Перейти к содержанию
19 лет клубу! Встречаемся в офисе «Лаборатории Касперского»

Зашифрованы файлы 1С (не троянцем, а архиватором 7z с шифрованием)

Kolich.d

Автор Kolich.d
в Компьютерная помощь

 Поделиться

Рекомендуемые сообщения

Kolich.d

Kolich.d

Опубликовано
Опубликовано

Здравствуйте.

Ситуация следующая: сейчас работал по RDP с 1С, случайно увидел, что недавно созданные мной папки исчезли. Потом, запустив диспетчер задач, увидел что подключен еще один пользователь по RDP (заведомо зная, что никто в это время не может подключиться, т.к. у нас ночь), зайдя в папку с базами 1С увидел созданный архив 7z с названием папки где лежат базы 1С, также в запущенных процессах увидел 7-ZIP GUI  у пользователя-злоумышленника, тут-же его завершил и завершил сеанс злоумышленника. В результате его  действий имеем огромный запароленый архив с базами 1С. В настройках сжатия видимо злоумышленник поставил настройку удалять файлы после сжатия. Выдернуть из этого архива файлы можно, но естественно зашифрованые методом Copy7z AES:19. Думаю процесс шифрования до конца не дошел. Может быть есть какаой-либо способ расшифровать файлы? 

Прошу помощи. Буду очень признателен.

Прилагаю маленькие зашифрованные файлы.

Даже не знаю к какой ветке эту тему отнести.

 

Спасибо.

Ссылка на комментарий
Поделиться на другие сайты
andrew75

andrew75

Опубликовано
Опубликовано

Бэкапы и теневые копии, если что-то из этого есть.

Возможно восстановление удаленных файлов.

Подобрать пароль на архив думаю безнадежно.

Ссылка на комментарий
Поделиться на другие сайты
Kolich.d

Kolich.d

Опубликовано
  • Автор
Опубликовано (изменено)

Бэкапы и теневые копии, если что-то из этого есть.

Возможно восстановление удаленных файлов.

Подобрать пароль на архив думаю безнадежно.

Бэкапы трехмесячной давности, данных много. Теневых копий нет.

Восстановление ничего не находит. 

Изменено пользователем Kolich.d
Ссылка на комментарий
Поделиться на другие сайты
Soft

Soft

Опубликовано
Опубликовано
@Kolich.d, для начало если вы ещё этого не сделали, то поменяйте пароли на учетных записях и я бы попробовал восстановить удалённые данные с помощью утилит восстановления.
Ссылка на комментарий
Поделиться на другие сайты
Kolich.d

Kolich.d

Опубликовано
  • Автор
Опубликовано (изменено)

@Kolich.d, для начало если вы ещё этого не сделали, то поменяйте пароли на учетных записях и я бы попробовал восстановить удалённые данные с помощью утилит восстановления.

Спасибо за совет, пароли конечно сменили. Гонял R-Studio и GetDataBack, не находят в удаленных. А перемещенный в архив файл считается удаленным, т.е. утилита восстановления считает его удаленным? Может посоветуете еще какую-нибудь толковую утилиту восстановления.

Изменено пользователем Kolich.d
Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Поделиться
Перейти к списку тем

  • Похожий контент

    • CredoLin
      Шифрование виртуалок и рабочих станций
      Автор CredoLin
      Здравствуйте!
       
      В ночь произошел инцидент, в котором выяснилось, что кто-то смог авторизоваться с помощью учетной записи Kaspersky, подобрать пароль от машин VMWare и зашифровать виртуальные машины, а также содержимое файловых систем.
      Файл с требованиями находится внутри архива.
      Доступ по RDP есть к этим виртуальным машинам есть. Сейчас отключено RDP.
       
      ИИ намекнул, что, возможно, это ALPHV, LockBit или BlackMatter.
       
      Прошу помочь в определении шифровальщика и возможность дешифровки.
       
      зашифрованные файлы.zip FRST.txt Addition.txt
    • Lingon
      Файлы зашифрованы с расширением .ant_dec
      Автор Lingon
      files.rarAddition.txt
      FRST.txt
    • Evgeniy Alekseevich
      Файлы зашифрованы, расширение файлов helpo2, как расшифровать ?
      Автор Evgeniy Alekseevich
      05 августа , судя по датам файлов, на нашем сервере был запущен шифровальщик, кем и как пока выясняем, но сегодня утром я обнаружил зашифрованы практически все файлы.
      Файлы имеют расширение helpo2.
      Может кто сталкивался и сможет помочь ?
      Связались с вымогателями, они для примера расшифровали два файла, я вложил в архив два зашифрованных и они же расшифрованные . Там же письмо, которое они оставили.
      Также прикладываю файлы от  Farbar Recovery Scan Tool.
      Может кто сможет помочь....
      С Уважением, Евгений.
       
       
      Addition.txt FRST.txt НаборФайлов5шт.zip
    • SatanicPanzer
      Файлы зашифрованы с расширением Encrypted
      Автор SatanicPanzer
      Скорее всего проник через почту на сервер небольшой фирмы, файлы и логи прикрепляю
      FRST.txt 1.zip
    • MirTa
      Троян ISTANBULTEAM зашифровал файлы
      Автор MirTa
      Здравствуйте, вчера в два этапа  10.00 и  20.00 оказались зашифрованы почти все файлы, в том числе и архиватор, поэтому не могу сложить в архив и не могу их прикрепить, подскажите, пожалуйста, как их сюда добавить
      Important_Notice.txt Addition.txt FRST.txt
×
×
  • Создать...