Перейти к содержанию

Шифровальщик через rdp

mkozlenko
 Поделиться

Рекомендуемые сообщения

mkozlenko

mkozlenko

Опубликовано
Опубликовано

Добрый день! 

У знакомых проникли на сервер 1С через подбор учетки по RDP.

Файлы (.doc, .xls, .pdf, .jpeg и т.д., а самое важное все базы 1С) зашифрованы. К названию и расширению файла добавлены "!_____GEKSOGEN911@GMAIL.COM____.c300".

Сделала проверку Dr.Web CureIT, Kaspersky Virus Removal Tools и Malwarebytes Anti-Malware. Нашлось 3 трояна, одно подозрение на вирус и еще что-то, в том числе файл, который скорее всего является либо шифратором, либо меткой для вредителей (принтскрин найденного Dr.Web во вложении).

Попробовала все существующие программы по раскодированию.

На этот момент знакомые успели списаться с теми. кто собственно проник (текст письма во вложении). 

Аналогичный запрос уже есть на форуме.

 

Помогите. пожалуйста.

 

ps попробовала восстановить через qphotorec - восстановилась лишь часть pdf и очень малая часть doc и xls.

Все осложняется тем, что backup(ы) не делались, учетки не контролировались. Касперский стоял, но сейчас он "таинственно" исчез (ключ есть), и когда он "исчез", никто сказать не может (администратор в отпуске и недоступен).

 

 

CollectionLog-2016.11.17-13.16.zip

post-42235-0-44082000-1479382831_thumb.jpg

переписка.txt

Пример файла с вирусом.rar

mike 1

mike 1

Опубликовано
Опубликовано

 

 

Все осложняется тем, что backup(ы) не делались, учетки не контролировались. Касперский стоял, но сейчас он "таинственно" исчез (ключ есть), и когда он "исчез", никто сказать не может (администратор в отпуске и недоступен).

Ну что тут скажешь, не захотели уделить должное внимание резервному копированию важных данных и настройке сервера получайте по полной программе.

 

Для общего развития  https://1cloud.ru/help/windows/windowssecurity

 

Пишите запрос  https://forum.kasperskyclub.ru/index.php?showtopic=48525

mkozlenko

mkozlenko

Опубликовано
  • Автор
Опубликовано

 

 

 

Все осложняется тем, что backup(ы) не делались, учетки не контролировались. Касперский стоял, но сейчас он "таинственно" исчез (ключ есть), и когда он "исчез", никто сказать не может (администратор в отпуске и недоступен).

Ну что тут скажешь, не захотели уделить должное внимание резервному копированию важных данных и настройке сервера получайте по полной программе.

 

Для общего развития  https://1cloud.ru/help/windows/windowssecurity

 

Пишите запрос  https://forum.kasperskyclub.ru/index.php?showtopic=48525

 

Спасибо.

Порты закрыты. учетки настроены.

Запрос написан.

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Поделиться
Перейти к списку тем

  • Похожий контент

    • gemlor
      шифровальщик [stopencrypt@qq.com].adobe
      Автор gemlor
      Добрый день.

      Словили шифровальщика  *id*[stopencrypt@qq.com].adobe .


      Зашифровал все файлы.

      Как точно попал на комп неизвестно, но 9 из 10 , что через почту.

      Главное касперский  удалил\вылечил архив, но это не помогло (могу приложить список действий касперского из "хранилища"), через несколько дней все было перешифровано.

      Прикрепляю файл логов.
      CollectionLog-2018.11.26-14.39.zip
    • Dkmgpu
      Файлы зашифрованы "Gust"
      Автор Dkmgpu
      Здравствуйте. Была взломана учетная запись с правами доменного администратора. Затем запущено шифрование на рабочей станции, а затем и на серверах. 
      CollectionLog-2018.07.25-14.42.zip
      Замок Сфорца.docx.zip
    • tr01
      Нужна помощь с восстановлением файлов
      Автор tr01
      Добрый день
      Подскажите, пожалуйста, сможете ли вы помочь в ситуации, если сервер в зломали и упаковали файлы в архив rar?После этого был Backdoor, но вроде бы уже удален антивирусом, восстановить файлы с диска не получается (затерты архивами). 
      Addition.txt FRST.txt отчет.txt пароль к архиву - копия (72) — копия — копия.txt
    • nsemak
      Необходима помощь в расшифровке файлов
      Автор nsemak
      Добрый день. Прошу помощи в расшифровке данных. Все по классике. Бухгалтер работала в терминальном сервере с правами админа, открыла почту и приехали. В архиве логи с программы "Farbar Recovery Scan Tool", зашифрованые файлы и файл о выкупе. 
       
      Файлы для анализа.zip
    • mr_ujin
      шифровальщик
      Автор mr_ujin
      ..здравствуйте..помещены в архив с паролем файлы архивов..и файлы с рабочего стола...просят написать на почты для получения  пароля от архива..Addition.txtFRST.txt
      ...архивные файлы слишком большие от 10ГБ..
      ..в архиве только файл с требованиями..pass winrar — копия.rar
      Addition.txt FRST.txt
×
×
  • Создать...