Перейти к содержанию

файлохранилище заражено Petya.A

Пабло Андреев

От Пабло Андреев
в Компьютерная помощь

 Share

Рекомендуемые сообщения

Пабло Андреев Новичок

Пабло Андреев

Опубликовано
Опубликовано

есть файлохранилище на виртуалке HyperV в кластере Windows 2012r2. К нему подвязан через iSCSI аппаратный NAS с RAID5 на борту

утром хранилка показала экран с черепом и post-49620-0-17516000-1524195679_thumb.jpg

на аппаратном NAS файлов нет. Корзина очищена. RSudio видит удаленные файлы. ДАННЫХ 6(ШЕСТЬ!!) ТБ.

как восстановить файлы, желательно с сохранением структуры папок и названием файлов?

Ссылка на комментарий
Поделиться на другие сайты
regist Корифей

regist

Опубликовано
Опубликовано

 

 


RSudio видит удаленные файлы. ДАННЫХ 6(ШЕСТЬ!!) ТБ. как восстановить файлы, желательно с сохранением структуры папок и названием файлов?
Вопросы по восстановлению удалённых файлов не имеют отношения к удалению вирусов. Переношу в другой раздел.
Ссылка на комментарий
Поделиться на другие сайты
Пабло Андреев Новичок

Пабло Андреев

Опубликовано
  • Автор
Опубликовано

понятия не имею кто конкретно это был. Гнусная малварь заела файлохранилку.

Стоит вопрос как восстановить файлы с сохранением структуры папок. Сейчас запустил Active File Recovery уже второй час сканит, уже 0,4% отсканил ((

Ссылка на комментарий
Поделиться на другие сайты
regist Корифей

regist

Опубликовано
Опубликовано

@andrew75, судя по скрину похож на Петю. А также MBR подменён, значит система не включается и нашими утилитами там делать нечего, поэтому и перенёс сюда.

Ссылка на комментарий
Поделиться на другие сайты
regist Корифей

regist

Опубликовано
Опубликовано

 

 


как восстановить файлы, желательно с сохранением структуры папок и названием файлов?
Для начала у вас разве хоть какая-то программа видит структуру папок и вообще разделы? У вас в теории таблица разделов должна быть пошифрована, так что сначала наверно надо будет восстанавливать таблицу разделов. И насчёт файлов из того что видит утилита пока восстановите хотя бы один. Посмотрите он вообще открывается?

И надеюсь до своих экспериментов вы отключили MBR ? А то система туда продолжает писать, а как следствие ваши шансы восстановить чем больше возитесь тем меньше будут.

Ссылка на комментарий
Поделиться на другие сайты
Пабло Андреев Новичок

Пабло Андреев

Опубликовано
  • Автор
Опубликовано

система загружена со StrelecPE, поэтому в MBR ничего не пишется.

Active File Recovery восстановил 115 гигов как LOST&Found. Данные открываются, но их мало, было 4 тера.

Сейчас сканирую UFS Explorer Professional Recovey.

Ссылка на комментарий
Поделиться на другие сайты
regist Корифей

regist

Опубликовано
Опубликовано

 

 


система загружена со StrelecPE, поэтому в MBR ничего не пишется.
В MBR наверняка не пишется, а вот на сам диск может писаться. Увы, загрузка Live CD отнюдь не панецея вопреки популярному мнению, при загрузке с некоторых на диск всё равно пишется.

 

 


Active File Recovery восстановил 115 гигов как LOST&Found. Данные открываются, но их мало, было 4 тера. Сейчас сканирую UFS Explorer Professional Recovey.
Попробуйте dmde, r.studio, r.saver.

 

И вы проверяли у вас файлы точно зашифрованы? Петя отрабатывает в два этапа, если второй этап прервать, то файлы могут быть целыми.

Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Share
Перейти к списку тем

  • Похожий контент

    • Oleg S
      Заражены Hydra базы 1С. Похоже через RDP. Прошу помочь в лечении
      От Oleg S
      Здравствуйте! 24/01/2022 в 19-41 переименованы и зашифрованы папки и многие программы на сервере 1С с доступом через RDP
      Win2008 Server R2, базы файл-серверные. Обнаружено в 22часа того же дня.

      Зашифрованы также архивы баз 1С на отдельном диске.
      PDF файлы сканов в общедоступных папках, на которые передаются с МФУ остались целыми (не шифровались).
      После лечения несколькими приложениями сервер подвис и не перезапустился. При загрузке ссылается на недоступность загрузочной записи. Похоже на проблемы рэйда. Диск с базами и диск с архивами вынуты и подключены к другому пк на Вин10.
      Диск с исходными базами не копируется, часть его папок открыть можно легко, часть нет - при попытке скопировать или прочесть отсоединяется внешний диск.
      Диск с зашифрованными архивами открывается и копируется штатно.
       
      Логи с пк, на котором открывались диски сервера. Этот ПК не подвергался заражению-шифровке. Вирус к моменту потери работоспособности сервером был отловлен антивирусом и обезврежен.
       
      Прошу помочь в расшифровке!

       
      Addition.txt FRST.txt Downloads.zip
    • Владимир Kurkur
      Компьютер заражен Reedemer ransomware
      От Владимир Kurkur
      Здравствуйте!
      После включения компьютера высветилось сообщение, что компьютер заражен Redeemer ransomware с требованием выкупа и кнопкой ОК под ним.
      Проверка КРД не выявила вирус.
      Также во время проверки было выявлено, что зашифрованные файлы имеют расширение .redeem.
      Что Вы посоветуете в данной ситуации?
      Также хотелось бы узнать (я понимаю, что это глупый вопрос) стоит ли нажимать на кнопку ОК под сообщением?
      Ниже представлена ссылка на фото экрана:
      https://photos.app.goo.gl/kMUa4c6kYxUjzd2f7
      С уважением Владимир
×
×
  • Создать...