-
Похожий контент
-
Автор mkozlenko
Добрый день!
У знакомых проникли на сервер 1С через подбор учетки по RDP.
Файлы (.doc, .xls, .pdf, .jpeg и т.д., а самое важное все базы 1С) зашифрованы. К названию и расширению файла добавлены "!_____GEKSOGEN911@GMAIL.COM____.c300".
Сделала проверку Dr.Web CureIT, Kaspersky Virus Removal Tools и Malwarebytes Anti-Malware. Нашлось 3 трояна, одно подозрение на вирус и еще что-то, в том числе файл, который скорее всего является либо шифратором, либо меткой для вредителей (принтскрин найденного Dr.Web во вложении).
Попробовала все существующие программы по раскодированию.
На этот момент знакомые успели списаться с теми. кто собственно проник (текст письма во вложении).
Аналогичный запрос уже есть на форуме.
Помогите. пожалуйста.
ps попробовала восстановить через qphotorec - восстановилась лишь часть pdf и очень малая часть doc и xls.
Все осложняется тем, что backup(ы) не делались, учетки не контролировались. Касперский стоял, но сейчас он "таинственно" исчез (ключ есть), и когда он "исчез", никто сказать не может (администратор в отпуске и недоступен).
CollectionLog-2016.11.17-13.16.zip
переписка.txt
Пример файла с вирусом.rar
-
Автор vadimvadim
Добрый день, взломали по rdp, два раза ПК блокировался, после входа уже все было зашифровано, антивирус отключен, восстановление файлов отключено, диск на 100 % грузил процесс Stub.exe из папки на рабочем столе 3165CCC2798D9F4D, помимо этого была установлена программа advanced_ip_scaner(в день взлома, до этого не было ее). Что было сделано на панике: процесс Stub.exe прерван, восстановлен антивирус, удалена папка 3165CCC2798D9F4D с рабочего стола, антивирус позже нашел вирус Trojan:Win32/CriptInject в папке C:\Users\user\Pictures\24122024\5-NS new.exe и ещё один Trojan:Win32/Fragtor!AMTB в папках C:\Users\user\Pictures\24122024\3165CCC2798D9F4D\Win32-Release\Stub.exe и C:\Users\user\Pictures\24122024\3165CCC2798D9F4D\x64-Release\Stub.exe , папки 24122024 и 3165CCC2798D9F4D удалены. Полная проверка антивируса(стандартный win10) не дала больше результатов, архивы делались через "Архивация и восстановление"(Windows 7), при открытии папки всё оказалось тоже зашифровано. Во вложении логи анализа системы при помощи Farbar Recovery Scan Tool, два небольших файла зашифрованных, текстовый файл о выкупе который был во всех папках. Пароль virus
Шифровали именно зайдя по RDP, первый раз какая то папка была открыта, второй раз службы - самостоятельно их не открывали), почему так случилось понятно, главный вопрос можно ли расшифровать за вменяемые деньги? Из критичных данных базы 1с и немного файлов ворд/эксель. С шифраторами еще не связывался.
Desktop.zip
-
Автор tr01
Добрый день
Подскажите, пожалуйста, сможете ли вы помочь в ситуации, если сервер в зломали и упаковали файлы в архив rar?После этого был Backdoor, но вроде бы уже удален антивирусом, восстановить файлы с диска не получается (затерты архивами).
Addition.txt FRST.txt отчет.txt пароль к архиву - копия (72) — копия — копия.txt
-
Автор ToRaMoSoV
Здравствуйте, сегодня утром обнаружил, что мой компьютер с windows 10 был атакован вирусом шифровальщиком. Главная учётная запись (админ) была основной для использования удалённого управления через rdp. Я пробросив порт через роутер и купив статику, попал под брутфорс. Меня взломали в течении пары часов(атака началась в 23 по мск, а закончилась в 1-2 часу). По результатам которой все файлы были зашифрованы, службы виндовс отключены, а пароль от админки утерян. На рабочем столе учетки юзера я обнаружил записку (фото приложил). Также прикладываю фото файла. Архив и сам вирус я не обнаружил (читал похожие случаи)
l!lAll of your files are encrypted!!! To decrypt them send e-mail to this address: Write the ID in the email subject
ID: A6D959082E20B73AC6B59F6EBB230948
Email 1: reopening2025@gmail.com Telegram: @Rdp21
To ensure decryption you can send 1-2 files less than 1MB we will de
We have backups of all your files. If you dont pay us we will sell a and place them in the dark web with your companys domain extension.
IF 48 HOURS PASS WITHOUT YOUR ATTENTION, BRACE YOURSELF FOR A DOUBLE WE DON'T PLAY AROUND HERE, TAKE THE HOURS SERIOUSLY.
-
Автор xx3l
Есть шансы порасшифровать?
1. Явно подключались по RDP в процессе
2. Почистили журналы Windows
3. Что нехарактерно - часть файлов по маске .txt не зашифровали
4. Ключ явно зависит от имени файла, но не от пути (есть 2 идентичных файла, в разных папках, с одинаковым шифртекстом)
5. Явное шифрование блочным шифром.
Encoded Samples.zip FRST.zip message.zip
-
Рекомендуемые сообщения
Пожалуйста, войдите, чтобы комментировать
Вы сможете оставить комментарий после входа в
Войти