Wirus Ransomware . SOJUSZ

[Grzegorz Dobrzański 0]

witam

virus zainfekował nam pliki na serwerze, zaszyfrował wszystko w tym pliki kopii zapasowej bazy danych.

 

czy ktos ma rozwiązanie ?

jakis ransomware typu . SOJUSZ (MAKOP)

 

 

[Marcin Zborowski 42]

Jeśli pliki są zaszyfrowane to raczej nic się nie da zrobić. Z tego co pamiętam wcześniejsze wersje różnych tego typu zagrożeń szyfrujących nie dawały nadziei na odszyfrowanie. Pierwsze wersje jeszcze można było wykupić odszyfrowanie. Późniejsze już tego nie robiły. Niestety obawiam się że ta wersja ( nie słyszałem o niej wcześniej) będzie pewnie jeszcze bardziej zaawansowana. 

[EDIT]

Dostałem właśnie informację że da się to jednak zrobić.

Edytowane 20 Kwietnia 2022 przez Marcin Zborowski

[Grzegorz Dobrzański 0]

ja też dostałem informacje ze komus sie przywrocenie bazy udało, czekam na testy

 

[Użytkownik GT/NEXO 39]

Kiedyś miałem podobny problem i udało się rozwiązać płatnie ok. 200 Dolarów temat z nimi:

http://www.drweb.com/

To było dawno temu, wtedy jedyną opcją językową było RU.

Teraz widzę, że są już w PL lub kierują witryne na nasz rynek. 

[Adrian Niemiec-Ochała 0]

Czy udało się coś zdziałać z tymi plikami bo dwa dni temu spotkało mnie to samo. Zastanawiam się się tylko jak dostali się do tej maszyny może dziura w programie od Insertu ? Bo tam nie ma możliwości aby koś coś uruchomił zdalnie dodali konta użytkowników zainstalowali ANYdesktop zaszyfrowali i posprzątali po sobie. Żadne oprogramowanie nic nie wykrywa aby było jeszcze w systemie. 

[Grzegorz Dobrzański 0]

witam, 

my baze odzyskalismy sami programem, zaimportowała sie była spójna ale program nie otwierda sie wyrzuca błąd.

Prawdopodobnie przy odzyskiwaniu bledne wpisy pomienieto i baza jest niepelna, stad błedy.

teraz zlecilismy drugą baze do ODBUDOWY na podstawie innej kopii dobrej niezaszyfrowanej.  Jesli macie inna baze niezaszyfrowaną z przed paru miesiecy nawet, to podobno jest szansa

o wyniku poinformuej w poniedzialek .

okupu podobno nei warto placic bo sie nie odzywaja po zaplacie , 

z warszawy ktos chce 30 tysiecy za to, 

 

generalnie trzeba miec pewnosc ze wszystko w bazie jest po odzyskaniu, bo moze dojsc do sytuacji ze zaczyta sie otworzy

ale potem przy pewnej operacji czegos zabraknie i wywali blad, wtedy to porazka. kto sie cofnie i odtworzy wstecz wszystko; (

 

na serwerze macie zdalny pulpit i polaczenia czy tylko do programu sie laczycie ??
czy macie teamviewera do podgladu tak jak my i serwis tym programem wchodzil
tez nei wiem jak sie virus zainfekowal

Edytowane 23 Kwietnia 2022 przez Grzegorz Dobrzański

[Adrian Niemiec-Ochała 0]

Dr.Web odpisał ze nie są wstanie zdekodować.  Był teamviewer oraz chromeremonte desktop. Ksiegowa łączyła się przez VPN a oni jak uzyskali dostęp zainstalowali Anydesktop bo tylko on pozostał bo ich działaniu. Nic nie wykrywa śladu jakiegokolwiek wirusa

[Adrian Niemiec-Ochała 0]

WERSJA GT

[Grzegorz Dobrzański 0]

ok, podobno GT udało sie  komus odsyskac i uruchomic, w naszym przypadku bazy NEXO nie dalo rady

 

 

 

Edytowane 23 Kwietnia 2022 przez Grzegorz Dobrzański

[Grzegorz Dobrzański 0]

,

 

Edytowane 23 Kwietnia 2022 przez Grzegorz Dobrzański

[Adrian Niemiec-Ochała 0]

Oki poczekamy . A ten program tylko bazę deszyfruje czy  pliki tez potrafi.

