salted2020 Очередной .ooo4ps по ходу через RCE/RDP
-
Похожий контент
-
Автор bagr
На удаленном рабочем сервере зашифровались данные и диски, зашифрованные файлы достать не удалось. После шифрования все файлы получили доп расширение .rdata а диски кроме основного на котором стоит ОС зашифрованы BitLocker
В корне каждого пользователя лежат файлы NTUSER.DAT и несколько похожих файлов скриншот прилагаю в архиве так как не удалось данные файлы заархивировать.
В каждом каталоге Readme.txt с сообщением злоумышленника
Просканил FRST. Логи вместе с файлом readme.txt прилагаю в архиве
FRST.rar
-
Автор mkozlenko
Добрый день!
У знакомых проникли на сервер 1С через подбор учетки по RDP.
Файлы (.doc, .xls, .pdf, .jpeg и т.д., а самое важное все базы 1С) зашифрованы. К названию и расширению файла добавлены "!_____GEKSOGEN911@GMAIL.COM____.c300".
Сделала проверку Dr.Web CureIT, Kaspersky Virus Removal Tools и Malwarebytes Anti-Malware. Нашлось 3 трояна, одно подозрение на вирус и еще что-то, в том числе файл, который скорее всего является либо шифратором, либо меткой для вредителей (принтскрин найденного Dr.Web во вложении).
Попробовала все существующие программы по раскодированию.
На этот момент знакомые успели списаться с теми. кто собственно проник (текст письма во вложении).
Аналогичный запрос уже есть на форуме.
Помогите. пожалуйста.
ps попробовала восстановить через qphotorec - восстановилась лишь часть pdf и очень малая часть doc и xls.
Все осложняется тем, что backup(ы) не делались, учетки не контролировались. Касперский стоял, но сейчас он "таинственно" исчез (ключ есть), и когда он "исчез", никто сказать не может (администратор в отпуске и недоступен).
CollectionLog-2016.11.17-13.16.zip
переписка.txt
Пример файла с вирусом.rar
-
Автор Вадим161
Добрый день! Злоумышленники попали на сервер, зашифровали часть файлов добавив .rdata.
Диски в RAW.
KES 12.11 версии вроде стоял, удален.
Сообщение оставили с таким содержанием:
To recover your data, contact us: rdata@onionmail.org
Use only Google mail to contact us!
The lowest price is valid only on the first day.
Что предпринять? Пробовал восстановить том с помощью AOMEI Partition Assistant Server - без успешно.
Во пример шифрованного файла и сообщение.
Downloads.zip
FRST.txt
-
Автор NikLev
Столкнулись с проблемой шифрования файлов на удаленном рабочем сервере. После шифрования все файлы получили доп расширение .rdata а диски кроме основного на котором стоит ОС зашифрованы BitLocker. В корне каждого пользователя лежит файл NTUSER.DAT.
В каждом каталоге README.TXT с сообщением злоумышленника
To recover your data, contact us: rdata@onionmail.org
The lowest price is valid only on the first day.
Просканил FRST. Логи прилагаю в архиве
Логи FRST.rar
-
Автор Zsv89
неДобрый день. Поймали непонятным образом вирус,который зашифровал через diskcryptor.
To recover your data, contact us: rdata@onionmail.org
The lowest price is valid only on the first day.
расширение .rdata
-
Рекомендуемые сообщения
Пожалуйста, войдите, чтобы комментировать
Вы сможете оставить комментарий после входа в
Войти