Прошу помочь расшифровать файл БД

[Mitya_net]

Добрый вечер!

 

Взломали сервер по удаленке.

Среди всего прочего зашифровали важную БД (1С8)

Бэкапа получилось что нет (((

 

Файл БД называется 1Cv8.1CD (не запускается - пишет ошибку)

Рядом появился файл размером 2,57мб с именем:

1Cv8.1CD.AES-7566225499551881-aes256@reborn.com

 

Зашифровалось не все.

Видимо что то пошло не по плану.

Поэтому писем, сообщений на экране и текстовых файлов от вымогателя не обнаружено.

Программы по восстановлению удаленных файлов не помогли.

Видимо ничего не удалялось, а именно изменялось.

 

Прошу помочь с расшифровкой этого файла.

 

upd

прилагаю результат работы программы: Farbar Recovery Scan Tool  

CollectionLog-2016.10.10-23.06.zip

Addition.txt

FRST.txt

Изменено 11 октября, 2016 пользователем Mitya_net

[mike 1]

IP адреса знакомы?

31.173.80.251 - Россия
5.228.255.231 - Россия
184.105.139.68 - США

[Mitya_net]

нет, IP вражеские ((

 

атака была под аккаунтом одного из пользователей (со слабым паролем)

то что было ему доступно - зашифровалось ((

[mike 1]

Нужно искать что запускали на сервере. Без шифровальщика что-то определенное сказать нельзя. Доступ к серверу у них был задолго до заражения судя по этим записям:

Error: (09/28/2016 10:54:38 PM) (Source: TermDD) (EventID: 56) (User: )
Description: Уровень безопасности сервера терминалов обнаружил ошибку в потоке протокола и отключил этот клиент.
IP-адрес клиента: 5.228.255.231.

Error: (09/28/2016 04:05:40 PM) (Source: TermDD) (EventID: 56) (User: )
Description: Уровень безопасности сервера терминалов обнаружил ошибку в потоке протокола и отключил этот клиент.
IP-адрес клиента: 31.173.80.251.

Error: (09/26/2016 08:46:16 AM) (Source: TermDD) (EventID: 56) (User: )
Description: Уровень безопасности сервера терминалов обнаружил ошибку в потоке протокола и отключил этот клиент.
IP-адрес клиента: 184.105.139.68.

[Mitya_net]

Заражение произошло 24.09.2016 в 4 утра.

Просто все это время я тщетно пытался что то выудить программами восстановления (типа R-Studio, testdisk_6.14)

 

24/09/2016 в 4 утра был успешный вход пользователя Yana.

[mike 1]

Без шифровальщика шансов думаю нет.

[Mitya_net]

Выяснить какой файл и от куда в час заражения запускался - нереально. (или реально?)

Возможно после отработки он удалился.

 

То что он не приходил по почте или с браузера - 100%

 

upd

Поиск  измененных на дату 24.09.2016 командных файлов ничего не нашел.

 

замечено:

текстовые файлы теперь зашифрованы в виде:

filename.txt.AES-7566225499551881-aes256@reborn.com

а их прежние версии содержат только это:

{8F48FEF6-C4CD-CE73-72BD-6994D973BA}.AES-7566225499551881-aes256@reborn.com 

код везде одинаковый

 

в пользовательском каталоге в это время создана папка WinRar

C:\Users\Yana\AppData\Roaming\WinRAR              24.09.2016 04:19

Изменено 12 октября, 2016 пользователем Mitya_net

[thyrex]

Эта папка пустая?

[Mitya_net]

Внутри 1 файл.

version.dat

Вес 1kb

Создан в то же время

Изменено 12 октября, 2016 пользователем Mitya_net

[Mitya_net]

Жаль (((

Так никто и не смог мне помочь.

 

Ни контактов вымогателя (

Ни помощь специалистов (

 

Видимо шансов нет ((((

 

Или есть ?

[mike 1]

Вам как бы уже всё сказали в сообщении номер 6. Что непонятного?