Перейти к содержанию

Рекомендуемые сообщения

Добрый вечер. Поймал наш серверок шифровальщика, судя по всему - через rdp. Заблокированы жесткие диски битлокером, требует пароль для разблокировки) На оставшемся незакрытом разделе (причем системном) зашифрованных файлов нет. Но по всем директориям разбросал txt-шки FILES-ENCRYPTED (прикрепил в архиве, пароль virus). База 1С SQL бэкапилась на NAS, как бы проблему обойти можно банальной установкой других винтов, переустановить сервер, установить sql заново и разархивировать последний бэкап, но есть тонкости, которые подвластны нашему 1С-нику, а он исчез с поля зрения и не выходит на связь.

Addition.txt FRST.txt FILES_ENCRYPTED.rar

Ссылка на сообщение
Поделиться на другие сайты

Здравствуйте!

 

Похоже на Salted2020. Если так, то расшифровки нет.

Пришлите для уточнения 2-3 зашифрованных небольших файла в архиве.

Ссылка на сообщение
Поделиться на другие сайты
17 минут назад, Sandor сказал:

Здравствуйте!

 

Похоже на Salted2020. Если так, то расшифровки нет.

Пришлите для уточнения 2-3 зашифрованных небольших файла в архиве.

Доброго утра, у меня заблокированы локальные разделы, кроме диска С. На нём зашифрованных файлов нет. Я не знаю, как так вышло, но вирус заблокировал разделы, где лежали рабочие копии sql базы 1С и её бэкапы, включая теневое копирование системного раздела. На счастье делался ежедневный бэкап 1С на внешний NAS. От него плясать и придётся.

 

20230704_102150.jpg

IMG_20230704_103228_904.jpg

Ссылка на сообщение
Поделиться на другие сайты
26 минут назад, Sandor сказал:

На диске С тоже есть такие:

 

Оу, слона то не приметил. Момент. Сейчас исправлю.

Добавил, пароль salt

 

encrypted.rar

Ссылка на сообщение
Поделиться на другие сайты

Да, это Salted. Увы, расшифровки нет.

С дисками, закрытыми битлокером, тоже помочь ничем не можем.

 

По логам видно четыре учетные записи с правами администратора. Меняйте пароли.

 

Пересмотрите разрешения на эти порты:

Цитата

FirewallRules: [{CCC7C1F5-7AE3-47C6-9C8E-F21E7FA2EA29}] => (Allow) LPort=3306
FirewallRules: [{F0206514-5FD5-46F1-85FD-7CA627050831}] => (Allow) LPort=33060
FirewallRules: [{BDEDC8C6-5E9F-402E-A51B-365DF51E317B}] => (Allow) LPort=1433
FirewallRules: [{B08B1981-9D6F-4E64-BDC2-CB26503D5552}] => (Allow) LPort=31104
FirewallRules: [{A0E55984-DEC6-4E1C-B929-FD5575B06FA5}] => (Allow) LPort=31105
FirewallRules: [{33763218-D9C1-4353-B582-CCEBAA3AFAB5}] => (Allow) LPort=31106
FirewallRules: [{8956B8A6-93D2-49F8-B034-83FD727356D3}] => (Allow) LPort=31107
FirewallRules: [{F2329BAB-D4F0-4EB9-B80C-E55DCF0C3367}] => (Allow) LPort=31108
FirewallRules: [{5A36705C-D33A-4F79-8100-42097BF78F8A}] => (Allow) LPort=31109
FirewallRules: [{A0609C49-FCAA-47A8-9446-DF145EE225F8}] => (Allow) LPort=31110
FirewallRules: [{5155F296-B0CC-468C-8A0B-35D75C48DD59}] => (Allow) LPort=31111
FirewallRules: [{CC7CB6D4-58CF-4685-BFC1-770370A299EA}] => (Allow) LPort=31112
FirewallRules: [{1C038CB2-57DB-4B34-B801-E20F3DA8E9FD}] => (Allow) LPort=31113
FirewallRules: [{EBEB4663-2B40-4055-B641-C290D9809714}] => (Allow) LPort=6200
FirewallRules: [{9D7FC0BF-78F2-4F0F-9763-2A38C3F5A66D}] => (Allow) LPort=10061
FirewallRules: [{B3FF4450-0B37-4FEA-8AD5-9A728023E20A}] => (Allow) LPort=1580
FirewallRules: [{8909905D-4F05-48C9-A02E-8B470A323FCB}] => (Allow) LPort=1434


 

Ссылка на сообщение
Поделиться на другие сайты

Присоединяйтесь к обсуждению

Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.

Гость
Ответить в этой теме...

×   Вставлено с форматированием.   Вставить как обычный текст

  Разрешено использовать не более 75 эмодзи.

×   Ваша ссылка была автоматически встроена.   Отображать как обычную ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставлять изображения напрямую. Загружайте или вставляйте изображения по ссылке.

  • Похожий контент

    • AlexDreyk
      От AlexDreyk
      Добрый день! Просьба помочь с расшифровкой
      Addition.txt FRST.txt Зашифрованные файлы.zip
    • lowuser
      От lowuser
      Поймали щифровальщик файлы имеют расширение le0.
      FILES_ENCRYPTED.txt
      All your data has been locked us
      You want to return?
      Write email adk0@keemail.me

      Есть оригинальный файл и зашифрованный. 

      Архив с файлами
    • dsever
      От dsever
      Сегодня после выходных обнаружили проблему. Два сервера - все данные зашифрованы.  основная проблема с 1С файлы зашифрованы + бэкапы тоже. DrWEB пишет, что вирус попал по RDP, "Файл шифровальщика находится по пути
      C:\users\администратор.win-8anssg9mkch\appdata\local\7af1be1c-1606-8166-99e6-80b4a9786b07\BABKAALYOEBALO.exe". Так же вирус зашифровал все расшаренные файлы на других серверах, но до баз SQL не добрался.
       
      BABKAALYOEBALO_DECRYPTION.txt
    • vyz-project
      От vyz-project
      На рабочем компьютере 19.11.23 начиная примерно в 22:30 (судя по дате изменения) были зашифрованы все файлы. Теперь они все с расширением .id[705C9723-3351].[blankqq@tuta.io].elpy
      На данный момент зараженный компьютер изолирован. Но он был в локальной сети до этого момента.
      Логи и файлы приложил.
      pdf_files.7z Addition.txt FRST.txt
    • oocool
      От oocool
      Недавно словил Шифровальщик Phobos. Все файлы зашифрованы с расширением .elbie
      Была резервная копия данных, поэтому диск форматнули и восстановились.
      Знаю, что дешифровать его пока нельзя, но есть множество файлов - зашифрованных и их оригинал. Можно ли при их сопоставлении выявить закономерность (алгоритм или пароль)?
×
×
  • Создать...