-
Junior Member
- Вес репутации
- 47
[email protected] 0.0.1.0.id Восстанавливаем зашифрованные базы 1С v8.2
Словили недавно вышеназванного шифровальшика на почту и, соответственно, зашифровал он все файлы и стали они все называться типа:
[email protected]-CL 0.0.1.0.id-WYWYEGNOWXUCDKYQEYGXITHETHIWXUMJUBTG-15.06.2015 9@[email protected]
Да и фиг бы с этими файлами, да только на компе еще находились базы 1с-ки 8-ки и бэкапов небыло, и фиг с ними не прокатывал )
Пришлось покопать структуру 1с-овской базы, оценить насколько глубоко зашифровалась база и после недолгого времени выяснилось следующее:
1) Шифровальщик шифрует первые 0x752F байт
2) В базе 1С ничего сильно больно важного в этом промежутке не лежит.
Следовательно, для восстановления базы понадобится аналогичная чистая база и hex редактор (в мое случае это HxD). Из чистой базы копируем первые 0x752F байт и вставляем в "зашифрованную", после чего переименовываем испорченый файл как и положено в 1cv8.1cd и после этого с базой уже можно работать.. Но для полноценной работы надо будет еще прогнать базу через утилиту chdbfl.exe в режиме исправления ошибок.
Вот, собственно, и все... Надеюсь кому-нибудь это поможет в борьбе со зловредами.
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
External Specialist
- Вес репутации
- 34
Кроме первых 0x7530 байт шифровальщик шифрует три блока по 0x400 байт.
И тут уж как повезет - запортят эти блоки важную информацию.
Пробовал восстанавливать таким образом базы после 6 версии вируса.
Из 6 баз в 3 незначительные ошибки - можно с ними дальше работать,
и в 3 утилита удалила кучу полей - базы безнадежно испорчены.
-
Junior Member
- Вес репутации
- 47
Мне повезло больше, 4 из 4-х восстановились до рабочего состояния..посему и решил поделиться способом с народом..
-
Junior Member (OID)
- Вес репутации
- 32
Сообщение от
24xx22
Словили недавно вышеназванного шифровальшика на почту и, соответственно, зашифровал он все файлы и стали они все называться типа:
[email protected]-CL 0.0.1.0.id-WYWYEGNOWXUCDKYQEYGXITHETHIWXUMJUBTG-15.06.2015 9@
[email protected]
Да и фиг бы с этими файлами, да только на компе еще находились базы 1с-ки 8-ки и бэкапов небыло, и фиг с ними не прокатывал
)
Пришлось покопать структуру 1с-овской базы, оценить насколько глубоко зашифровалась база и после недолгого времени выяснилось следующее:
1) Шифровальщик шифрует первые 0x752F байт
2) В базе 1С ничего сильно больно важного в этом промежутке не лежит.
Следовательно, для восстановления базы понадобится аналогичная чистая база и hex редактор (в мое случае это HxD). Из чистой базы копируем первые 0x752F байт и вставляем в "зашифрованную", после чего переименовываем испорченый файл как и положено в 1cv8.1cd и после этого с базой уже можно работать.. Но для полноценной работы надо будет еще прогнать базу через утилиту chdbfl.exe в режиме исправления ошибок.
Вот, собственно, и все... Надеюсь кому-нибудь это поможет в борьбе со зловредами.
Подскажите как перейти на эту строку "0x752F байт" Я первый раз вообще Хекс открыл. Чет не могу понять. Понимаю что логично но как?
-
Junior Member
- Вес репутации
- 47
Сообщение от
Денис Польгин
Подскажите как перейти на эту строку "0x752F байт" Я первый раз вообще Хекс открыл. Чет не могу понять. Понимаю что логично но как?
В меню "поиск" пункт "перейти", либо ctrl+G и вводишь смещение, только без "0x"
А лучше всего написать касперскому по адресу [email protected], приложив несколько зашифрованых файлов, у них оказывается дешифраторы есть... Мне уже 2 раза помогли.. бесплатно
-
Junior Member (OID)
- Вес репутации
- 32
- - - - -Добавлено - - - - -
Сообщение от
sergh1970
Кроме первых 0x7530 байт шифровальщик шифрует три блока по 0x400 байт.
И тут уж как повезет - запортят эти блоки важную информацию.
Пробовал восстанавливать таким образом базы после 6 версии вируса.
Из 6 баз в 3 незначительные ошибки - можно с ними дальше работать,
и в 3 утилита удалила кучу полей - базы безнадежно испорчены.
Можно подробнее что за 0x400 байт. и как их найти