Перейти к содержанию

Восстановление сервера после шифрования Zeppelin


Рекомендуемые сообщения

Добрый день.

 

Один из серверов с Windows Server 2012 R2 , серверами приложений и базами данных  был ранее зашифрован Zeppelin.

При обнаружении, сервер был отключен от ЛВС и питания. Также заражен был внешний диск с полным бэкапом сервера.

Бэкап был проверен на вирус и программой дешифратором Rakhni decryptor.  Расшифровка удалась полностью.

 

Сейчас появилось время восстановить сервер. При включении - ОС грузится. При проверке  свежей утилитой KVRT был обнаружен файл Zeppelin.exe, пока он не уничтожался.

Задача:     восстановить сервер, желательно без переустановки.

Связано со сложностью установки и настройки,  использованием зарубежного серверного ПО и необходимостью при переустановке его повторного онлайн лицензирования в "недружественном" государстве.

 

Какие будут  рекомендации?

 

Логи  Farbar Recovery Scan Tool прилагаются

 

 

FRST.7z

Ссылка на комментарий
Поделиться на другие сайты

P.S. Про удачную расшифровку-  пробовался только бэкап. Разворачивались отдельные файлы данных на внешний диск. Причём были зашифрованы часть данных перед бэкапом, забэкаплены. потом ещё раз шифровались файлы собственно бэкапа.

Ссылка на комментарий
Поделиться на другие сайты

судя по записям из FRST шифрование было давнее, от 2022:

2022-10-23 07:48 - 2022-10-23 07:48 - 000001156 _____ () C:\Users\gm****\AppData\Roaming\!!! ALL YOUR FILES ARE ENCRYPTED !!!.TXT
2022-10-23 07:36 - 2022-10-23 07:49 - 000001156 _____ () C:\Users\gm****\AppData\Local\!!! ALL YOUR FILES ARE ENCRYPTED !!!.TXT

 

Quote

Бэкап был проверен на вирус и программой дешифратором Rakhni decryptor.  Расшифровка удалась полностью.

добавьте пожалуйста, логи работы Rakhni decryptor.

 

Quote

При проверке  свежей утилитой KVRT был обнаружен файл Zeppelin.exe, пока он не уничтожался.

В логах FRST он не виден, т.е. не в автозапуске. Добавьте файл в архив с паролем virus, загрузите на облачный диск и дайте ссылку на скачивание в ЛС. Потом файл можно удалить.

Изменено пользователем safety
Ссылка на комментарий
Поделиться на другие сайты

56 минут назад, safety сказал:

Потом файл можно удалить.

Добрый день,

Спасибо за ответ. 

 

Удалить означает "вылечен"?

Логов от дешифрации бэкапа не сохранилось, делалось сразу после заражения. Они сильно нужны? Сам оригинал бэкапа пока живой , если только повторно дешифровать, но пока некуда.

 

Какие-то рекомендации по восстановлению сервера (дешифрация, очистка от следов вируса и т.п.) стоит ожидать?

Изменено пользователем Oleg2024
Ссылка на комментарий
Поделиться на другие сайты

3 minutes ago, Oleg2024 said:

Логов от дешифрации бэкапа не сохранилось, делалось сразу после заражения. Они сильно нужны? Сам оригинал бэкапа пока живой , если только повторно дешифровать, но пока некуда.

а другие файлы кроме бэкапа не расшифрованы? логи безусловно нужны для подтверждения расшифровки по Zeppelin.

 

Quote

Какие-то рекомендации по восстановлению сервера (дешифрация, очистка от следов вируса и т.п.) стоит ожидать?

судя по предоставленным логам FRST особых следов нет, кроме записок о выкупе. Можно вручную через поиск найти эти файлы и удалить.

Ссылка на комментарий
Поделиться на другие сайты

4 минуты назад, safety сказал:

а другие файлы кроме бэкапа не расшифрованы?

Нет, сервер не трогали, был ещё 1 нетронутый, не было времени и боялся попортить , расшифровали из ежедневного бэкапа  БД SQL Server и  др файловые данные и перенесли в другое место, все они восстановились нормально.

Изменено пользователем Oleg2024
Ссылка на комментарий
Поделиться на другие сайты

26 minutes ago, Oleg2024 said:

Нет, сервер не трогали,

У Rakhni decryptor есть возможность запустить расшифровку только определенного каталога. Вы можете создать тестовую папку, записать в нее несколько зашифрованных файлов и запустить расшифровку только данной папки. Для проверки. полученный лог расшифровки сможете скопировать и предоставить в вашем сообщении.

Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
  • Похожий контент

    • lex-xel
      От lex-xel
      Добрый день!
      Аналогичная ситуация  сервер подвергся взлому, база данных заархивирована с шифрованием.
      Антивирус снесли, хоть он был под паролем.
      Подскажите есть способ как то исправить ситуацию, расшифровать базу данных?
       
      Do you really want to restore your files?
      Write to email: a38261062@gmail.com
       
      Сообщение от модератора Mark D. Pearlstone перемещено из темы.
         
    • LeraB
      От LeraB
      Приветствую.
      Поймали шифровальщика, который работает до сих.
      Ничего не переустанавливали и не трогали, проверяем только доступность компьютеров, их работу и ищем, где он еще может работать. Если понятно, что шифровальщик еще где-то работает, то отключаем этот сервер/компьютер.
      Все, что можно спасти, копируем.
      Пострадала почти вся сеть, не только лок.пк и сервера, но и NAS (именно smb)
      Шифровальщик затронул большинство нужных файлов, но не все.
      Логи собрали с одного сервера, примеры файлов с него же.
      Файл шифровальщика пока найти не удалось, как и выяснить все остальное, кроме того, как оно работает с ночи примерно с 00:00 12.12.2024
      FRST.txt Addition.txt архив.zip
    • Dan4es
      От Dan4es
      Добрый день.
       
      Столкнулся с проблемой: пролез шифровальщик и зашифровал критичные данные для работы KSC (бд + бекап). Переустановил ОС, переустановил KSC, бд вынес на выделенный сервер. Адрес и dns имя сервера оставил прежним. Все устройства обнаружились, но все в статусе неизвестно. При выполнении задачи установка KES+Network Agent, задача останавливается на 50%. Как пере подключить все устройства обратно к этому серверу?

    • SDDdo
      От SDDdo
      Здравствуйте! Есть внешний HDD диск. Во время загрузки файлов на этот диск произошло непреднамеренное отключение диска из USB разъема. При повторном подключении диска, система не видит диск в проводнике, в диспетчере устройств диск отображается, но с другим именем. В управлении дисками при попытке инициализировать диск выдает ошибку CRC. Возможно ли решить данную проблему своими силами?


    • website9527633
      От website9527633
      Добрый день! Возник вопрос при обращении агентов удаленно посредством запуска скрипта на рабочих станциях, вопрос: как в Агенте администрирования 15 на рабочих станциях, в скрипте указать пароль от удаления Агента администрирования?
      К примеру у меня скрипт отрабатывал таким образом, но в случае версии Агента администрирования 15, он запрашивает дополнительно пароль от удаления
      @echo off
      start "" "C:\Program Files (x86)\Kaspersky Lab\NetworkAgent\klmover.exe" -address 192.168.1.1 -silent
×
×
  • Создать...