salted2020 Шифровальщик

[BritishSteel]

Добрый вечер. Поймал наш серверок шифровальщика, судя по всему - через rdp. Заблокированы жесткие диски битлокером, требует пароль для разблокировки) На оставшемся незакрытом разделе (причем системном) зашифрованных файлов нет. Но по всем директориям разбросал txt-шки FILES-ENCRYPTED (прикрепил в архиве, пароль virus). База 1С SQL бэкапилась на NAS, как бы проблему обойти можно банальной установкой других винтов, переустановить сервер, установить sql заново и разархивировать последний бэкап, но есть тонкости, которые подвластны нашему 1С-нику, а он исчез с поля зрения и не выходит на связь.

Addition.txt FRST.txt FILES_ENCRYPTED.rar

[Sandor]

Здравствуйте!

 

Похоже на Salted2020. Если так, то расшифровки нет.

Пришлите для уточнения 2-3 зашифрованных небольших файла в архиве.

[BritishSteel]

17 минут назад, Sandor сказал:

Здравствуйте!

 

Похоже на Salted2020. Если так, то расшифровки нет.

Пришлите для уточнения 2-3 зашифрованных небольших файла в архиве.

Доброго утра, у меня заблокированы локальные разделы, кроме диска С. На нём зашифрованных файлов нет. Я не знаю, как так вышло, но вирус заблокировал разделы, где лежали рабочие копии sql базы 1С и её бэкапы, включая теневое копирование системного раздела. На счастье делался ежедневный бэкап 1С на внешний NAS. От него плясать и придётся.

 

[Sandor]

На диске С тоже есть такие:

Цитата

C:\Users\Nikolay\Downloads\Trade_11_4_07_150_updsetup83.zip.le0

 

[BritishSteel]

26 минут назад, Sandor сказал:

На диске С тоже есть такие:

 

Оу, слона то не приметил. Момент. Сейчас исправлю.

Добавил, пароль salt

 

encrypted.rar

[Sandor]

Да, это Salted. Увы, расшифровки нет.

С дисками, закрытыми битлокером, тоже помочь ничем не можем.

 

По логам видно четыре учетные записи с правами администратора. Меняйте пароли.

 

Пересмотрите разрешения на эти порты:

Цитата

FirewallRules: [{CCC7C1F5-7AE3-47C6-9C8E-F21E7FA2EA29}] => (Allow) LPort=3306
FirewallRules: [{F0206514-5FD5-46F1-85FD-7CA627050831}] => (Allow) LPort=33060
FirewallRules: [{BDEDC8C6-5E9F-402E-A51B-365DF51E317B}] => (Allow) LPort=1433
FirewallRules: [{B08B1981-9D6F-4E64-BDC2-CB26503D5552}] => (Allow) LPort=31104
FirewallRules: [{A0E55984-DEC6-4E1C-B929-FD5575B06FA5}] => (Allow) LPort=31105
FirewallRules: [{33763218-D9C1-4353-B582-CCEBAA3AFAB5}] => (Allow) LPort=31106
FirewallRules: [{8956B8A6-93D2-49F8-B034-83FD727356D3}] => (Allow) LPort=31107
FirewallRules: [{F2329BAB-D4F0-4EB9-B80C-E55DCF0C3367}] => (Allow) LPort=31108
FirewallRules: [{5A36705C-D33A-4F79-8100-42097BF78F8A}] => (Allow) LPort=31109
FirewallRules: [{A0609C49-FCAA-47A8-9446-DF145EE225F8}] => (Allow) LPort=31110
FirewallRules: [{5155F296-B0CC-468C-8A0B-35D75C48DD59}] => (Allow) LPort=31111
FirewallRules: [{CC7CB6D4-58CF-4685-BFC1-770370A299EA}] => (Allow) LPort=31112
FirewallRules: [{1C038CB2-57DB-4B34-B801-E20F3DA8E9FD}] => (Allow) LPort=31113
FirewallRules: [{EBEB4663-2B40-4055-B641-C290D9809714}] => (Allow) LPort=6200
FirewallRules: [{9D7FC0BF-78F2-4F0F-9763-2A38C3F5A66D}] => (Allow) LPort=10061
FirewallRules: [{B3FF4450-0B37-4FEA-8AD5-9A728023E20A}] => (Allow) LPort=1580
FirewallRules: [{8909905D-4F05-48C9-A02E-8B470A323FCB}] => (Allow) LPort=1434

 

[BritishSteel]

33 минуты назад, Sandor сказал:

Да, это Salted. Увы, расшифровки нет.

Спасибо за ответ и совет. Буду с нуля начинать.