Перейти к содержанию

Шифровальщик [openpgp@foxmail.com].pgp и сервер 1С

Hagen
 Поделиться

Рекомендуемые сообщения

Hagen

Hagen

Опубликовано
Опубликовано

Здравствуйте.

06 мая 2020 года сервер 1С был атакован шифровальщиком. Заражены все актуальные базы 1С. На ПК  с 1С стоял антивирус Avira Security Free. На ПК двух пользователей - Kasperky Internet Security 20.0.14.1058(k), машины пользователей не заражены. 

Добавляет в конец файла id-ECEF4C81.[openpgp@foxmail.com].pgp

Нужна помощь в расшифровке.

CollectionLog-2020.06.10-09.34.zip report1.log report2.log readme.txt.id-ECEF4C81.[openpgp@foxmail.com].pgp

Sandor

Sandor

Опубликовано
Опубликовано

Здравствуйте!

 

Тип вымогателя Crysis или Dharma (.cezar Family), расшифровки нет.

Вы уверены, что заражен тот компьютер, с которого сняты логи?

 

Для верности дополнительно:

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе.
Когда программа запустится, нажмите Yes для соглашения с предупреждением.

Нажмите кнопку Scan.
После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве.
 

Hagen

Hagen

Опубликовано
  • Автор
Опубликовано

После заражения ПК ушел на цикличную перезагрузку. Был восстановлен из образа диска. Прилагаю результаты работы программы Farbar.

Addition.txt FRST.txt

Sandor

Sandor

Опубликовано
Опубликовано
55 минут назад, Hagen сказал:

Был восстановлен из образа диска

Надо было сразу об этом сообщить. Такие логи бесполезны.

 

Проверьте уязвимые места:

  • Загрузите SecurityCheck by glax24 & Severnyj, сохраните утилиту на Рабочем столе и извлеките из архива.
  • Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/8.1/10)
  • Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу
  • Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt
  • Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
  • Прикрепите этот файл к своему следующему сообщению.


 
LuxeonSl

LuxeonSl

Опубликовано
Опубликовано

самое интересное что есть человек который его уже дешифрует но за космические деньги

Sandor

Sandor

Опубликовано
Опубликовано
15 часов назад, LuxeonSl сказал:

самое интересное что есть человек который его уже дешифрует но за космические деньги

Посредники давно известны.

 

Сообщение от модератора Mark D. Pearlstone
Тема закрыта.
  • Mark D. Pearlstone закрыл тема
Гость
Эта тема закрыта для публикации ответов.
 Поделиться
Перейти к списку тем

  • Похожий контент

    • Treyandznak
      Шифровальщик на сервере
      Автор Treyandznak
      Добрый день подскажите у нас такая ситуация 
      вовремя отключили сервер 
      На сервер были найденый исходники запуска шифровальщика
      Папка с название keyforfiles
      2 зашифрованых файла

      https://dropmefiles.com/myAas
      Файл больше размера по этому файло обменник
      KeyForFiles.7z Файлы.rar
       
      Сообщение от модератора Mark D. Pearlstone Перемещено из темы.
    • dpk
      .1cxz шифровальщик на сервере.
      Автор dpk
      Ночью к серверу подключились по rdp. На рабочем столе обнаружились папки злоумышленника. Одна из них hi в ней лежал stub.exe. Все журналы событий были почищены.
      В безопасном режиме прошелся cureit, а так же лог FRST в безопасном режиме был сделан. Папка hi под паролем virus. Папка files под паролем shifr.
      hi.zip files.zip
    • Albina
      На сервер попал шифровальщик ((
      Автор Albina
      Добрый день. Словили шифровальщик. Помогите восстановить файлы. Бэкапов не делали((
      Анализ системы при помощи Farbar сделали. Архив с файлами прилагаем.
      С надеждой, Альбина
      Shortcut_23-04-2025 17.30.07.txt Logs.zip
    • luzifi
      шифровальщик инок на сервере
      Автор luzifi
      windows server 2019 standart 1809  зашифровано все. помогите с решением проблемы
       
      log.rar innok.rar
    • Akaruz
      Поймали шифровальщик на сервере
      Автор Akaruz
      Добрый день. Помогите пожалуйста, есть ли возможность расшифровать. Шифровальщик вроде BlackBit. В корне диска С: лежали еще 2 файла (я так понимаю они важны):
      Cpriv.BlackBit и Cpriv2.BlackBit - поместил их в отдельный архив, текст вымогальщика ниже:
       
      !!!All of your files are encrypted!!!
      To decrypt them send e-mail to this address: panda2024@cock.lu
      In case of no answer in 24h, send e-mail to this address: panda2024@cock.lu
      You can also contact us on Telegram: @Panda_decryptor
      All your files will be lost on 11 июля 2024 г. 17:29:46.
      Your SYSTEM ID : 46BC2737
      !!!Deleting "Cpriv.BlackBit" causes permanent data loss.
      Encrypted_files.zip FRST_LOGS.zip файлы_с_диска_С.zip
×
×
  • Создать...