Перейти к содержанию

Шифровальщик через rdp

mkozlenko
 Share

Рекомендуемые сообщения

mkozlenko Новичок

mkozlenko

Опубликовано
Опубликовано

Добрый день! 

У знакомых проникли на сервер 1С через подбор учетки по RDP.

Файлы (.doc, .xls, .pdf, .jpeg и т.д., а самое важное все базы 1С) зашифрованы. К названию и расширению файла добавлены "!_____GEKSOGEN911@GMAIL.COM____.c300".

Сделала проверку Dr.Web CureIT, Kaspersky Virus Removal Tools и Malwarebytes Anti-Malware. Нашлось 3 трояна, одно подозрение на вирус и еще что-то, в том числе файл, который скорее всего является либо шифратором, либо меткой для вредителей (принтскрин найденного Dr.Web во вложении).

Попробовала все существующие программы по раскодированию.

На этот момент знакомые успели списаться с теми. кто собственно проник (текст письма во вложении). 

Аналогичный запрос уже есть на форуме.

 

Помогите. пожалуйста.

 

ps попробовала восстановить через qphotorec - восстановилась лишь часть pdf и очень малая часть doc и xls.

Все осложняется тем, что backup(ы) не делались, учетки не контролировались. Касперский стоял, но сейчас он "таинственно" исчез (ключ есть), и когда он "исчез", никто сказать не может (администратор в отпуске и недоступен).

 

 

CollectionLog-2016.11.17-13.16.zip

post-42235-0-44082000-1479382831_thumb.jpg

переписка.txt

Пример файла с вирусом.rar

Ссылка на комментарий
Поделиться на другие сайты
mike 1 Мудрец

mike 1

Опубликовано
Опубликовано

 

 

Все осложняется тем, что backup(ы) не делались, учетки не контролировались. Касперский стоял, но сейчас он "таинственно" исчез (ключ есть), и когда он "исчез", никто сказать не может (администратор в отпуске и недоступен).

Ну что тут скажешь, не захотели уделить должное внимание резервному копированию важных данных и настройке сервера получайте по полной программе.

 

Для общего развития  https://1cloud.ru/help/windows/windowssecurity

 

Пишите запрос  https://forum.kasperskyclub.ru/index.php?showtopic=48525

Ссылка на комментарий
Поделиться на другие сайты
mkozlenko Новичок

mkozlenko

Опубликовано
  • Автор
Опубликовано

 

 

 

Все осложняется тем, что backup(ы) не делались, учетки не контролировались. Касперский стоял, но сейчас он "таинственно" исчез (ключ есть), и когда он "исчез", никто сказать не может (администратор в отпуске и недоступен).

Ну что тут скажешь, не захотели уделить должное внимание резервному копированию важных данных и настройке сервера получайте по полной программе.

 

Для общего развития  https://1cloud.ru/help/windows/windowssecurity

 

Пишите запрос  https://forum.kasperskyclub.ru/index.php?showtopic=48525

 

Спасибо.

Порты закрыты. учетки настроены.

Запрос написан.

Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Share
Перейти к списку тем

  • Похожий контент

    • xx3l
      Очередной .ooo4ps по ходу через RCE/RDP
      От xx3l
      Есть шансы порасшифровать?
       
      1. Явно подключались по RDP в процессе
      2. Почистили журналы Windows
      3. Что нехарактерно - часть файлов по маске .txt не зашифровали
      4. Ключ явно зависит от имени файла, но не от пути (есть 2 идентичных файла, в разных папках, с одинаковым шифртекстом)
      5. Явное шифрование блочным шифром.
      Encoded Samples.zip FRST.zip message.zip
    • seregalazerniy
      Выбивает пользователей, которые работают в 1С через RDP
      От seregalazerniy
      Есть ряд пользователей которые работают в 1С через RDP, на Win 10. Их периодически "выбивает" из сессии и происходит переподключение к серверу, бывает что на дню по 15 раз, а бывает и ни разу, в чем может быть причина?
      В логах пусто
      На данный момент порыскав по просторам интернета набрел на отключение в сервере автотюнинга
      netsh interface tcp set global autotuninglevel=disabled
      Не помогло
      Все компы подключены по локальной сети, и подключение происходит по ней. Впн не используем.
    • WL787878
      Шифровальщик
      От WL787878
      Key2030_Help.txt
      Здравствуйте. Возможно ли получить помощь в расшифровке файлов? Логи прилагаю.
      Addition.txt FRST.txt
    • Aleksandr63
      Шифровальщик just
      От Aleksandr63
      Здравствуйте! зашифровало всё
      Новая папка.7z FRST.txt
    • Irina4832
      Шифровальщик
      От Irina4832
      Помогите! Все файлы зашифровали, онлай определители типа шифровщика его не находят
      qbpBqR1L6.README.txt
×
×
  • Создать...