khm_tech 0 Опубликовано 20 ноября, 2017 Share Опубликовано 20 ноября, 2017 Добрый день. Помогите пожалуйста, сегодня столкнулись с невиданными действиями. Вирус зашифровал все картинки до которых смог добраться, MSSQL(базы, бэкапы), все ярлыки, все .exe файлы, базы 1С, стёр все теневые копии и что интересно, включил пользователя Гость, который еще утром был выключен и из под него всё было зашифровано, если не ошибаюсь(зашифрованные файлы помечены, что владелец "Гость"). во вложении лог так же, во вложении пример зашифрованного файла Буду благодарен помощи! CollectionLog-2017.11.20-23.59.zip 0001.jpg.id-0DFF0125.Parzexla@india.com.arena.zip Цитата Ссылка на сообщение Поделиться на другие сайты
thyrex 1 468 Опубликовано 20 ноября, 2017 Share Опубликовано 20 ноября, 2017 Увы, расшифровки не будет, только зачистка возможных следов вирусов. Пароль от RDP смените. Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе. Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением. 2. Убедитесь, что в окне Optional Scan отмечены List BCD, Driver MD5 и 90 Days Files. 3. Нажмите кнопку Scan. 4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. 5. Если программа была запущена в первый раз, также будет создан отчет (Addition.txt). 6. Отчеты, полученные в пп. 4 и 5, заархивируйте (в один архив) и прикрепите к сообщению. Цитата Ссылка на сообщение Поделиться на другие сайты
khm_tech 0 Опубликовано 20 ноября, 2017 Автор Share Опубликовано 20 ноября, 2017 Пароли, порты сменил сразу же, но кому нужен уже зараженный и зашифрованный сервер. Жаль что не достать файлы, в любом случае спасибо. А что это за шифровальщик был? Думаю конечно не стоит особо надеяться, но есть же базы и их пополняют, может повезет. Файлы во вложении FRSTLog.zip Цитата Ссылка на сообщение Поделиться на другие сайты
khm_tech 0 Опубликовано 21 ноября, 2017 Автор Share Опубликовано 21 ноября, 2017 UPD: я думаю восстановление работоспособности невозможно, т.к. все приложения(.exe файлы) были зашифрованы, поэтому бессмысленно чистить вирусы, проще переустановить всё. Однако мне интересно, откуда и как он попал, можно как-то выяснить от какого профиля был запущен шифровальщик, что поспособствовало? Цитата Ссылка на сообщение Поделиться на другие сайты
thyrex 1 468 Опубликовано 21 ноября, 2017 Share Опубликовано 21 ноября, 2017 Не вижу в архиве лога FRST.txt Цитата Ссылка на сообщение Поделиться на другие сайты
Рекомендуемые сообщения
Присоединяйтесь к обсуждению
Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.