salted2020 Поймал вирус-шифровальщик "ooo4ps"

[Anadartes]

Всем добрый вечер.
Вчера после очередного обновления 1С, примерно в 20:30 - 20:40 на выделенный удаленный сервер подхватили шифровальщика, проблему заметил сегодня с утра, сервер был перезагружен, когда я вошел в него, увидел что половина моих файлов, в том числе и базы 1С приняли расширение "OOO4PS" после этого, соответственно, базы перестали открываться, все нужные файлы были заражены, автоматически открылся файл об выкупе от мошенников, подскажите, пожалуйста, какое то решение проблемы.
Все необходимые файлы прикладываю, если нужно что то еще, готов дополнить.

Addition.txt FRST.txt Помощь.rar

[safety]

Дополнительные диски были зашифрованы Bitlocker или нет?

 

Если систему сканировали KVRT, Cureit или штатным антивирусом,

2025-12-23 10:43 - 2025-12-23 10:43 - 000000000 ____D C:\Users\Администратор\Doctor Web
2025-12-23 10:42 - 2025-12-23 10:44 - 280921152 _____ C:\Users\Администратор\Desktop\fgvrhzye.exe

добавьте отчеты по сканированию, в архиве. без пароля.

Изменено 24 декабря, 2025 пользователем safety

[Anadartes]

Прикладываю отчет с Cureit, он угроз не обнаружил, еще при первом сканировании, сейчас тоже не обнаружил ничего
Дополнительные диски с бекапами не были затронуты, заразили только системный диск С:

cureit.rar

Изменено 24 декабря, 2025 пользователем Anadartes

[safety]

Судя по логу Cureit ничего не найдено.

Total 8967776021 bytes in 27067 files scanned (30501 objects)
Total 27211 files (30501 objects) are clean
There are no infected objects detected
Scan time is 00:03:18.744

----------

Где то здесь начало шифрования.

2025-12-22 20:27 - 2024-08-22 13:25 - 000000940 _____ C:\ProgramData\Microsoft\Windows\Start Menu\FILES_ENCRYPTED.txt

Проверьте, есть ли какие то исполняемые файлы(exe, bat, ps1, vbsm cmd) на системном диске, которые были созданы около этого времени

2025-12-22 20:15 - 2025-12-22 20:18 - 3324222032 _____ C:\Users\Администратор\Downloads\1Cv8.dt.ooo4ps

 

можно так же проверить среди удаленных файлов.

 

[Anadartes]

Нет, никаких исполняемых файлов не обнаружил, возможно вирус все почистил после себя, сканил диск разными утилитами, удаленных файлов так же не обнаружил.
После шифрования, кстати, появился пользователь USR1CV83, у него были разного рода подозрительные файлы, но к сожалению, я этого пользователя удалил, сейчас ничего не смогу из этого показать.
Сам шифратор проявил себя спустя несколько часов после установки конфигурации, использовались не официальные лицензии 1С, так что результат был ожидаем, вцелом, но настраивал изначально все не я, поэтому не сразу разобрался как это работает.

Изменено 24 декабря, 2025 пользователем Anadartes

[safety]

5 часов назад, Anadartes сказал:

После шифрования, кстати, появился пользователь USR1CV83, у него были разного рода подозрительные файлы, но к сожалению, я этого пользователя удалил, сейчас ничего не смогу из этого показать.

Вот это и зря.

Так как часто по данному шифровальщику именно этот профиль и используется для атаки и развертывания шифрования.

Цитата

возможно вирус все почистил после себя

т.е. вы ему помогли скрыть свои следы поглубже.

 

Проверьте ЛС.