Перейти к содержанию

Шифровальщик

BritishSteel
 Share Подписчики 2

Рекомендуемые сообщения

BritishSteel

BritishSteel 0

Опубликовано
Опубликовано

Добрый вечер. Поймал наш серверок шифровальщика, судя по всему - через rdp. Заблокированы жесткие диски битлокером, требует пароль для разблокировки) На оставшемся незакрытом разделе (причем системном) зашифрованных файлов нет. Но по всем директориям разбросал txt-шки FILES-ENCRYPTED (прикрепил в архиве, пароль virus). База 1С SQL бэкапилась на NAS, как бы проблему обойти можно банальной установкой других винтов, переустановить сервер, установить sql заново и разархивировать последний бэкап, но есть тонкости, которые подвластны нашему 1С-нику, а он исчез с поля зрения и не выходит на связь.

Addition.txt FRST.txt FILES_ENCRYPTED.rar

Ссылка на сообщение
Поделиться на другие сайты
Sandor

Sandor 1 253

Опубликовано
Опубликовано

Здравствуйте!

 

Похоже на Salted2020. Если так, то расшифровки нет.

Пришлите для уточнения 2-3 зашифрованных небольших файла в архиве.

Ссылка на сообщение
Поделиться на другие сайты
BritishSteel

BritishSteel 0

Опубликовано
  • Автор
Опубликовано
17 минут назад, Sandor сказал:

Здравствуйте!

 

Похоже на Salted2020. Если так, то расшифровки нет.

Пришлите для уточнения 2-3 зашифрованных небольших файла в архиве.

Доброго утра, у меня заблокированы локальные разделы, кроме диска С. На нём зашифрованных файлов нет. Я не знаю, как так вышло, но вирус заблокировал разделы, где лежали рабочие копии sql базы 1С и её бэкапы, включая теневое копирование системного раздела. На счастье делался ежедневный бэкап 1С на внешний NAS. От него плясать и придётся.

 

20230704_102150.jpg

IMG_20230704_103228_904.jpg

Ссылка на сообщение
Поделиться на другие сайты
BritishSteel

BritishSteel 0

Опубликовано
  • Автор
Опубликовано
26 минут назад, Sandor сказал:

На диске С тоже есть такие:

 

Оу, слона то не приметил. Момент. Сейчас исправлю.

Добавил, пароль salt

 

encrypted.rar

Ссылка на сообщение
Поделиться на другие сайты
Sandor

Sandor 1 253

Опубликовано
Опубликовано

Да, это Salted. Увы, расшифровки нет.

С дисками, закрытыми битлокером, тоже помочь ничем не можем.

 

По логам видно четыре учетные записи с правами администратора. Меняйте пароли.

 

Пересмотрите разрешения на эти порты:

Цитата

FirewallRules: [{CCC7C1F5-7AE3-47C6-9C8E-F21E7FA2EA29}] => (Allow) LPort=3306
FirewallRules: [{F0206514-5FD5-46F1-85FD-7CA627050831}] => (Allow) LPort=33060
FirewallRules: [{BDEDC8C6-5E9F-402E-A51B-365DF51E317B}] => (Allow) LPort=1433
FirewallRules: [{B08B1981-9D6F-4E64-BDC2-CB26503D5552}] => (Allow) LPort=31104
FirewallRules: [{A0E55984-DEC6-4E1C-B929-FD5575B06FA5}] => (Allow) LPort=31105
FirewallRules: [{33763218-D9C1-4353-B582-CCEBAA3AFAB5}] => (Allow) LPort=31106
FirewallRules: [{8956B8A6-93D2-49F8-B034-83FD727356D3}] => (Allow) LPort=31107
FirewallRules: [{F2329BAB-D4F0-4EB9-B80C-E55DCF0C3367}] => (Allow) LPort=31108
FirewallRules: [{5A36705C-D33A-4F79-8100-42097BF78F8A}] => (Allow) LPort=31109
FirewallRules: [{A0609C49-FCAA-47A8-9446-DF145EE225F8}] => (Allow) LPort=31110
FirewallRules: [{5155F296-B0CC-468C-8A0B-35D75C48DD59}] => (Allow) LPort=31111
FirewallRules: [{CC7CB6D4-58CF-4685-BFC1-770370A299EA}] => (Allow) LPort=31112
FirewallRules: [{1C038CB2-57DB-4B34-B801-E20F3DA8E9FD}] => (Allow) LPort=31113
FirewallRules: [{EBEB4663-2B40-4055-B641-C290D9809714}] => (Allow) LPort=6200
FirewallRules: [{9D7FC0BF-78F2-4F0F-9763-2A38C3F5A66D}] => (Allow) LPort=10061
FirewallRules: [{B3FF4450-0B37-4FEA-8AD5-9A728023E20A}] => (Allow) LPort=1580
FirewallRules: [{8909905D-4F05-48C9-A02E-8B470A323FCB}] => (Allow) LPort=1434


