Kolich.d Опубликовано 23 июня, 2017 Опубликовано 23 июня, 2017 Здравствуйте. Ситуация следующая: сейчас работал по RDP с 1С, случайно увидел, что недавно созданные мной папки исчезли. Потом, запустив диспетчер задач, увидел что подключен еще один пользователь по RDP (заведомо зная, что никто в это время не может подключиться, т.к. у нас ночь), зайдя в папку с базами 1С увидел созданный архив 7z с названием папки где лежат базы 1С, также в запущенных процессах увидел 7-ZIP GUI у пользователя-злоумышленника, тут-же его завершил и завершил сеанс злоумышленника. В результате его действий имеем огромный запароленый архив с базами 1С. В настройках сжатия видимо злоумышленник поставил настройку удалять файлы после сжатия. Выдернуть из этого архива файлы можно, но естественно зашифрованые методом Copy7z AES:19. Думаю процесс шифрования до конца не дошел. Может быть есть какаой-либо способ расшифровать файлы? Прошу помощи. Буду очень признателен. Прилагаю маленькие зашифрованные файлы. Даже не знаю к какой ветке эту тему отнести. Спасибо.
andrew75 Опубликовано 23 июня, 2017 Опубликовано 23 июня, 2017 Бэкапы и теневые копии, если что-то из этого есть. Возможно восстановление удаленных файлов. Подобрать пароль на архив думаю безнадежно.
Kolich.d Опубликовано 24 июня, 2017 Автор Опубликовано 24 июня, 2017 (изменено) Бэкапы и теневые копии, если что-то из этого есть. Возможно восстановление удаленных файлов. Подобрать пароль на архив думаю безнадежно. Бэкапы трехмесячной давности, данных много. Теневых копий нет. Восстановление ничего не находит. Изменено 24 июня, 2017 пользователем Kolich.d
Soft Опубликовано 24 июня, 2017 Опубликовано 24 июня, 2017 @Kolich.d, для начало если вы ещё этого не сделали, то поменяйте пароли на учетных записях и я бы попробовал восстановить удалённые данные с помощью утилит восстановления.
Kolich.d Опубликовано 24 июня, 2017 Автор Опубликовано 24 июня, 2017 (изменено) @Kolich.d, для начало если вы ещё этого не сделали, то поменяйте пароли на учетных записях и я бы попробовал восстановить удалённые данные с помощью утилит восстановления. Спасибо за совет, пароли конечно сменили. Гонял R-Studio и GetDataBack, не находят в удаленных. А перемещенный в архив файл считается удаленным, т.е. утилита восстановления считает его удаленным? Может посоветуете еще какую-нибудь толковую утилиту восстановления. Изменено 24 июня, 2017 пользователем Kolich.d
Рекомендуемые сообщения
Пожалуйста, войдите, чтобы комментировать
Вы сможете оставить комментарий после входа в
Войти