Перейти к содержанию

Рекомендуемые сообщения

Добрый день! 

У знакомых проникли на сервер 1С через подбор учетки по RDP.

Файлы (.doc, .xls, .pdf, .jpeg и т.д., а самое важное все базы 1С) зашифрованы. К названию и расширению файла добавлены "!_____GEKSOGEN911@GMAIL.COM____.c300".

Сделала проверку Dr.Web CureIT, Kaspersky Virus Removal Tools и Malwarebytes Anti-Malware. Нашлось 3 трояна, одно подозрение на вирус и еще что-то, в том числе файл, который скорее всего является либо шифратором, либо меткой для вредителей (принтскрин найденного Dr.Web во вложении).

Попробовала все существующие программы по раскодированию.

На этот момент знакомые успели списаться с теми. кто собственно проник (текст письма во вложении). 

Аналогичный запрос уже есть на форуме.

 

Помогите. пожалуйста.

 

ps попробовала восстановить через qphotorec - восстановилась лишь часть pdf и очень малая часть doc и xls.

Все осложняется тем, что backup(ы) не делались, учетки не контролировались. Касперский стоял, но сейчас он "таинственно" исчез (ключ есть), и когда он "исчез", никто сказать не может (администратор в отпуске и недоступен).

 

 

CollectionLog-2016.11.17-13.16.zip

post-42235-0-44082000-1479382831_thumb.jpg

переписка.txt

Пример файла с вирусом.rar

Ссылка на комментарий
Поделиться на другие сайты

 

 

Все осложняется тем, что backup(ы) не делались, учетки не контролировались. Касперский стоял, но сейчас он "таинственно" исчез (ключ есть), и когда он "исчез", никто сказать не может (администратор в отпуске и недоступен).

Ну что тут скажешь, не захотели уделить должное внимание резервному копированию важных данных и настройке сервера получайте по полной программе.

 

Для общего развития  https://1cloud.ru/help/windows/windowssecurity

 

Пишите запрос  https://forum.kasperskyclub.ru/index.php?showtopic=48525

Ссылка на комментарий
Поделиться на другие сайты

 

 

 

Все осложняется тем, что backup(ы) не делались, учетки не контролировались. Касперский стоял, но сейчас он "таинственно" исчез (ключ есть), и когда он "исчез", никто сказать не может (администратор в отпуске и недоступен).

Ну что тут скажешь, не захотели уделить должное внимание резервному копированию важных данных и настройке сервера получайте по полной программе.

 

Для общего развития  https://1cloud.ru/help/windows/windowssecurity

 

Пишите запрос  https://forum.kasperskyclub.ru/index.php?showtopic=48525

 

Спасибо.

Порты закрыты. учетки настроены.

Запрос написан.

Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
  • Похожий контент

    • Вадим666
      Автор Вадим666
      По рдп не пускает на сервер пишет Попытка входа неудачна
      это с компа на котором делали чистку с других пк на него заходит без проблем, с этого же компа на котором проводилась чистка на другие сервера заходит проблема
      Также при копировании пароля и вставки его в пароль РДП сам текст задваивается. Пример копируем пароль 123456 вставляем его в место пароля для рдп получаем 123456123456  
    • ratava
      Автор ratava
      Поймал шифровальщика, судя по подобным темам файлы расшифровать не получится, хотелось бы удалить его из системы и обойтись без переустановки, если такое возможно
      FRST.txt Addition.txt Shortcut.txt Desktop.zip
    • alexlaev
      Автор alexlaev
      Доброго бодрого, придя на работу в понедельник пришло осознание того что на сервере происходит что-то неладное, появились файлы с расширением .[nullhex@2mail.co].0C8D0E91
      Ничего не поняв, начал искать что могло произойти, один из компьютеров был подвержен атаке, в ночь с пятницы на субботу по местному времени в 3:30 утра 28.06.2025 было совершено подключение по RDP к данному компьютеру. После анализа действий программы Clipdiary (благо была установлена на компьютере) было выявлено что злоумышленник владеет всей информацией о паролях от сервера, пользователей, список пользователей в сети, и начал свою атаку глубже. Этот компьютер имел админку к серверу, поэтому злоумышленник без труда добрался до него и начал шифровать данные как и на двух других компьютерах. По итогу то ли то что злоумышленнику стало скучно, то ли из-за того что компьютер завис в этот момент (на часах было 10:03 29.06.2025 (я смотрел на время на экране уже на следующий день в понедельник 30.06.2025 в 11:30, поэтому обратил внимание сразу что время не совпадает и комп заблокирован и завис)) у злоумышленника доступ к серверу пропал, потому как по RDP только из локалки можно к нему цепляться. Файлы незначительные повреждены, но уже восстановлены из бэкапа(благо делается каждый день)
      А вот с компьютерами меньше повезло, три компа полностью зашифрованы. Прилагаю файлы и проверку в программе указанной в теме правил.
      vse tut.rar
    • primely
      Автор primely
      Добрый день. У меня сегодня взломали сервер  с 1С.  Все файлы зашифровались в .PE32S. Огромная просьба помочь с решением данной проблемы. Прикрепляю скрины с зашифрованными файлами. Во вложении несколько зашифрованных файлов и записка о выкупе в архиве без пароля, а также логи FRST.

      PE32S.rar
    • kocks33
      Автор kocks33
      Добрый день!
      На сервер проник шифровальщик. Зашифровал весь диск D, снял лицензию с сервера
      Можно ли как то расшифровать файлы. Помогите пожалуйста.


×
×
  • Создать...