Перейти к содержанию

Рекомендуемые сообщения

Опубликовано

добрый день, столкнулся с аналогичной проблемой, сможете помочь? активная подписка имеется

 

Сообщение от модератора Mark D. Pearlstone

Перемещено из темы.

Опубликовано

Система перегружалась после шифрования?

+

Ориентировочное время начала шифрования:

2025-01-18 21:50 - 2024-08-22 15:25 - 000000940 _____ C:\ProgramData\Microsoft\Windows\Start Menu\FILES_ENCRYPTED.txt

в TEMP пользователя USR1CV83:

проверьте наличие скриптов *cmd. созданных к моменту шифрования, можно так же по всему системному диску выполнить поиск подобных файлов.

Опубликовано (изменено)
12 минут назад, safety сказал:

Система перегружалась после шифрования?

+

Ориентировочное время начала шифрования:

2025-01-18 21:50 - 2024-08-22 15:25 - 000000940 _____ C:\ProgramData\Microsoft\Windows\Start Menu\FILES_ENCRYPTED.txt

в TEMP пользователя USR1CV83:

проверьте наличие скриптов *cmd. созданных к моменту шифрования, можно так же по всему системному диску выполнить поиск подобных файлов.

 

да, сервер был выключен сегодня утром. так и обнаружилось

Изменено пользователем NSI2022
Опубликовано

проверьте наличие скриптов *cmd. созданных к моменту шифрования, можно так же выполнить поиск по всему системному диску подобных файлов.

Опубликовано (изменено)
39 минут назад, safety сказал:

проверьте наличие скриптов *cmd. созданных к моменту шифрования, можно так же выполнить поиск по всему системному диску подобных файлов.

 

выполняю.

 

они каспера удалили, kvrt прогнал ни чего не нашел.

 

 

Изменено пользователем safety
Опубликовано (изменено)

ок, можно так же по подстроке в текстовых файлах *.cmd, *.bat выполнить поиск:

"openssl.exe enc -e -aes-256-cbc"

Изменено пользователем safety
Опубликовано

пока не получается найти

11 минут назад, safety сказал:

ок, можно так же по подстроке в текстовых файлах *.cmd, *.bat выполнить поиск:

"openssl.exe enc -e -aes-256-cbc"

 

нет активных скриптов

Опубликовано (изменено)

а и не нужны активные. нужны те, что были созданы до момента шифрования. Пробуйте через Everything поискать.

Изменено пользователем safety
Опубликовано (изменено)

да, все это в комплексе происходит, системный диск шифруется salted2020, другие диски шифруются битлокером.

Изменено пользователем safety
Опубликовано (изменено)

everything тоже не находит *cmd *bat с датой шифрования

Изменено пользователем NSI2022
Опубликовано

увы, не сможем помочь по данному типу шифровальщика.

 

теперь, когда ваши данные были зашифрованы, примите серьезные меры безопасности:


1. создание бэкапов данных на отдельном устройстве, которое не должно быть постоянно доступным;
2. установка актуальных обновлений для операционной системы;
3. установка надежной актуальной антивирусной защиты с регулярным обновлением антивирусных баз;
4. установка надежных паролей для аккаунтов из группы RDP;
5. настройка нестандартного порта (вместо стандартного 3389) для сервиса RDP;
6. настройки безопасности, которые защищают пароль к аккаунту от удаленного брутфорсинга
7. если есть такая возможность, настройте двухфакторную аутентификацию для доступа к рабочему столу
8. доступ к рабочему столу из внешней сети (если необходим для работы), либо через VPN подключение, либо только с доверенных IP (белый лист);

Опубликовано (изменено)

на самом деле всё это было сделано все пункты, через довереные ip без vpn правда,

пока не понял как пролезли через USR1CV83

Изменено пользователем NSI2022

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
  • Похожий контент

    • Pospelovdima
      Автор Pospelovdima
      Подхватил заразу a38261062@gmail.com ooo4ps  может есть у кого решение ?
    • Dorark
      Автор Dorark
      Здравствуйте!
      Такая же проблема. 26.04.2020 г. на сервере обнаружили, что подцепили вирус вымогатель. Перестал работать 1с, SQL. На файлах резервных копий sql и еще на некоторых файлах появилось расширение .rag2hdst . В каждой папке появился файл DECRIPT_FILES.TXT. Прилагаю логи FRST, DECRIPT_FILES.TXT и зашифрованный файл. 
      Addition.txt cache.1CD.rag2hdst DECRIPT_FILES.txt FRST.txt
       
      Сообщение от модератора Mark D. Pearlstone Перемещено из темы.  
    • rokhaund
      Автор rokhaund
      Здравствуйте! Вчера на сервере с базами 1С, dr.web нашел и убил вирус. После чего обнаружил что все базы 1с зашифрованы и имеют расширение rag2hdst. В каждой папке лежит файлик DECRIPT_FILES.txt В котором естественно просят денег. Зашифрованный файл прикрепил к сообщению. Так же файлик с логами...
      Подскажите пожалуйста, реально ли расшифровать файлы?
      Спасибо...
    • DruzhyninS
      Автор DruzhyninS
      Шифровщик Стартонул и ломанул все - бэкапы были акроним зашифрованном разделе  - и те удалило !
      Помогите восстановить хоть один файл бекапа системы!
       
       
      Decrypting your files is easy. Take a deep breath and follow the steps below. 
       
      1 ) Make the proper payment.  Payments are made in Monero. This is a crypto-currency, like bitcoin. You can buy Monero, and send it, from the same places you can any other crypto-currency. If you're still unsure, google 'monero exchange'.    Sign up at one of these exchange sites and send the payment to the address below.   Payment Address (Monero Wallet):    87ZAuEY2UbsaW8u4juM6J7Pr74HAQLeESHycWNzT9nhML4MkqHaLy9fQMGKQRCzKiJS7e6h8BDSaHHsiJd9hLtHRKVhpKgi   2 ) Farther you should send your ip address to email address name4v@keemail.me Then you will receive all necessary key.    Prices : Days : Monero : Offer Expires  0-2 : 600$ :  13/01/2020  3-6 : 1000$ : 17/01/2020   Note: In 7 days your password decryption key gets permanently deleted.  You then have no way to ever retrieve your files. So pay now. Addition.txt
      FRST.txt
      DECRIPT_FILES.txt
    • Okay
      Автор Okay
      Зашифровали сервер 1С на базе Windows Server 2019 Standard, все обновления стоят.
      Доступа по RDP нет, сервер 1С открытыми портами в интернет не светит.
      Почитав аналогичные темы, понял, что взломали через пользователя USR1CV83 (хотя в системе ему было задано другое имя).
      Примерное время взлома: 08.06.25 03:00 МСК. После шифрования все следы шифровальщика были удалены, системные журналы очищены, сервер выключен.
      Поиск по временным папкам ничего не дал. Elcomsoft Forensic Disk Decryptor тоже не помог.
      На восстановление файлов не надеюсь, восстановим из имеющихся резервных копий.
      Вопрос в том, каков именно механизм взлома и как защититься от подобного в будущем?
      Пользователь USR1CV83 был назван по-другому, пароль задан сложный, админские права ему нужны для корректной работы.
       
      FRST.txt Addition.txt FILES_ENCRYPTED.zip
×
×
  • Создать...