Перейти к содержанию

Рекомендуемые сообщения

Опубликовано

Зашифровали сервер 1С на базе Windows Server 2019 Standard, все обновления стоят.

Доступа по RDP нет, сервер 1С открытыми портами в интернет не светит.

Почитав аналогичные темы, понял, что взломали через пользователя USR1CV83 (хотя в системе ему было задано другое имя).

Примерное время взлома: 08.06.25 03:00 МСК. После шифрования все следы шифровальщика были удалены, системные журналы очищены, сервер выключен.

Поиск по временным папкам ничего не дал. Elcomsoft Forensic Disk Decryptor тоже не помог.

На восстановление файлов не надеюсь, восстановим из имеющихся резервных копий.

Вопрос в том, каков именно механизм взлома и как защититься от подобного в будущем?

Пользователь USR1CV83 был назван по-другому, пароль задан сложный, админские права ему нужны для корректной работы.

 

FRST.txt Addition.txt FILES_ENCRYPTED.zip

Опубликовано
1 час назад, Okay сказал:

сервер выключен.

Сервер сам выключили?

+

проверьте ЛС.

Опубликовано
13 минут назад, safety сказал:

Сервер сам выключили?

 

Нет, шифровальщик после выполнения своих скриптов.

В ЛС ответил.

Опубликовано
8 часов назад, Okay сказал:

Доступа по RDP нет, сервер 1С открытыми портами в интернет не светит.

Подключение к серверу могло быть с устройства из локальной сети, к которому злоумышленники смогли получить доступ.

Опубликовано
56 минут назад, safety сказал:

Подключение к серверу могло быть с устройства из локальной сети, к которому злоумышленники смогли получить доступ.

 

Ну допустим, а дальше как? Уязвимость в сервере 1С? Известно что-то об этом?

Опубликовано (изменено)

Все по порядку:

серверC активно брутится сервер.


Source IP,Computer name,Count,First attempt,Last attempt,Tried user names
183.232.204.2,-,16,09.06.2025 17:42:53,09.06.2025 17:44:43,"袗写屑懈薪懈褋褌褉邪褌芯褉, ADMINISTRATOR, ADMIN, USER"

 

Профиль был создан в ходе атаки, это скорее всего доменная учетка, к которой злоумышленники смогли получить доступ.

2025-06-08 02:32 - 2025-06-08 03:15 - 000000000 ____D C:\Users\USR1CV83
 

Изменено пользователем safety
Опубликовано

Критических уязвимостей не обнаружено.


ID,Codename,Installed?
"CVE-2019-1181, CVE-2019-1182",DejaBlue,yes
CVE-2020-0601,CurveBall,yes
CVE-2020-1350,SIGRed,yes
CVE-2020-1472,Zerologon,yes
CVE-2020-16898,Bad Neighbor,yes
CVE-2021-34527,PrintNightmare,yes
 

Защита учетных записей от брутфорса не настроена. Ставить 20-30

 

Setting,Value
Lockout threshold,Никогда
 

Судя по таймлайн, смогли очистить журналы событий под данной учетной записью USR1CV83

Проверьте, есть ли учетная запись USR1CV83 в домене или нет. И с какими правами.

Она может создаваться автоматически при установки 1с. 

 

Datetime,Source,Event description
08.06.2025 03:51:26.803,Windows Event Log,"Log ""Windows PowerShell"" was cleared by PZVSRV\USR1CV83."
08.06.2025 03:51:26.794,Windows Event Log,"Log ""Windows Networking Vpn Plugin Platform/OperationalVerbose"" was cleared by PZVSRV\USR1CV83."
08.06.2025 03:51:26.789,Windows Event Log,"Log ""Windows Networking Vpn Plugin Platform/Operational"" was cleared by PZVSRV\USR1CV83."
08.06.2025 03:51:26.714,Windows Event Log,"Log ""System"" was cleared by PZVSRV\USR1CV83."
08.06.2025 03:51:26.686,Windows Event Log,"Log ""Security"" was cleared by PZVSRV\USR1CV83."
 

Опубликовано (изменено)
28 минут назад, Okay сказал:

Ну допустим, а дальше как? Уязвимость в сервере 1С? Известно что-то об этом?

