Перейти к содержанию

Рекомендуемые сообщения

Опубликовано

Шифровщик Стартонул и ломанул все - бэкапы были акроним зашифрованном разделе  - и те удалило !

Помогите восстановить хоть один файл бекапа системы!

 

 

Decrypting your files is easy. Take a deep breath and follow the steps below. 

 

1 ) Make the proper payment. 
Payments are made in Monero. This is a crypto-currency, like bitcoin.
You can buy Monero, and send it, from the same places you can any other
crypto-currency. If you're still unsure, google 'monero exchange'. 
 
Sign up at one of these exchange sites and send the payment to the address below.
 
Payment Address (Monero Wallet): 
 
87ZAuEY2UbsaW8u4juM6J7Pr74HAQLeESHycWNzT9nhML4MkqHaLy9fQMGKQRCzKiJS7e6h8BDSaHHsiJd9hLtHRKVhpKgi
 
2 ) Farther you should send your ip address to email address name4v@keemail.me
Then you will receive all necessary key. 
 
Prices :
Days : Monero : Offer Expires 
0-2 : 600$ :  13/01/2020 
3-6 : 1000$ : 17/01/2020
 
Note: In 7 days your password decryption key gets permanently deleted. 
You then have no way to ever retrieve your files. So pay now.

Addition.txt

FRST.txt

DECRIPT_FILES.txt

Опубликовано

Пример зашифрованного файла прикрепите в архиве к следующему сообщению

Опубликовано

Пока даже неясно, что это за шифровальщик.

Опубликовано

Вероятно у Вас https://id-ransomware.blogspot.com/2018/02/creeper-ransomware.html

 

С расшифровкой помочь не сможем, а возможности вирлаба нам неведомы.

При наличии действующей лицензии на любой из продуктов компании создайте запрос

Опубликовано

Вот что в итоге получил от хакеров после оплаты ! 


All files are encrypted by the openssl utility. Your password for decryption ____________

Command for decryption

openssl.exe enc -d -aes-256-cbc -salt -k _____________ -in file.doc.rag2hdst -out file.doc

 

Пришлось заплатить!


И совет по безопасности - 

 

 

!!!Be sure to fix it!!!

Delete the administration of the 1C server from the external network, port: 1540! Delete all test databases from the 1C server! Hide all 1c users so that they enter their logins manually and set very complex passwords. Replace the service account with an account without administrator rights!
Configure the security profile on the 1C server. Set the Server Administrator 1C

https://its.1c.ru/db/metod8dev/content/5816/hdoc

Опубликовано

Т.е. они предлагают каждый файл дешифровывать по отдельности, а ключ состоит только из символов подчеркивания?

Опубликовано

Я Ключ вычеркнул ! А для расшифровки они дают комплекс - один ексешник - запуская который все восстанавливаешься в течении пары часов

Каждому файлу пароль уже прописан внутри скрипта


Могу на почту отправить все с ключом включая екзешник ! для расследования 

  • 3 недели спустя...
Опубликовано

Мы были рады Вам помочь!
Надеемся, что Вы остались довольны результатом.
На нашем форуме также можно получить компьютерную помощь, помощь по продуктам "Лаборатории Касперкого", обсудить компьютерные технологии, заказать эксклюзивную сувенирную продукцию "Лаборатории Касперского" бесплатно!
Форумчане ежегодно путешествуют. В числе приглашенных в ТурциюАрмениюСочиКамбоджу можете стать и Вы!
Будем рады видеть Вас в наших рядах!
Всегда ваш, фан-клуб "Лаборатории Касперского".

Гость
Эта тема закрыта для публикации ответов.
  • Похожий контент

    • Pospelovdima
      Автор Pospelovdima
      Подхватил заразу a38261062@gmail.com ooo4ps  может есть у кого решение ?
    • Dorark
      Автор Dorark
      Здравствуйте!
      Такая же проблема. 26.04.2020 г. на сервере обнаружили, что подцепили вирус вымогатель. Перестал работать 1с, SQL. На файлах резервных копий sql и еще на некоторых файлах появилось расширение .rag2hdst . В каждой папке появился файл DECRIPT_FILES.TXT. Прилагаю логи FRST, DECRIPT_FILES.TXT и зашифрованный файл. 
      Addition.txt cache.1CD.rag2hdst DECRIPT_FILES.txt FRST.txt
       
      Сообщение от модератора Mark D. Pearlstone Перемещено из темы.  
    • rokhaund
      Автор rokhaund
      Здравствуйте! Вчера на сервере с базами 1С, dr.web нашел и убил вирус. После чего обнаружил что все базы 1с зашифрованы и имеют расширение rag2hdst. В каждой папке лежит файлик DECRIPT_FILES.txt В котором естественно просят денег. Зашифрованный файл прикрепил к сообщению. Так же файлик с логами...
      Подскажите пожалуйста, реально ли расшифровать файлы?
      Спасибо...
    • Okay
      Автор Okay
      Зашифровали сервер 1С на базе Windows Server 2019 Standard, все обновления стоят.
      Доступа по RDP нет, сервер 1С открытыми портами в интернет не светит.
      Почитав аналогичные темы, понял, что взломали через пользователя USR1CV83 (хотя в системе ему было задано другое имя).
      Примерное время взлома: 08.06.25 03:00 МСК. После шифрования все следы шифровальщика были удалены, системные журналы очищены, сервер выключен.
      Поиск по временным папкам ничего не дал. Elcomsoft Forensic Disk Decryptor тоже не помог.
      На восстановление файлов не надеюсь, восстановим из имеющихся резервных копий.
      Вопрос в том, каков именно механизм взлома и как защититься от подобного в будущем?
      Пользователь USR1CV83 был назван по-другому, пароль задан сложный, админские права ему нужны для корректной работы.
       
      FRST.txt Addition.txt FILES_ENCRYPTED.zip
    • h1b1
      Автор h1b1
      Добрый день , были зашифрованы файлы с расширение ooop4s и диск залочили bitlocker 
      oc windows server 2019 standard
      заранее спасибо за помощь
      Addition.txt FILES_ENCRYPTED.txt FRST.txt files.rar
×
×
  • Создать...