Восстановление сервера после шифрования Zeppelin

[Oleg2024 0]

Добрый день.

 

Один из серверов с Windows Server 2012 R2 , серверами приложений и базами данных  был ранее зашифрован Zeppelin.

При обнаружении, сервер был отключен от ЛВС и питания. Также заражен был внешний диск с полным бэкапом сервера.

Бэкап был проверен на вирус и программой дешифратором Rakhni decryptor.  Расшифровка удалась полностью.

 

Сейчас появилось время восстановить сервер. При включении - ОС грузится. При проверке  свежей утилитой KVRT был обнаружен файл Zeppelin.exe, пока он не уничтожался.

Задача:     восстановить сервер, желательно без переустановки.

Связано со сложностью установки и настройки,  использованием зарубежного серверного ПО и необходимостью при переустановке его повторного онлайн лицензирования в "недружественном" государстве.

 

Какие будут  рекомендации?

 

Логи  Farbar Recovery Scan Tool прилагаются

 

 

FRST.7z

[Oleg2024 0]

P.S. Про удачную расшифровку-  пробовался только бэкап. Разворачивались отдельные файлы данных на внешний диск. Причём были зашифрованы часть данных перед бэкапом, забэкаплены. потом ещё раз шифровались файлы собственно бэкапа.

[safety 83]

судя по записям из FRST шифрование было давнее, от 2022:

2022-10-23 07:48 - 2022-10-23 07:48 - 000001156 _____ () C:\Users\gm****\AppData\Roaming\!!! ALL YOUR FILES ARE ENCRYPTED !!!.TXT
2022-10-23 07:36 - 2022-10-23 07:49 - 000001156 _____ () C:\Users\gm****\AppData\Local\!!! ALL YOUR FILES ARE ENCRYPTED !!!.TXT

 

Quote

Бэкап был проверен на вирус и программой дешифратором Rakhni decryptor.  Расшифровка удалась полностью.

добавьте пожалуйста, логи работы Rakhni decryptor.

 

Quote

При проверке  свежей утилитой KVRT был обнаружен файл Zeppelin.exe, пока он не уничтожался.

В логах FRST он не виден, т.е. не в автозапуске. Добавьте файл в архив с паролем virus, загрузите на облачный диск и дайте ссылку на скачивание в ЛС. Потом файл можно удалить.

Изменено 23 апреля пользователем safety

[Oleg2024 0]

56 минут назад, safety сказал:

Потом файл можно удалить.

Добрый день,

Спасибо за ответ. 

 

Удалить означает "вылечен"?

Логов от дешифрации бэкапа не сохранилось, делалось сразу после заражения. Они сильно нужны? Сам оригинал бэкапа пока живой , если только повторно дешифровать, но пока некуда.

 

Какие-то рекомендации по восстановлению сервера (дешифрация, очистка от следов вируса и т.п.) стоит ожидать?

Изменено 23 апреля пользователем Oleg2024

[safety 83]

3 minutes ago, Oleg2024 said:

Логов от дешифрации бэкапа не сохранилось, делалось сразу после заражения. Они сильно нужны? Сам оригинал бэкапа пока живой , если только повторно дешифровать, но пока некуда.

а другие файлы кроме бэкапа не расшифрованы? логи безусловно нужны для подтверждения расшифровки по Zeppelin.

 

Quote

Какие-то рекомендации по восстановлению сервера (дешифрация, очистка от следов вируса и т.п.) стоит ожидать?

судя по предоставленным логам FRST особых следов нет, кроме записок о выкупе. Можно вручную через поиск найти эти файлы и удалить.

[Oleg2024 0]

4 минуты назад, safety сказал:

а другие файлы кроме бэкапа не расшифрованы?

Нет, сервер не трогали, был ещё 1 нетронутый, не было времени и боялся попортить , расшифровали из ежедневного бэкапа  БД SQL Server и  др файловые данные и перенесли в другое место, все они восстановились нормально.

Изменено 23 апреля пользователем Oleg2024

[safety 83]

26 minutes ago, Oleg2024 said:

Нет, сервер не трогали,

У Rakhni decryptor есть возможность запустить расшифровку только определенного каталога. Вы можете создать тестовую папку, записать в нее несколько зашифрованных файлов и запустить расшифровку только данной папки. Для проверки. полученный лог расшифровки сможете скопировать и предоставить в вашем сообщении.