Перейти к содержанию

Рекомендуемые сообщения

Товарищ на работе поймал  helps@tutanota.com. 

Позвали специалиста, он сказал что вылечить нельзя, сохранил папки с документами и базами 1С и переустановил систему.

Базы не открываются, бэкапы 1С - зашифрованы, система с вирусом уничтожена.

Можно ли дешифровать файлы если нет зараженной системы.

У меня есть доступ к машине через TeamViewer

WindowsServer 2012 R2 Standart x64

 

Можно чем-то помочь или все?

 
Ссылка на сообщение
Поделиться на другие сайты

Нет, не сохранились, но я нашел на D:\Windows.old\FRST\Logs

Похоже "специалист" что-то пытался сделать ... (он недоступен, телефон выключен, он из другого города и еще праздники).

 

Addition_28-05-2018 10.38.10.txt

FRST_28-05-2018 10.38.10.txt

Ссылка на сообщение
Поделиться на другие сайты

Это хуже.

Образцы зашифрованных файлов прикрепите в архиве к следующему сообщению.

Перечень предпочтительных файлов

C:\Users\backup\Downloads\helps@tutanota.com_4E4C20427275746520312E322E726172
C:\Users\Бухгалтер дет.сад\Documents\helps@tutanota.com_31323636346D313830352E646266
C:\Users\Бухгалтер дет.сад\Desktop\helps@tutanota.com_D0B0D0BFD180D0B5D0BBD18C2E786C73

 

Ссылка на сообщение
Поделиться на другие сайты

нашел в сохраненных с зараженного диска папках (поиск по маске "readme.hta") 1130 файлов, одинаковая дата, примерно одинаковое время создания, одинаковый размер.

readme-hta.rar

Ссылка на сообщение
Поделиться на другие сайты

странное дело, похоже на двойное шифрование - расшифровались только зашифрованные файлы нулевой длины, остальные - нет.

проверял на двух разных папках - тоже самое...

CryptConsoleDecrypter-log.txt

Ссылка на сообщение
Поделиться на другие сайты

Присланные Вами ранее файлы успешно расшифровались этим ключом.

 

Значит не все файлы README.hta были сохранены. Если есть и другие пострадавшие компьютеры, искать нужно и на них.

 

А пока пробуйте расшифровать информацию по максимуму имеющимся ключом.

Ссылка на сообщение
Поделиться на другие сайты

ничего полезного не дешифруется...

нашел еще readme.hta в сетевой папке.

высылаю несколько небольших файлов не поддающихся дешифрованию.

 


извините, моя ошибка....

я не подгружал ключевой файл, думал он сам подхватит, невнимательно прочел письмо...

запустил декриптор заново....

это надолго, отпишусь по завершению...

readme_hta2.rar

crypt.rar

Ссылка на сообщение
Поделиться на другие сайты

декодировались базы 1С и ее бэкапы, остальное уже не так критично, буду декодировать по мере необходимости.

 

ОГРОМНОЕ СПАСИБО ВАМ!

 

какие будут рекомендации по предупреждению подобного?

Изменено пользователем bigz
Ссылка на сообщение
Поделиться на другие сайты

пароли первым делом после переустановки всем поменяли, но виновника бы найти, в локалке зараженных машин нет - все проверили AVP Free, извне две учетки есть, где бы логи сесссий rdp посмотреть?

 

видел в похожих сообщениях - можно через avz проверить уязвимости - для MS Server 2012 R2 Standart это сработает ?

Изменено пользователем bigz
Ссылка на сообщение
Поделиться на другие сайты

Присоединяйтесь к обсуждению

Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.

Гость
Ответить в этой теме...

×   Вставлено с форматированием.   Вставить как обычный текст

  Разрешено использовать не более 75 эмодзи.

×   Ваша ссылка была автоматически встроена.   Отображать как обычную ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставлять изображения напрямую. Загружайте или вставляйте изображения по ссылке.

  • Похожий контент

    • От g0105
      Доброго дня, 29 мая 2018г. был взломан наш сервер Win2012r2 (все обновления на данную дату присутствуют), похоже по RDP. У пользователя был слишком легкий пароль. В логах видно кучу коннектов по RDP, похоже подбор пароля. RDP висел на нестандартном порту, но это не помешало))
       
      Прошу в помощи расшифровать файлы, файлы выглядят вот так:
      helps@tutanota.com_323242454B2E377A
      helps@tutanota.com_456E7679626F785F2E657865
      helps@tutanota.com_48505F456C697465626F6F6B5F32353430705F66756C6C5F62315F73315F76312E746962
      helps@tutanota.com_536C61636B53657475702E657865
      helps@tutanota.com_5468756D62732E6462
      helps@tutanota.com_77696E377836342D6F6E655F66756C6C5F62315F73315F76312E746962
      helps@tutanota.com_D09AD0B0D180D182D0B8D0BDD0BAD0B02E706E67
      и т.д.
       
      Предположение, что взлом именно по RDP потому-что файлы зашифрованные в папках доступных только этому пользователю.
      Также при обнаружении в диспетчере висел процесс DontSleep_p.exe который я сразу завершил, лежал файлик в документах текущего пользователя.

      Cнял логи)
×
×
  • Создать...