Перейти к содержанию

Шифровальщик

BritishSteel
 Share Подписчики 2

Рекомендуемые сообщения

BritishSteel

BritishSteel 0

Опубликовано
Опубликовано

Добрый вечер. Поймал наш серверок шифровальщика, судя по всему - через rdp. Заблокированы жесткие диски битлокером, требует пароль для разблокировки) На оставшемся незакрытом разделе (причем системном) зашифрованных файлов нет. Но по всем директориям разбросал txt-шки FILES-ENCRYPTED (прикрепил в архиве, пароль virus). База 1С SQL бэкапилась на NAS, как бы проблему обойти можно банальной установкой других винтов, переустановить сервер, установить sql заново и разархивировать последний бэкап, но есть тонкости, которые подвластны нашему 1С-нику, а он исчез с поля зрения и не выходит на связь.

Addition.txt FRST.txt FILES_ENCRYPTED.rar

Ссылка на сообщение
Поделиться на другие сайты
Sandor

Sandor 1 282

Опубликовано
Опубликовано

Здравствуйте!

 

Похоже на Salted2020. Если так, то расшифровки нет.

Пришлите для уточнения 2-3 зашифрованных небольших файла в архиве.

Ссылка на сообщение
Поделиться на другие сайты
BritishSteel

BritishSteel 0

Опубликовано
  • Автор
Опубликовано
17 минут назад, Sandor сказал:

Здравствуйте!

 

Похоже на Salted2020. Если так, то расшифровки нет.

Пришлите для уточнения 2-3 зашифрованных небольших файла в архиве.

Доброго утра, у меня заблокированы локальные разделы, кроме диска С. На нём зашифрованных файлов нет. Я не знаю, как так вышло, но вирус заблокировал разделы, где лежали рабочие копии sql базы 1С и её бэкапы, включая теневое копирование системного раздела. На счастье делался ежедневный бэкап 1С на внешний NAS. От него плясать и придётся.

 

20230704_102150.jpg

IMG_20230704_103228_904.jpg

Ссылка на сообщение
Поделиться на другие сайты
BritishSteel

BritishSteel 0

Опубликовано
  • Автор
Опубликовано
26 минут назад, Sandor сказал:

На диске С тоже есть такие:

 

Оу, слона то не приметил. Момент. Сейчас исправлю.

Добавил, пароль salt

 

encrypted.rar

Ссылка на сообщение
Поделиться на другие сайты
Sandor

Sandor 1 282

Опубликовано
Опубликовано

Да, это Salted. Увы, расшифровки нет.

С дисками, закрытыми битлокером, тоже помочь ничем не можем.

 

По логам видно четыре учетные записи с правами администратора. Меняйте пароли.

 

Пересмотрите разрешения на эти порты:

Цитата

FirewallRules: [{CCC7C1F5-7AE3-47C6-9C8E-F21E7FA2EA29}] => (Allow) LPort=3306
FirewallRules: [{F0206514-5FD5-46F1-85FD-7CA627050831}] => (Allow) LPort=33060
FirewallRules: [{BDEDC8C6-5E9F-402E-A51B-365DF51E317B}] => (Allow) LPort=1433
FirewallRules: [{B08B1981-9D6F-4E64-BDC2-CB26503D5552}] => (Allow) LPort=31104
FirewallRules: [{A0E55984-DEC6-4E1C-B929-FD5575B06FA5}] => (Allow) LPort=31105
FirewallRules: [{33763218-D9C1-4353-B582-CCEBAA3AFAB5}] => (Allow) LPort=31106
FirewallRules: [{8956B8A6-93D2-49F8-B034-83FD727356D3}] => (Allow) LPort=31107
FirewallRules: [{F2329BAB-D4F0-4EB9-B80C-E55DCF0C3367}] => (Allow) LPort=31108
FirewallRules: [{5A36705C-D33A-4F79-8100-42097BF78F8A}] => (Allow) LPort=31109
FirewallRules: [{A0609C49-FCAA-47A8-9446-DF145EE225F8}] => (Allow) LPort=31110
FirewallRules: [{5155F296-B0CC-468C-8A0B-35D75C48DD59}] => (Allow) LPort=31111
FirewallRules: [{CC7CB6D4-58CF-4685-BFC1-770370A299EA}] => (Allow) LPort=31112
FirewallRules: [{1C038CB2-57DB-4B34-B801-E20F3DA8E9FD}] => (Allow) LPort=31113
FirewallRules: [{EBEB4663-2B40-4055-B641-C290D9809714}] => (Allow) LPort=6200
FirewallRules: [{9D7FC0BF-78F2-4F0F-9763-2A38C3F5A66D}] => (Allow) LPort=10061
FirewallRules: [{B3FF4450-0B37-4FEA-8AD5-9A728023E20A}] => (Allow) LPort=1580
FirewallRules: [{8909905D-4F05-48C9-A02E-8B470A323FCB}] => (Allow) LPort=1434


 

Ссылка на сообщение
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Share
Подписчики 2
Перейти к списку тем

  • Похожий контент

    • iLuminate
      Подозрение на взлом сервера
      От iLuminate
      Есть подозрение на взлом, так как при переходе C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Administrative Tools\Администрирование - Ярлык появляется ярлык которые указан на скриншоте.

      FRST.txt Addition.txt
    • JhonD
      шифровальщик Jami_decryptionguy
      От JhonD
      Добрый день, посмотрите, есть ли надежда на восстановление файлов. 
      Addition.txt CONTACT_US.txt FRST.txt АКТ на списание ГСМ.DOCX
    • qwedrew
      шифровальщик azot
      От qwedrew
      всем добрый день. утром обнаружили сию бяку. read.zipпо словам it " мастера " был установлен еще и какой-то удаленный доступ левый а-ля vnc. 
      прикладываю логи, архив с зашифрованными файлами и найденный запароленый архив с расшифровщиком.
       
      Addition.txt FRST.txt 7730-decrypter.rar
    • Salavat
      Шифровальщик secles
      От Salavat
      Файловый сервер. Произошло всё 12.07.2024 примерно от 00:30 до 03:50. 
      Шифрованию подверглись почти все файлы, за исключением *.exe, log, xml, dll, bat и т.д.
      Addition.txt FRST.txt files.zip
    • kushnarenkoa
      Зашифровали файлы в le0 и файлы с базами данных на Postgre SQL положили в архив с паролем
      От kushnarenkoa
      Добрый день! Зашифровали файлы в формат le0 и файлы с базами данных на Postgre SQL положили в архив с паролем. Как можно восстановить данные? И что нужно скинуть для понимания?
×
×
  • Создать...