Перейти к содержанию

Заражены Hydra базы 1С. Похоже через RDP. Прошу помочь в лечении

Oleg S
 Поделиться

Рекомендуемые сообщения

Oleg S

Oleg S

Опубликовано
Опубликовано

Здравствуйте! 24/01/2022 в 19-41 переименованы и зашифрованы папки и многие программы на сервере 1С с доступом через RDP

Win2008 Server R2, базы файл-серверные. Обнаружено в 22часа того же дня.


Зашифрованы также архивы баз 1С на отдельном диске.
PDF файлы сканов в общедоступных папках, на которые передаются с МФУ остались целыми (не шифровались).

После лечения несколькими приложениями сервер подвис и не перезапустился. При загрузке ссылается на недоступность загрузочной записи. Похоже на проблемы рэйда. Диск с базами и диск с архивами вынуты и подключены к другому пк на Вин10.

Диск с исходными базами не копируется, часть его папок открыть можно легко, часть нет - при попытке скопировать или прочесть отсоединяется внешний диск.

Диск с зашифрованными архивами открывается и копируется штатно.

 

Логи с пк, на котором открывались диски сервера. Этот ПК не подвергался заражению-шифровке. Вирус к моменту потери работоспособности сервером был отловлен антивирусом и обезврежен.

 

Прошу помочь в расшифровке!


 

Addition.txt FRST.txt Downloads.zip

Sandor

Sandor

Опубликовано
Опубликовано

Здравствуйте!

 

К сожалению, расшифровки этой версии вымогателя нет.

Поскольку логи собраны на другом компьютере, то и лечить нечего.

Oleg S

Oleg S

Опубликовано
  • Автор
Опубликовано

Сан

3 часа назад, Sandor сказал:

Здравствуйте!

 

К сожалению, расшифровки этой версии вымогателя нет.

Поскольку логи собраны на другом компьютере, то и лечить нечего.

Сандор, а есть положительный опыт покупать расшифровку у авторов вируса?
- Они запросили оплату. Я спросил "расшифруют ли, если перенес базы на другой пк?" (исходный сервер не запустился после перезагрузки, диски подключил обычному персональному ПК). Ответили Да. Отправил три зашифрованных файла - получил их расшифрованными.

Sandor

Sandor

Опубликовано
Опубликовано
2 часа назад, Oleg S сказал:

а есть положительный опыт покупать расшифровку у авторов вируса?

Есть много отрицательных примеров - https://www.safezone.cc/threads/shifrovalschik-stopencrypt-qq-com-adobe.32578/

Оплата вымогателям ничего не гарантирует и стимулирует их продолжать свое черное дело.

  • 2 года спустя...
Oleg S

Oleg S

Опубликовано
  • Автор
Опубликовано

Наш опыт выкупа тогда был положительным. Оплатили через криповалюту сумму, вдвое меньшую вначале ими озвученной и получили дешифровщик (альтернативы не было - ближайшая своя целая копия была давней, жаль было труда тех, кто вносил данные и "горела" отчетность - не успели бы отчитаться). Опробовал дешифровку на копии данных, - сработала, потом дешифровал саму папку с базами. Все получилось. Итог: перешли в облако и там и остались.

  • safety закрыл тема
Гость
Эта тема закрыта для публикации ответов.
 Поделиться
Перейти к списку тем

  • Похожий контент

    • Alex OSKS
      Словил шифровальщик. Прошу помочь.
      Автор Alex OSKS
      Добрый день! На нескольких серверах словил шифровальщик. Прошу помочь с расшифровкой , если есть такая возможность. Спасибо.
      Addition.txt FRST.txt VIRUS.rar
    • pZjQ
      [РЕШЕНО] NET.MALWARE.URL не удаляется прошу помочь
      Автор pZjQ
      Проверял через cureit, вирус не удаляется прошу помочь.cureit.zip
    • Bruce007
      Прошу помочь с расшифровкой файлов *.SYSDF
      Автор Bruce007
      Зараженные файлы.rar Здравствуйте! Подцепили вирус шифровальщик, я не очень разобрался как тему оформлять, пожалуйста, подскажите как систему проанализировать с помощью farbar, могу подсьединить жесткие диски к компьютеру с работоспособной системой (два жестких диска заражены)
      Прикладываю архив с тремя файлами - один - записка о том, как связаться и две зашифрованных скриншота
    • tkm
      [РЕШЕНО] Прошу помощи в лечении ПК
      Автор tkm
      Здравствуйте!
      Как было рекомендовано в разделе "Порядок оформления запроса о помощи" проверил ПК антивирусом, но скачать актуальную версию автоматического сборщика логов не дает McAffe (установлен был лет 5-6 назад). Удалял его обычными средствами, но видимо не получилось. 
      Пожалуйста подскажите, как решить проблему
    • in-digp
      Прошу помочь с восстановлением запуска службы BFE
      Автор in-digp
      Здравствуйте!
       
      Прошу помочь с восстановлением запуска службы BFE
       
      https://support.kaspersky.ru/common/error/installation/11099#error5
       
      Данная инструкция не помогает, есть ли другие способы восстановления ?
       
       

×
×
  • Создать...