400 байт. и как их найти