Словили недавно вышеназванного шифровальшика на почту и, соответственно, зашифровал он все файлы и стали они все называться типа:
[email protected] 0.0.1.0.id-WYWYEGNOWXUCDKYQEYGXITHETHIWXUMJUBTG-15.06.2015 9@[email protected]

Да и фиг бы с этими файлами, да только на компе еще находились базы 1с-ки 8-ки и бэкапов небыло, и фиг с ними не прокатывал :))

Пришлось покопать структуру 1с-овской базы, оценить насколько глубоко зашифровалась база и после недолгого времени выяснилось следующее:
1) Шифровальщик шифрует первые 0x752F байт
2) В базе 1С ничего сильно больно важного в этом промежутке не лежит.
Следовательно, для восстановления базы понадобится аналогичная чистая база и hex редактор (в мое случае это HxD). Из чистой базы копируем первые 0x752F байт и вставляем в "зашифрованную", после чего переименовываем испорченый файл как и положено в 1cv8.1cd и после этого с базой уже можно работать.. Но для полноценной работы надо будет еще прогнать базу через утилиту chdbfl.exe в режиме исправления ошибок.

Вот, собственно, и все... Надеюсь кому-нибудь это поможет в борьбе со зловредами.

Кроме первых 0x7530 байт шифровальщик шифрует три блока по 0x400 байт.
И тут уж как повезет - запортят эти блоки важную информацию.
Пробовал восстанавливать таким образом базы после 6 версии вируса.
Из 6 баз в 3 незначительные ошибки - можно с ними дальше работать,
и в 3 утилита удалила кучу полей - базы безнадежно испорчены.

Мне повезло больше, 4 из 4-х восстановились до рабочего состояния..посему и решил поделиться способом с народом..

Словили недавно вышеназванного шифровальшика на почту и, соответственно, зашифровал он все файлы и стали они все называться типа:
[email protected] 0.0.1.0.id-WYWYEGNOWXUCDKYQEYGXITHETHIWXUMJUBTG-15.06.2015 9@[email protected]

Да и фиг бы с этими файлами, да только на компе еще находились базы 1с-ки 8-ки и бэкапов небыло, и фиг с ними не прокатывал :))

Пришлось покопать структуру 1с-овской базы, оценить насколько глубоко зашифровалась база и после недолгого времени выяснилось следующее:
1) Шифровальщик шифрует первые 0x752F байт
2) В базе 1С ничего сильно больно важного в этом промежутке не лежит.
Следовательно, для восстановления базы понадобится аналогичная чистая база и hex редактор (в мое случае это HxD). Из чистой базы копируем первые 0x752F байт и вставляем в "зашифрованную", после чего переименовываем испорченый файл как и положено в 1cv8.1cd и после этого с базой уже можно работать.. Но для полноценной работы надо будет еще прогнать базу через утилиту chdbfl.exe в режиме исправления ошибок.

Вот, собственно, и все... Надеюсь кому-нибудь это поможет в борьбе со зловредами.

Подскажите как перейти на эту строку "0x752F байт" Я первый раз вообще Хекс открыл. Чет не могу понять. Понимаю что логично но как?

Подскажите как перейти на эту строку "0x752F байт" Я первый раз вообще Хекс открыл. Чет не могу понять. Понимаю что логично но как?

В меню "поиск" пункт "перейти", либо ctrl+G и вводишь смещение, только без "0x"
А лучше всего написать касперскому по адресу [email protected], приложив несколько зашифрованых файлов, у них оказывается дешифраторы есть... Мне уже 2 раза помогли.. бесплатно

- - - - -Добавлено - - - - -


Кроме первых 0x7530 байт шифровальщик шифрует три блока по 0x400 байт.
И тут уж как повезет - запортят эти блоки важную информацию.
Пробовал восстанавливать таким образом базы после 6 версии вируса.
Из 6 баз в 3 незначительные ошибки - можно с ними дальше работать,
и в 3 утилита удалила кучу полей - базы безнадежно испорчены.
Можно подробнее что за 0x400 байт. и как их найти