Эту информацию злоумышленники предоставляют пострадавшим от взлома и шифрования.

 

Delete the administration of the 1C server from the external network, port: 1540!

Delete all test databases from the 1C server!

Replace the service account with an account without administrator rights!

Set the Server Administrator 1C

https://its.1c.ru/db/metod8dev/content/5816/hdoc

 

Лучше обратиться в компанию 1с за разъяснением проблемы и информацией о правильной настройке сервера в связи с этой проблемой.

 

Эта история длится уже как минимум год с некоторыми перерывами.

Изменено пользователем safety
Опубликовано

Сервер не в домене, учетной записи USR1CV83 на сервере нет, учётка для работы сервера 1С названа по-другому, пароль к ней сложный, брутфорсить его довольно долго.

Опубликовано

В данном случае добавить ничего не могу.

Попробуйте обратиться в 1с за разъяснением. Возможно есть ошибки при настройках безопасности сервера 1с.

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
  • Похожий контент

    • Pospelovdima
      Автор Pospelovdima
      Подхватил заразу a38261062@gmail.com ooo4ps  может есть у кого решение ?
    • alexchernobylov
      Автор alexchernobylov
      Добрый день.
      Windows Server 2019
      Зашифрованы целые раздел с системой. Файловая система RAW. При включении появляется окно ввести пароль. Диски как будто зашифрованы BitLocker-ом.
      Один сервер скорее всего пробили по RDP, а второй сервер был без доступа по RDP и в другом домене (но на нем была виртуальная машина с RDP).
      Написал в телеграмм - просят 5000 долларов за восстановление 2 гипервизоров.
      Они спросили имя домена, серверов или их айпишники.
      Доступа к диску нет и файлы никакие не получить.
      Подскажите, пожалуйста, как справиться с данной заразой.


    • Dorark
      Автор Dorark
      Здравствуйте!
      Такая же проблема. 26.04.2020 г. на сервере обнаружили, что подцепили вирус вымогатель. Перестал работать 1с, SQL. На файлах резервных копий sql и еще на некоторых файлах появилось расширение .rag2hdst . В каждой папке появился файл DECRIPT_FILES.TXT. Прилагаю логи FRST, DECRIPT_FILES.TXT и зашифрованный файл. 
      Addition.txt cache.1CD.rag2hdst DECRIPT_FILES.txt FRST.txt
       
      Сообщение от модератора Mark D. Pearlstone Перемещено из темы.  
    • rokhaund
      Автор rokhaund
      Здравствуйте! Вчера на сервере с базами 1С, dr.web нашел и убил вирус. После чего обнаружил что все базы 1с зашифрованы и имеют расширение rag2hdst. В каждой папке лежит файлик DECRIPT_FILES.txt В котором естественно просят денег. Зашифрованный файл прикрепил к сообщению. Так же файлик с логами...
      Подскажите пожалуйста, реально ли расшифровать файлы?
      Спасибо...
    • DruzhyninS
      Автор DruzhyninS
      Шифровщик Стартонул и ломанул все - бэкапы были акроним зашифрованном разделе  - и те удалило !
      Помогите восстановить хоть один файл бекапа системы!
       
       
      Decrypting your files is easy. Take a deep breath and follow the steps below. 
       
      1 ) Make the proper payment.  Payments are made in Monero. This is a crypto-currency, like bitcoin. You can buy Monero, and send it, from the same places you can any other crypto-currency. If you're still unsure, google 'monero exchange'.    Sign up at one of these exchange sites and send the payment to the address below.   Payment Address (Monero Wallet):    87ZAuEY2UbsaW8u4juM6J7Pr74HAQLeESHycWNzT9nhML4MkqHaLy9fQMGKQRCzKiJS7e6h8BDSaHHsiJd9hLtHRKVhpKgi   2 ) Farther you should send your ip address to email address name4v@keemail.me Then you will receive all necessary key.    Prices : Days : Monero : Offer Expires  0-2 : 600$ :  13/01/2020  3-6 : 1000$ : 17/01/2020   Note: In 7 days your password decryption key gets permanently deleted.  You then have no way to ever retrieve your files. So pay now. Addition.txt
      FRST.txt
      DECRIPT_FILES.txt
×
×
  • Создать...