Перейти к содержанию

Шифровальщик через rdp

mkozlenko
 Share Подписчики 1

Рекомендуемые сообщения

mkozlenko

mkozlenko 0

Опубликовано
Опубликовано

Добрый день! 

У знакомых проникли на сервер 1С через подбор учетки по RDP.

Файлы (.doc, .xls, .pdf, .jpeg и т.д., а самое важное все базы 1С) зашифрованы. К названию и расширению файла добавлены "!_____GEKSOGEN911@GMAIL.COM____.c300".

Сделала проверку Dr.Web CureIT, Kaspersky Virus Removal Tools и Malwarebytes Anti-Malware. Нашлось 3 трояна, одно подозрение на вирус и еще что-то, в том числе файл, который скорее всего является либо шифратором, либо меткой для вредителей (принтскрин найденного Dr.Web во вложении).

Попробовала все существующие программы по раскодированию.

На этот момент знакомые успели списаться с теми. кто собственно проник (текст письма во вложении). 

Аналогичный запрос уже есть на форуме.

 

Помогите. пожалуйста.

 

ps попробовала восстановить через qphotorec - восстановилась лишь часть pdf и очень малая часть doc и xls.

Все осложняется тем, что backup(ы) не делались, учетки не контролировались. Касперский стоял, но сейчас он "таинственно" исчез (ключ есть), и когда он "исчез", никто сказать не может (администратор в отпуске и недоступен).

 

 

CollectionLog-2016.11.17-13.16.zip

post-42235-0-44082000-1479382831_thumb.jpg

переписка.txt

Пример файла с вирусом.rar

Ссылка на сообщение
Поделиться на другие сайты
mike 1

mike 1 1010

Опубликовано
Опубликовано

 

 

Все осложняется тем, что backup(ы) не делались, учетки не контролировались. Касперский стоял, но сейчас он "таинственно" исчез (ключ есть), и когда он "исчез", никто сказать не может (администратор в отпуске и недоступен).

Ну что тут скажешь, не захотели уделить должное внимание резервному копированию важных данных и настройке сервера получайте по полной программе.

 

Для общего развития  https://1cloud.ru/help/windows/windowssecurity

 

Пишите запрос  https://forum.kasperskyclub.ru/index.php?showtopic=48525

Ссылка на сообщение
Поделиться на другие сайты
mkozlenko

mkozlenko 0

Опубликовано
  • Автор
Опубликовано

 

 

 

Все осложняется тем, что backup(ы) не делались, учетки не контролировались. Касперский стоял, но сейчас он "таинственно" исчез (ключ есть), и когда он "исчез", никто сказать не может (администратор в отпуске и недоступен).

Ну что тут скажешь, не захотели уделить должное внимание резервному копированию важных данных и настройке сервера получайте по полной программе.

 

Для общего развития  https://1cloud.ru/help/windows/windowssecurity

 

Пишите запрос  https://forum.kasperskyclub.ru/index.php?showtopic=48525

 

Спасибо.

Порты закрыты. учетки настроены.

Запрос написан.

Ссылка на сообщение
Поделиться на другие сайты

Присоединяйтесь к обсуждению

Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.

Гость
Ответить в этой теме...

×   Вставлено с форматированием.   Вставить как обычный текст

  Разрешено использовать не более 75 эмодзи.

×   Ваша ссылка была автоматически встроена.   Отображать как обычную ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставлять изображения напрямую. Загружайте или вставляйте изображения по ссылке.

×
 Share
Подписчики 1
Перейти к списку тем

  • Похожий контент

    • СМСергей
      зашифровали hopeandhonest@smime.ninja 2A89FD49-15216118
      От СМСергей
      Зашифровали компьютер, прошу помочь в расшифровке
      hopeandhonest@smime.ninja  ИД 2A89FD49-15216118
      Файлы сгенерированы как описано в инструкции
      files.rar Addition.txt FRST.txt
    • mdv
      [РАСШИФРОВАНО] шифровальщик [hopeandhonest@smime.ninja].[106903BB-5AF88E5C]
      От mdv
      Здравствуйте.
      сегодня прошелся по общим дискам на сервере шифровальщик. тело вируса обнаружить не удалось. пока нет доступа к компьютеру под учёткой которого работал вирус.
      пошифровал тучу нужных документов. есть ли возможность расшифровать их?
      прикладываю пару файлов в архиве и отчёты Farbar'а
      Спасибо!
      1.zip Addition.txt FRST.txt
    • enotvkedah
      [РАСШИФРОВАНО] Вирус шифровальщик [paybackformistake@qq.com]
      От enotvkedah
      На компьютер прилетел вирус по rdp. Жесткий диск отформатировали, остались зашифрованные файлы с сетевых папок, до которых он смог дотянуться. Сможете помочь с расшифровкой?
      В архиве зашифрованный jpg-файл и htm-записка вымогателей. Пароль от архива: jd712
      crypted.rar
    • malex337
      [РАСШИФРОВАНО] hopeandhonest@smime.ninja[28A11195-F7636750]
      От malex337
      Получили такой вирус. hopeandhonest@smime.ninja[28A11195-F7636750] 
      Один из компьютеров на win764pro sp1, с обновлениями, с kes стандарт, попал этот шифровальщик. Убит полным удалением раздела.
      Хвост [28A11195-F7636750]  видно только с помощью freecommander или аналогов. 
      На других пк пока не обнаружилось. Сервер 2019 тоже молчит, но на древнем 2008 sp2 появились зашифрованные файлы.
      На него ничего не удается поставить из новых антивирусов, стоит kes 10.2.1.23 стандарт и даже не может обновляться, даже интернета на нем нет. 
      Файлы зашифрованные прилагаю, сам вирус не видно, файл с текстом от вымогателя есть с компьютера с windows 7, а на 2008 нет еще. Могу приложить, сохранил на флешке.
      Нужна помощь. 
      1. Можно ли расшифровать? Что делать чтобы сейчас его вылечить?
      2. Какие меры в будущем можно принять не только к двум описываемым пк, но и в целом, дайте, пожалуйста ссылку где можно прочитать.
      До этого kes убивал все на подлете. 
       
      Addition.txt FRST.txt rial1c_выгрузки.zip
    • Evgeny Sergeev
      Зашифровало zeppelin-ом
      От Evgeny Sergeev
      Друзья. приветствую!
      Пришла беда - вчера зашифровало всё что можно (и что нельзя).
      На компе стоял KAV, от него не осталось и следа - вырубили и снесли.
      В общем, хотелось бы как-то как-то расшифровать.
      Пароль на архивы - 111, кроме самого ZEPPELIN, на него пароль не удалось поставить, т.к. его грохает свежеустановленый каспер и я боюсь потерять шифратор безвозвратно, а так, может, при его наличии есть надежда на восстановление.
      В coded - пара закодированных фалов.
      Addition.rar coded.rar FRST.rar Zeppelin.rar !!! ALL YOUR FILES ARE ENCRYPTED !!!.TXT
×
×
  • Создать...