hydra Заражены Hydra базы 1С. Похоже через RDP. Прошу помочь в лечении

[Oleg S]

Здравствуйте! 24/01/2022 в 19-41 переименованы и зашифрованы папки и многие программы на сервере 1С с доступом через RDP

Win2008 Server R2, базы файл-серверные. Обнаружено в 22часа того же дня.

Зашифрованы также архивы баз 1С на отдельном диске.
PDF файлы сканов в общедоступных папках, на которые передаются с МФУ остались целыми (не шифровались).

После лечения несколькими приложениями сервер подвис и не перезапустился. При загрузке ссылается на недоступность загрузочной записи. Похоже на проблемы рэйда. Диск с базами и диск с архивами вынуты и подключены к другому пк на Вин10.

Диск с исходными базами не копируется, часть его папок открыть можно легко, часть нет - при попытке скопировать или прочесть отсоединяется внешний диск.

Диск с зашифрованными архивами открывается и копируется штатно.

 

Логи с пк, на котором открывались диски сервера. Этот ПК не подвергался заражению-шифровке. Вирус к моменту потери работоспособности сервером был отловлен антивирусом и обезврежен.

 

Прошу помочь в расшифровке!

 

Addition.txt FRST.txt Downloads.zip

[Sandor]

Здравствуйте!

 

К сожалению, расшифровки этой версии вымогателя нет.

Поскольку логи собраны на другом компьютере, то и лечить нечего.

[Oleg S]

Сан

3 часа назад, Sandor сказал:

Здравствуйте!

 

К сожалению, расшифровки этой версии вымогателя нет.

Поскольку логи собраны на другом компьютере, то и лечить нечего.

Сандор, а есть положительный опыт покупать расшифровку у авторов вируса?
- Они запросили оплату. Я спросил "расшифруют ли, если перенес базы на другой пк?" (исходный сервер не запустился после перезагрузки, диски подключил обычному персональному ПК). Ответили Да. Отправил три зашифрованных файла - получил их расшифрованными.

[Sandor]

2 часа назад, Oleg S сказал:

а есть положительный опыт покупать расшифровку у авторов вируса?

Есть много отрицательных примеров - https://www.safezone.cc/threads/shifrovalschik-stopencrypt-qq-com-adobe.32578/

Оплата вымогателям ничего не гарантирует и стимулирует их продолжать свое черное дело.

[Oleg S]

Наш опыт выкупа тогда был положительным. Оплатили через криповалюту сумму, вдвое меньшую вначале ими озвученной и получили дешифровщик (альтернативы не было - ближайшая своя целая копия была давней, жаль было труда тех, кто вносил данные и "горела" отчетность - не успели бы отчитаться). Опробовал дешифровку на копии данных, - сработала, потом дешифровал саму папку с базами. Все получилось. Итог: перешли в облако и там и остались.

[Sandor]

Значит вам просто повезло.