[Grzegorz Dobrzański 0]

tylko BAZY mozna probowac odzyskiwac, 

plików nie da rady, o odszyfrowaniu to zapomniec mozna, nikt na swiecie nie odszyfruje.

 

Edytowane 23 Kwietnia 2022 przez Grzegorz Dobrzański

[Piotr Zajac 4]

W dniu 23.04.2022 o 18:54, Adrian Niemiec-Ochała napisał:

Oki poczekamy . A ten program tylko bazę deszyfruje czy  pliki tez potrafi.

nie ma opcji deszyfracji jako takiej, w tym przypadku byliśmy w stanie pomóc i bazę naprawić, w razie czego zapraszam do kontaktu 

[Grzegorz Dobrzański 0]

Ad virus Sojusz

 

Uff... problem rozwiązany z naszym NEXO, 

powiem szczerze, klika osób walczyło z tematem cały tydzień. Na szczęście znalazł się JEDEN człowiek, który uratował bazę.

wnioski: 

- jak wiadomo okupu nie warto płacić, bo niepewny.

- odszyfrować się NIE DA

- odzyskiwanie bazy programami na nic się zdaje, bo choć baza wychodzi spójna to NIEPEŁNA, brakuje dobrych wpisów, które usunięte zostały z zainfekowanymi

- rozwiązanie: Trzeba ODBUDOWYWAĆ bazę i tu z pomocą przyszedł Pan PIOTR ZAJĄC z IT Serwis który zajmuje się bazami danych ponad 25 lat

po końcowych rozmowach pozwolił udostępnić kontakt do siebie więc podaje:

Tel: +48 535-505-359
E-mail: it@piotr-zajac.pl

http://piotr-zajac.pl/kontakt

 

pozdrawiam i życzę wszystkim szybkiego rozwiązania problemu i powrotu do normalnej pracy 

temat uznaję za zamknięty

 

 

 

 

 

[Andrzej Kubik 1 096]

W dniu 23.04.2022 o 16:43, Grzegorz Dobrzański napisał:

witam, 

my baze odzyskalismy sami programem, zaimportowała sie była spójna ale program nie otwierda sie wyrzuca błąd.

Prawdopodobnie przy odzyskiwaniu bledne wpisy pomienieto i baza jest niepelna, stad błedy.

To tylko jedna z możliwości.

Może brakować, i często brakuje, niektórych danych, ale może być też tak że dane są, ale brakuje innych obiektów.

Ostatnio dostałem taką odzyskaną bazę i okazało się że co prawda dane w tabelach są, ale brakuje ogromnej liczby procedur, funkcji, indeksów itd. Razem było ponad 3000 braków.

Bazę doprowadziłem do stanu nadającego się do użytku przenosząc swoimi narzędziami same dane z odzyskanej bazy do nowej bazy.

[Przemysław Łakomy 0]

W związku z incydentem u naszego Klienta mieliśmy okazję skorzystać z usług Pana Piotra. Usługa naprawy bazy danych została wykonana profesjonalnie, cena była uczciwa. Ogromnym plusem jest bardzo dobry kontakt z Panem Piotrem. Gorąco polecam.

[Piotr Zajac 4]

W dniu 25.04.2022 o 14:51, Andrzej Kubik napisał:

To tylko jedna z możliwości.

Może brakować, i często brakuje, niektórych danych, ale może być też tak że dane są, ale brakuje innych obiektów.

Ostatnio dostałem taką odzyskaną bazę i okazało się że co prawda dane w tabelach są, ale brakuje ogromnej liczby procedur, funkcji, indeksów itd. Razem było ponad 3000 braków.

Bazę doprowadziłem do stanu nadającego się do użytku przenosząc swoimi narzędziami same dane z odzyskanej bazy do nowej bazy.