 

Ссылка на сообщение
Поделиться на другие сайты

Присоединяйтесь к обсуждению

Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.

Гость
Ответить в этой теме...

×   Вставлено с форматированием.   Вставить как обычный текст

  Разрешено использовать не более 75 эмодзи.

×   Ваша ссылка была автоматически встроена.   Отображать как обычную ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставлять изображения напрямую. Загружайте или вставляйте изображения по ссылке.

×
 Share
Подписчики 2
Перейти к списку тем

  • Похожий контент

    • aryanatha
      Заразились шифровальщиком
      От aryanatha
      Здравствуйте
      Сервер под управлением Windows Server 2012 R2
      Заходили на него используя RDP
      2 диска зашифровались BitLockerом
      Системный диск Битлокером не зашифровали, но часть файлов на нем были зашифрованы
      В идеале нужно полностью восстановить систему, но в принципе, самый важный файл на всем компьютере один - это база данных 1С.
      Она лежит на незашифрованном диске, и зашифрована отдельно. Размер порядка 10 гб
      в приложении логи анализа и да зашифрованный файла Эксель.
      файл с вирусом не нашли. требований денег не нашли
      возможно заразились после того как дней 5 назад дестоп был с помощью Хамачи подключен в одну локалку с ноутом внука, на котором куча скачанных с тореннnов поломанных игрушек. после этого на декстопе запускался drWebCureIt 
      и после этого с дестопа по RDP ходил на сервер
      прошу помощи
    • vldmrmail
      Шифровальщик испортил файлы
      От vldmrmail
      Здравствуйте.
       
      В систему проник шифровальщик и испортил файлы документов. Систему сразу отключил - она неработоспособна стала. Жесткий диск с данными подключил к другому компьютеру и с него вытащил зашифрованные файлы и файл с требованием выкупа от мошенников. Прошу помочь с дешифровкой файлов.
      flash.zip
    • V.Liderov
      Шифровальщик FuxSocy
      От V.Liderov
      Здравствуйте! 04.04.2024 Обнаружили что зашифрованы файлы на компьютере. Просьба помочь расшифровать файлы. Логов нет, т.к. операционная система переустановлена
      файл шифровальщика.rar
    • tized-NSK
      Зашифровано .rty, помогите расшифровать
      От tized-NSK
      Здравствуйте, у меня точно такаяже проблема с шифрованием файлов формат rty не подскажете как их расшифровать?  ShadeDecryptor не помог ,Kaspersky XoristDecryptor тоже не помог
       
      Сообщение от модератора Mark D. Pearlstone Перемещено из темы.
    • Александр Нефёдов
      Зашифрованы компьютеры в локальной сети. вымогатель DCHELP.ORG
      От Александр Нефёдов
      Добрый день.
      Столкнулся с проблемой блокировки загрузки ОС Windows Server 2016, и других.
      За ночь заблочило десять машин, которые не выключались.
      Пример блокировки на скрине.
      Диски не читаются, типа raw формат, поэтому как таковых зашифрованных файлов нет, вероятно зашифрован весь диск.
      вариант из статьи(https://id-ransomware.blogspot.com/2023/04/dchelp-ransomware.html) с AOMEI не помог.
       
      За любые идеи которые помогу восстановить информацию буду благодарен .

×
×
  • Создать...