Mitya_net Опубликовано 10 октября, 2016 Опубликовано 10 октября, 2016 (изменено) Добрый вечер! Взломали сервер по удаленке. Среди всего прочего зашифровали важную БД (1С8) Бэкапа получилось что нет ((( Файл БД называется 1Cv8.1CD (не запускается - пишет ошибку) Рядом появился файл размером 2,57мб с именем: 1Cv8.1CD.AES-7566225499551881-aes256@reborn.com Зашифровалось не все. Видимо что то пошло не по плану. Поэтому писем, сообщений на экране и текстовых файлов от вымогателя не обнаружено. Программы по восстановлению удаленных файлов не помогли. Видимо ничего не удалялось, а именно изменялось. Прошу помочь с расшифровкой этого файла. upd прилагаю результат работы программы: Farbar Recovery Scan Tool CollectionLog-2016.10.10-23.06.zip Addition.txt FRST.txt Изменено 11 октября, 2016 пользователем Mitya_net
mike 1 Опубликовано 11 октября, 2016 Опубликовано 11 октября, 2016 IP адреса знакомы? 31.173.80.251 - Россия 5.228.255.231 - Россия 184.105.139.68 - США
Mitya_net Опубликовано 11 октября, 2016 Автор Опубликовано 11 октября, 2016 нет, IP вражеские (( атака была под аккаунтом одного из пользователей (со слабым паролем) то что было ему доступно - зашифровалось ((
mike 1 Опубликовано 11 октября, 2016 Опубликовано 11 октября, 2016 Нужно искать что запускали на сервере. Без шифровальщика что-то определенное сказать нельзя. Доступ к серверу у них был задолго до заражения судя по этим записям: Error: (09/28/2016 10:54:38 PM) (Source: TermDD) (EventID: 56) (User: ) Description: Уровень безопасности сервера терминалов обнаружил ошибку в потоке протокола и отключил этот клиент. IP-адрес клиента: 5.228.255.231. Error: (09/28/2016 04:05:40 PM) (Source: TermDD) (EventID: 56) (User: ) Description: Уровень безопасности сервера терминалов обнаружил ошибку в потоке протокола и отключил этот клиент. IP-адрес клиента: 31.173.80.251. Error: (09/26/2016 08:46:16 AM) (Source: TermDD) (EventID: 56) (User: ) Description: Уровень безопасности сервера терминалов обнаружил ошибку в потоке протокола и отключил этот клиент. IP-адрес клиента: 184.105.139.68.
Mitya_net Опубликовано 11 октября, 2016 Автор Опубликовано 11 октября, 2016 Заражение произошло 24.09.2016 в 4 утра. Просто все это время я тщетно пытался что то выудить программами восстановления (типа R-Studio, testdisk_6.14) 24/09/2016 в 4 утра был успешный вход пользователя Yana.
mike 1 Опубликовано 11 октября, 2016 Опубликовано 11 октября, 2016 Без шифровальщика шансов думаю нет.
Mitya_net Опубликовано 12 октября, 2016 Автор Опубликовано 12 октября, 2016 (изменено) Выяснить какой файл и от куда в час заражения запускался - нереально. (или реально?) Возможно после отработки он удалился. То что он не приходил по почте или с браузера - 100% upd Поиск измененных на дату 24.09.2016 командных файлов ничего не нашел. замечено: текстовые файлы теперь зашифрованы в виде: filename.txt.AES-7566225499551881-aes256@reborn.com а их прежние версии содержат только это: {8F48FEF6-C4CD-CE73-72BD-6994D973BA}.AES-7566225499551881-aes256@reborn.com код везде одинаковый в пользовательском каталоге в это время создана папка WinRar C:\Users\Yana\AppData\Roaming\WinRAR 24.09.2016 04:19 Изменено 12 октября, 2016 пользователем Mitya_net
Mitya_net Опубликовано 12 октября, 2016 Автор Опубликовано 12 октября, 2016 (изменено) Внутри 1 файл. version.dat Вес 1kb Создан в то же время Изменено 12 октября, 2016 пользователем Mitya_net
Mitya_net Опубликовано 19 октября, 2016 Автор Опубликовано 19 октября, 2016 Жаль ((( Так никто и не смог мне помочь. Ни контактов вымогателя ( Ни помощь специалистов ( Видимо шансов нет (((( Или есть ?
mike 1 Опубликовано 19 октября, 2016 Опубликовано 19 октября, 2016 Вам как бы уже всё сказали в сообщении номер 6. Что непонятного?
Рекомендуемые сообщения
Пожалуйста, войдите, чтобы комментировать
Вы сможете оставить комментарий после входа в
Войти