Zgadza się żaden program poprawnie nie naprawi praktycznie żadnej bazy - moja technika naprawiania takich przypadków ma wiele lat, baz poskładanych i funkcjonujących poprawnie samego Insertu mam na koncie ponad 2000, były to również biura rachunkowe . Ma Pan rację w tym co mówi, ja mam na to metody. Klientom często oddaję do sprawdzenia bazę rzed zapłatą - również ze względu na niedowierzanie że wszystko jest.  Owszem czasem brakuje kilku transakcji z ostatniej chwili awarii i należy je odtworzyć ręcznie - kilka rozumieć należy dosłownie

Pozdrawiam 

Piotr Zając

 

[Daniel Kozłowski 1 171]

Dobrze, że były to "szczęśliwe uszkodzenia" (takie, które nie doprowadziłby do utraty istotnych danych jak dokumenty, pozycje dokumentów, ruchy w magazynie, rozrachunki, ich rozliczenia) i udało się je naprawić, lecz nikt tutaj nie zastanowił dlaczego doszło do takiego problemu, aby inni użytkownicy mieli możliwość wyciągnięcia wniosków i uniknąć takich sytuacji. Dlaczego większość użytkowników tak ryzykuje i po prostu czeka na powstanie problemu, gdyż nie przestrzega podstawowej zasady bezpieczeństwa jaką jest posiadanie "bezpiecznej kopii bezpieczeństwa", a kopia bezpieczna to taka, z której będziemy mogli odzyskać dane w przypadku awarii, aby było to możliwe musi znajdować się na innym nośniku fizycznym, do którego nie ma bezpośredniego dostępu z lokalizacji bazy danych produkcyjnej, czyli w praktyce:

• zewnętrzny, podłączany tylko na czas kopii nośnik zewnętrzny jak pendrive czy dysk przenośny
• dedykowane usługi do archiwizacji baz danych jak e-archiwizacja firmy InsERT: https://www.insert.com.pl/dla_uzytkownikow/e-archiwizacja.html
• dysk sieciowy z wykorzystaniem protokołu FTP (bez SMB)
• serwer hostingowy z wykorzystaniem protokołu FTP
• dyski chmurowe z funkcją kosza / zabezpieczeniami przed zagrożeniami typu Ransomware

Przechowywanie kopii na tym samym dysku komputera pełniącego rolę serwera, na którym znajduje się baza produkcyjna powoduje naturalnie utratę wszystkich danych w przypadku awarii tego dysku, nawet jeśli mamy dwa dyski fizyczne (na jednym baza danych, na drugim kopie) lub macierze RAID to kopie te mogą zostać utracone przez wirusy typu Ransomware.

[Piotr Zajac 4]

1 minutę temu, Daniel Kozłowski napisał:

Dobrze, że były to "szczęśliwe uszkodzenia" (takie, które nie doprowadziłby do utraty istotnych danych jak dokumenty, pozycje dokumentów, ruchy w magazynie, rozrachunki, ich rozliczenia) i udało się je naprawić, lecz nikt tutaj nie zastanowił dlaczego doszło do takiego problemu, aby inni użytkownicy mieli możliwość wyciągnięcia wniosków i uniknąć takich sytuacji. Dlaczego większość użytkowników tak ryzykuje i po prostu czeka na powstanie problemu, gdyż nie przestrzega podstawowej zasady bezpieczeństwa jaką jest posiadanie "bezpiecznej kopii bezpieczeństwa", a kopia bezpieczna to taka, z której będziemy mogli odzyskać dane w przypadku awarii, aby było to możliwe musi znajdować się na innym nośniku fizycznym, do którego nie ma bezpośredniego dostępu z lokalizacji bazy danych produkcyjnej, czyli w praktyce:

• zewnętrzny, podłączany tylko na czas kopii nośnik zewnętrzny jak pendrive czy dysk przenośny
• dedykowane usługi do archiwizacji baz danych jak e-archiwizacja firmy InsERT: https://www.insert.com.pl/dla_uzytkownikow/e-archiwizacja.html
• dysk sieciowy z wykorzystaniem protokołu FTP (bez SMB)
• serwer hostingowy z wykorzystaniem protokołu FTP
• dyski chmurowe z funkcją kosza / zabezpieczeniami przed zagrożeniami typu Ransomware

Przechowywanie kopii na tym samym dysku komputera pełniącego rolę serwera, na którym znajduje się baza produkcyjna powoduje naturalnie utratę wszystkich danych w przypadku awarii tego dysku, nawet jeśli mamy dwa dyski fizyczne (na jednym baza danych, na drugim kopie) lub macierze RAID to kopie te mogą zostać utracone przez wirusy typu Ransomware.

