Показано с 1 по 6 из 6.

email-iizomer@aol.com.ver-CL 0.0.1.0.id Восстанавливаем зашифрованные базы 1С v8.2

  1. #1
    Junior Member Репутация
    Регистрация
    15.06.2011
    Сообщений
    7
    Вес репутации
    24

    email-iizomer@aol.com.ver-CL 0.0.1.0.id Восстанавливаем зашифрованные базы 1С v8.2

    Словили недавно вышеназванного шифровальшика на почту и, соответственно, зашифровал он все файлы и стали они все называться типа:
    email-iizomer@aol.com.ver-CL 0.0.1.0.id-WYWYEGNOWXUCDKYQEYGXITHETHIWXUMJUBTG-15.06.2015 9@09@526523165.randomname-DAJRLQSQBQ...KPKOCX.NLQ.cbf

    Да и фиг бы с этими файлами, да только на компе еще находились базы 1с-ки 8-ки и бэкапов небыло, и фиг с ними не прокатывал )

    Пришлось покопать структуру 1с-овской базы, оценить насколько глубоко зашифровалась база и после недолгого времени выяснилось следующее:
    1) Шифровальщик шифрует первые 0x752F байт
    2) В базе 1С ничего сильно больно важного в этом промежутке не лежит.
    Следовательно, для восстановления базы понадобится аналогичная чистая база и hex редактор (в мое случае это HxD). Из чистой базы копируем первые 0x752F байт и вставляем в "зашифрованную", после чего переименовываем испорченый файл как и положено в 1cv8.1cd и после этого с базой уже можно работать.. Но для полноценной работы надо будет еще прогнать базу через утилиту chdbfl.exe в режиме исправления ошибок.

    Вот, собственно, и все... Надеюсь кому-нибудь это поможет в борьбе со зловредами.

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    External Specialist Репутация
    Регистрация
    09.02.2015
    Сообщений
    132
    Вес репутации
    11
    Кроме первых 0x7530 байт шифровальщик шифрует три блока по 0x400 байт.
    И тут уж как повезет - запортят эти блоки важную информацию.
    Пробовал восстанавливать таким образом базы после 6 версии вируса.
    Из 6 баз в 3 незначительные ошибки - можно с ними дальше работать,
    и в 3 утилита удалила кучу полей - базы безнадежно испорчены.

  4. #3
    Junior Member Репутация
    Регистрация
    15.06.2011
    Сообщений
    7
    Вес репутации
    24
    Мне повезло больше, 4 из 4-х восстановились до рабочего состояния..посему и решил поделиться способом с народом..

  5. #4
    Junior Member (OID) Репутация
    Регистрация
    01.10.2015
    Сообщений
    2
    Вес репутации
    9
    Цитата Сообщение от 24xx22 Посмотреть сообщение
    Словили недавно вышеназванного шифровальшика на почту и, соответственно, зашифровал он все файлы и стали они все называться типа:
    email-iizomer@aol.com.ver-CL 0.0.1.0.id-WYWYEGNOWXUCDKYQEYGXITHETHIWXUMJUBTG-15.06.2015 9@09@526523165.randomname-DAJRLQSQBQ...KPKOCX.NLQ.cbf

    Да и фиг бы с этими файлами, да только на компе еще находились базы 1с-ки 8-ки и бэкапов небыло, и фиг с ними не прокатывал )

    Пришлось покопать структуру 1с-овской базы, оценить насколько глубоко зашифровалась база и после недолгого времени выяснилось следующее:
    1) Шифровальщик шифрует первые 0x752F байт
    2) В базе 1С ничего сильно больно важного в этом промежутке не лежит.
    Следовательно, для восстановления базы понадобится аналогичная чистая база и hex редактор (в мое случае это HxD). Из чистой базы копируем первые 0x752F байт и вставляем в "зашифрованную", после чего переименовываем испорченый файл как и положено в 1cv8.1cd и после этого с базой уже можно работать.. Но для полноценной работы надо будет еще прогнать базу через утилиту chdbfl.exe в режиме исправления ошибок.

    Вот, собственно, и все... Надеюсь кому-нибудь это поможет в борьбе со зловредами.
    Подскажите как перейти на эту строку "0x752F байт" Я первый раз вообще Хекс открыл. Чет не могу понять. Понимаю что логично но как?

  6. #5
    Junior Member Репутация
    Регистрация
    15.06.2011
    Сообщений
    7
    Вес репутации
    24
    Цитата Сообщение от Денис Польгин Посмотреть сообщение
    Подскажите как перейти на эту строку "0x752F байт" Я первый раз вообще Хекс открыл. Чет не могу понять. Понимаю что логично но как?
    В меню "поиск" пункт "перейти", либо ctrl+G и вводишь смещение, только без "0x"
    А лучше всего написать касперскому по адресу stopgpcode@kaspersky.com, приложив несколько зашифрованых файлов, у них оказывается дешифраторы есть... Мне уже 2 раза помогли.. бесплатно

  7. #6
    Junior Member (OID) Репутация
    Регистрация
    01.10.2015
    Сообщений
    2
    Вес репутации
    9
    - - - - -Добавлено - - - - -

    Цитата Сообщение от sergh1970 Посмотреть сообщение
    Кроме первых 0x7530 байт шифровальщик шифрует три блока по 0x400 байт.
    И тут уж как повезет - запортят эти блоки важную информацию.
    Пробовал восстанавливать таким образом базы после 6 версии вируса.
    Из 6 баз в 3 незначительные ошибки - можно с ними дальше работать,
    и в 3 утилита удалила кучу полей - базы безнадежно испорчены.
    Можно подробнее что за 0x400 байт. и как их найти

Похожие темы

  1. email-iizomer@aol.com [not-a-virus:RiskTool.Win32.BitCoinMiner.lrc ]
    От 4y3uk в разделе Помогите!
    Ответов: 3
    Последнее сообщение: 16.06.2015, 15:15
  2. email-iizomer@aol.com
    От Антон Родионов в разделе Помогите!
    Ответов: 2
    Последнее сообщение: 11.06.2015, 22:04
  3. Поймал вирус-email-iizomer@aol.com.ver-CL 0.0.1.0.id
    От DragVit в разделе Помогите!
    Ответов: 3
    Последнее сообщение: 09.06.2015, 21:05
  4. email-iizomer@aol.com.ver-CL 0.0.1.0 помогите решить проблему
    От General313 в разделе Шифровальщики
    Ответов: 6
    Последнее сообщение: 08.06.2015, 14:22
  5. Поймал этот вирус email-iizomer@aol.com.ver-CL 0.0.1.0.id
    От Михаил Юрьевич в разделе Помогите!
    Ответов: 11
    Последнее сообщение: 19.05.2015, 20:48

Свернуть/Развернуть Ваши права в разделе

  • Вы не можете создавать новые темы
  • Вы не можете отвечать в темах
  • Вы не можете прикреплять вложения
  • Вы не можете редактировать свои сообщения
  •  
Page generated in 0.01275 seconds with 15 queries