От
kda7889
Привет.
16.05.2024 под конец рабочего дня мне сотрудник прислал скрин, что у него в сеансе RemoteApp (RDP) вместе с 1С появилось черное окно.
Я подключился к нашему серверу RemoteApp[10-7], запустил taskmgr и обнаружил большое количество процессов от несуществующих пользователей DWM-**.
Скачал и запустил Kaspersky Virus Removal Tool на сервер [10-7], и сразу на сервер где лежат сами базы [10-2].
На сервере [10-2] ничего не обнаружено, на сервере [10-7] была обнаружена папка с файлами.
Я запаковал папку 1Peer2Profit в архив, могу скинуть если будет нужно. Вот отчет vt.
Удалил все угрозы с помощью KVRT, очистив зараженные объекты, убедился что никаких лишних процессов от лже-пользователей нет, и затем запустил более глубокое сканирование на обоих машинах и отключился, т.к. время ожидания явно превышало несколько часов.
Через некоторое время мне прилетело уведомление на телефон, что виртуальная машина домена WinServ2012 которая расположена на сервере [10-7] недоступна, подключиться к нему я так-же не смог.
Отправил его в перезагрузку, проверил сервер [10-2], все было в порядке.
Спустя некоторое время смог получить доступ к серверу [10-7], через запасного пользователя, все основные админские были отключены. Файлы были зашифрованы расширением .OPIX
Пропала связь с сервером [10-2], подключившись к нему, также обнаружили что все файлы зашифрованы.
Подготовил логи анализа системы при помощи Farbar Recovery Scan Tool, так-же в архивах по 2 зашифрованных файла с каждого сервера и файл с контактами вредителей.
Внутри положил зашифрованные файлы, так и файлы в оригинальном виде, надеюсь это поможет.
Купил Касперский Office Security, поставил. Ничего не обнаружено.
Жду Вашей помощи.
p.s.
был резервный изолированный бэкап, но мы его только начали делать, там 1/3 от того что нужно для деятельности. не повторяйте наших ошибок, это очень больно.
OPIX_client_data.zip
Рекомендуемые сообщения
Присоединяйтесь к обсуждению
Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.