Oczywiście w pełni sie z tym zgadzam. Dywersyfikacja lokalizacji, a nawet periodycznie nośnik odłączany i zabierany. Niestety czujność bywa słaba, często ludzie nie wyobrazają sobie do czego może dojść. Do tego w wielu firmach wydatek extra na ftp, czy na wdrożenie mądrego modelu bezpieczeństwa bywa traktowany jako zbędny wydatek. Stąd biorą się problemy. Największy problem jaki mamy to uświadomienie użytkowników, że to w ich interesie i nie chodzi nam tylko o wyrwanie paru groszy. Niestety życie takie jest. Miałem zlecenia z naprawdę dużych firm w których był dział informatyczny z własnym pionem bezpieczeństwa - wyobraźni jedynie zabrakło. Zajmuję się ratowaniem takich sytuacji często z pozytywnym skutkiem, wierzcie lub nie - zarabiam na tym sensownie ale nie jest to typ pracy który mnie cieszy. 

[Tomasz Ochniowski 16]

Polecam  Pana Piotra Zająca, uratował zaszyfrowaną bazę przez Ransomware Nigra, sprawnie, otrzymałem działający produkt.Dzięki temu pozostajemy po jasnej stronie mocy ( mniej ludzi zapłaci BC) !!!

 

[Piotr Zajac 4]

W środę zatakkował ransomware  typu NIGRA - na szczęście ten wirus szyfrujący bazy danych należy do jednych z łagodniejszych.  Z moich obserwacji wynika że systemy są zainfekowane przez dłuższy czas , a atak zmasowany następuje jednego dnia . Stąd trudno się chronić , często programy antywirusowe nie są w stanie się zorientować co się dziej . Ostatnio w środę w okolicy 21 Nigra zaatakowała wiele firm . 
Nic lepszego od kopii zapasowych nie wymyślono, najlepiej okresowo zgrywać na odłączone nośniki . Na szczęście NIGRA jest naprawialna praktycznie w 100 procentach 

[Urszula Dąbrowska 0]

Polecam Pana Piotra Zająca. Fachowiec w każdym calu. Odzyskał 80 podmiotów z Insert GT w ciągu doby. W dodatku w czasie weekendu. Potem kolejne 17 też w krótkim czasie. Skuteczność wyśmienita, cena uczciwa. Kontakt wzorowy. Jeśli potrzebne są poprawki - wykonywane są również ekspresowo. Pan Piotr uratował bazy danych w trudnym czasie, bo właśnie po ataku w dniu 17 kwietnia. Dzięki temu, JPK będzie wysłane w terminie, a zapowiadało się czarno... Dobra robota, Panie Piotrze.

[Piotr Zajac 4]

36 minut temu, Urszula Dąbrowska napisał:

Polecam Pana Piotra Zająca. Fachowiec w każdym calu. Odzyskał 80 podmiotów z Insert GT w ciągu doby. W dodatku w czasie weekendu. Potem kolejne 17 też w krótkim czasie. Skuteczność wyśmienita, cena uczciwa. Kontakt wzorowy. Jeśli potrzebne są poprawki - wykonywane są również ekspresowo. Pan Piotr uratował bazy danych w trudnym czasie, bo właśnie po ataku w dniu 17 kwietnia. Dzięki temu, JPK będzie wysłane w terminie, a zapowiadało się czarno... Dobra robota, Panie Piotrze.

Jak widać wirus NIGRA nie taki straszny - nie warto płacić okupów . 

[Jerzy Marszałek 4]

Czy ktoś z Państwa wie może, jak te wirusy rozpoznają rozszerzenia plików? Czy przez zwykłe odczytanie samego rozszerzenia, czy przez analizę nagłówka pliku. Bo jeśli to pierwsze, to miałoby sens dodatkowe zabezpieczenie archiwów przez zmianę rozszerzenia na jakieś nietypowe.

[Piotr Zajac 4]

Z zasady przez rozszerzenia - raczej nagłówków nie analizują. Przynajmniej te które analizowałem w swoim środowisku laboratoryjnym. Efekt był taki że nie ruszało plików które miały rozszerzenia plików systemowych - zasada jest taka aby dokonać uszkodzeń ale żeby sam system nadal wstawał. Inna sprawa że niektóre są sfocusowane na bazy danych , albo na wielkość plików i tu zmiana rozszerzenia nie pomoże - te wirusy szyfrują wszystko powyżej danej wielkości i to w całości. Owszem to co Jerzy Marszałek pisze ma pewien sens - można pokusić się w pojedyńczych firmach na zmianę rozszerzenia z mdf nawet. Myślę że jeśli miejsce archiwum jeszcze zmienisz na folder typowo systemowy - w niektórych przypadkach może zadziałać