Перейти к содержанию

Поймал вирус-шифровальщик "ooo4ps"

Anadartes
 Поделиться

Рекомендуемые сообщения

Anadartes

Anadartes

Опубликовано
Опубликовано

Всем добрый вечер.
Вчера после очередного обновления 1С, примерно в 20:30 - 20:40 на выделенный удаленный сервер подхватили шифровальщика, проблему заметил сегодня с утра, сервер был перезагружен, когда я вошел в него, увидел что половина моих файлов, в том числе и базы 1С приняли расширение "OOO4PS" после этого, соответственно, базы перестали открываться, все нужные файлы были заражены, автоматически открылся файл об выкупе от мошенников, подскажите, пожалуйста, какое то решение проблемы.
Все необходимые файлы прикладываю, если нужно что то еще, готов дополнить.

Addition.txt FRST.txt Помощь.rar

safety

safety

Опубликовано
Опубликовано (изменено)

Дополнительные диски были зашифрованы Bitlocker или нет?

 

Если систему сканировали KVRT, Cureit или штатным антивирусом,

2025-12-23 10:43 - 2025-12-23 10:43 - 000000000 ____D C:\Users\Администратор\Doctor Web
2025-12-23 10:42 - 2025-12-23 10:44 - 280921152 _____ C:\Users\Администратор\Desktop\fgvrhzye.exe

добавьте отчеты по сканированию, в архиве. без пароля.

Изменено пользователем safety
Anadartes

Anadartes

Опубликовано
  • Автор
Опубликовано (изменено)

Прикладываю отчет с Cureit, он угроз не обнаружил, еще при первом сканировании, сейчас тоже не обнаружил ничего
Дополнительные диски с бекапами не были затронуты, заразили только системный диск С:

cureit.rar

Изменено пользователем Anadartes
safety

safety

Опубликовано
Опубликовано

Судя по логу Cureit ничего не найдено.

Total 8967776021 bytes in 27067 files scanned (30501 objects)
Total 27211 files (30501 objects) are clean
There are no infected objects detected
Scan time is 00:03:18.744

----------

Где то здесь начало шифрования.

2025-12-22 20:27 - 2024-08-22 13:25 - 000000940 _____ C:\ProgramData\Microsoft\Windows\Start Menu\FILES_ENCRYPTED.txt

Проверьте, есть ли какие то исполняемые файлы(exe, bat, ps1, vbsm cmd) на системном диске, которые были созданы около этого времени

2025-12-22 20:15 - 2025-12-22 20:18 - 3324222032 _____ C:\Users\Администратор\Downloads\1Cv8.dt.ooo4ps

 

можно так же проверить среди удаленных файлов.

 

Anadartes

Anadartes

Опубликовано
  • Автор
Опубликовано (изменено)

Нет, никаких исполняемых файлов не обнаружил, возможно вирус все почистил после себя, сканил диск разными утилитами, удаленных файлов так же не обнаружил.
После шифрования, кстати, появился пользователь USR1CV83, у него были разного рода подозрительные файлы, но к сожалению, я этого пользователя удалил, сейчас ничего не смогу из этого показать.
Сам шифратор проявил себя спустя несколько часов после установки конфигурации, использовались не официальные лицензии 1С, так что результат был ожидаем, вцелом, но настраивал изначально все не я, поэтому не сразу разобрался как это работает.

Изменено пользователем Anadartes
safety

safety

Опубликовано
Опубликовано
5 часов назад, Anadartes сказал:

После шифрования, кстати, появился пользователь USR1CV83, у него были разного рода подозрительные файлы, но к сожалению, я этого пользователя удалил, сейчас ничего не смогу из этого показать.

Вот это и зря.

Так как часто по данному шифровальщику именно этот профиль и используется для атаки и развертывания шифрования.

Цитата

возможно вирус все почистил после себя

т.е. вы ему помогли скрыть свои следы поглубже.

 

Проверьте ЛС.

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Поделиться
Перейти к списку тем

  • Похожий контент

    • JesikaBin
      Поймали шифровальщик ooo4ps
      Автор JesikaBin
      Добрый день. Поймали шифровальщик, вымогают деньги 2000$ для расшифровки. В 1с войти не можем, на диск, где хранятся бэкапы тоже никак не войти. У нас арендованный сервер Windows Server. Как быть?

      virus.rar
    • Ivan_S
      Шифровальщик .ooo4ps
      Автор Ivan_S
      Добрый день. Пойммали вирус-шифровальщик на сервер. выяснили что все действия проводились через пользователя под которым крутилась 1с, однако была создана его копия, в которой хранится файл DiskCryptor. Ниже прикрепляю файл логов, а так же пара зашифрованных файлов вместе с архивом вируса

       
      Files.rar FRST.txt virus.rar
    • aryanatha
      Заразились шифровальщиком
      Автор aryanatha
      Здравствуйте
      Сервер под управлением Windows Server 2012 R2
      Заходили на него используя RDP
      2 диска зашифровались BitLockerом
      Системный диск Битлокером не зашифровали, но часть файлов на нем были зашифрованы
      В идеале нужно полностью восстановить систему, но в принципе, самый важный файл на всем компьютере один - это база данных 1С.
      Она лежит на незашифрованном диске, и зашифрована отдельно. Размер порядка 10 гб
      в приложении логи анализа и да зашифрованный файла Эксель.
      файл с вирусом не нашли. требований денег не нашли
      возможно заразились после того как дней 5 назад дестоп был с помощью Хамачи подключен в одну локалку с ноутом внука, на котором куча скачанных с тореннnов поломанных игрушек. после этого на декстопе запускался drWebCureIt 
      и после этого с дестопа по RDP ходил на сервер
      прошу помощи
    • pizzador
      Помощь в борьбе с шифровальщиками-вымогателями
      Автор pizzador
      Доброго времени суток. В компании работаю не давно,сервер находится на удаленке.Был доступ по РДП . Микротика не было.Заказал,но не успел прийти.По итогу после многочисленных атак ,в сервер проник шифровальщик и все закрыл.Бекапы делались на другие диски.Они заблокированы битлокером . Расшерение .le0
      Addition.txt FRST.txt Shortcut.txt Ильинский до корректировок осв.xlsx.zip
    • eNCwaer
      Зашифрованы файлы Salted
      Автор eNCwaer
      Добрый день! Сегодня утром поймали шифровальщик.
      В наименования файлов добавилось .le0
      Так же всплывает текстовый документ со следующим содержимым:
      "All your data has been locked us
      You want to return?
      Write email adk0@keemail.me"

      Файлы в архиве
      Пароль 123
      Files.rar
×
×
  • Создать...