Перейти к содержанию

Заражены Hydra базы 1С. Похоже через RDP. Прошу помочь в лечении

Oleg S
 Поделиться

Рекомендуемые сообщения

Oleg S

Oleg S

Опубликовано
Опубликовано

Здравствуйте! 24/01/2022 в 19-41 переименованы и зашифрованы папки и многие программы на сервере 1С с доступом через RDP

Win2008 Server R2, базы файл-серверные. Обнаружено в 22часа того же дня.


Зашифрованы также архивы баз 1С на отдельном диске.
PDF файлы сканов в общедоступных папках, на которые передаются с МФУ остались целыми (не шифровались).

После лечения несколькими приложениями сервер подвис и не перезапустился. При загрузке ссылается на недоступность загрузочной записи. Похоже на проблемы рэйда. Диск с базами и диск с архивами вынуты и подключены к другому пк на Вин10.

Диск с исходными базами не копируется, часть его папок открыть можно легко, часть нет - при попытке скопировать или прочесть отсоединяется внешний диск.

Диск с зашифрованными архивами открывается и копируется штатно.

 

Логи с пк, на котором открывались диски сервера. Этот ПК не подвергался заражению-шифровке. Вирус к моменту потери работоспособности сервером был отловлен антивирусом и обезврежен.

 

Прошу помочь в расшифровке!


 

Addition.txt FRST.txt Downloads.zip

Sandor

Sandor

Опубликовано
Опубликовано

Здравствуйте!

 

К сожалению, расшифровки этой версии вымогателя нет.

Поскольку логи собраны на другом компьютере, то и лечить нечего.

Oleg S

Oleg S

Опубликовано
  • Автор
Опубликовано

Сан

3 часа назад, Sandor сказал:

Здравствуйте!

 

К сожалению, расшифровки этой версии вымогателя нет.

Поскольку логи собраны на другом компьютере, то и лечить нечего.

Сандор, а есть положительный опыт покупать расшифровку у авторов вируса?
- Они запросили оплату. Я спросил "расшифруют ли, если перенес базы на другой пк?" (исходный сервер не запустился после перезагрузки, диски подключил обычному персональному ПК). Ответили Да. Отправил три зашифрованных файла - получил их расшифрованными.

Sandor

Sandor

Опубликовано
Опубликовано
2 часа назад, Oleg S сказал:

а есть положительный опыт покупать расшифровку у авторов вируса?

Есть много отрицательных примеров - https://www.safezone.cc/threads/shifrovalschik-stopencrypt-qq-com-adobe.32578/

Оплата вымогателям ничего не гарантирует и стимулирует их продолжать свое черное дело.

  • 2 года спустя...
Oleg S

Oleg S

Опубликовано
  • Автор
Опубликовано

Наш опыт выкупа тогда был положительным. Оплатили через криповалюту сумму, вдвое меньшую вначале ими озвученной и получили дешифровщик (альтернативы не было - ближайшая своя целая копия была давней, жаль было труда тех, кто вносил данные и "горела" отчетность - не успели бы отчитаться). Опробовал дешифровку на копии данных, - сработала, потом дешифровал саму папку с базами. Все получилось. Итог: перешли в облако и там и остались.

  • safety закрыл тема
Гость
Эта тема закрыта для публикации ответов.
 Поделиться
Перейти к списку тем

  • Похожий контент

    • pZjQ
      [РЕШЕНО] NET.MALWARE.URL не удаляется прошу помочь
      Автор pZjQ
      Проверял через cureit, вирус не удаляется прошу помочь.cureit.zip
    • Bruce007
      Прошу помочь с расшифровкой файлов *.SYSDF
      Автор Bruce007
      Зараженные файлы.rar Здравствуйте! Подцепили вирус шифровальщик, я не очень разобрался как тему оформлять, пожалуйста, подскажите как систему проанализировать с помощью farbar, могу подсьединить жесткие диски к компьютеру с работоспособной системой (два жестких диска заражены)
      Прикладываю архив с тремя файлами - один - записка о том, как связаться и две зашифрованных скриншота
    • tkm
      [РЕШЕНО] Прошу помощи в лечении ПК
      Автор tkm
      Здравствуйте!
      Как было рекомендовано в разделе "Порядок оформления запроса о помощи" проверил ПК антивирусом, но скачать актуальную версию автоматического сборщика логов не дает McAffe (установлен был лет 5-6 назад). Удалял его обычными средствами, но видимо не получилось. 
      Пожалуйста подскажите, как решить проблему
    • in-digp
      Прошу помочь с восстановлением запуска службы BFE
      Автор in-digp
      Здравствуйте!
       
      Прошу помочь с восстановлением запуска службы BFE
       
      https://support.kaspersky.ru/common/error/installation/11099#error5
       
      Данная инструкция не помогает, есть ли другие способы восстановления ?
       
       

    • Алексей_Кокарев
      Поймал шифровальщика E7M расширение... прошу помочь
      Автор Алексей_Кокарев
      В ночь на 2 февраля  на сервере зашифровано почти всё
      WindowsServer 2008 (64 разр)
      Скорее всего через терминальный доступ кто то прорвался...  
      Стандартная работа сервера, SQL,для 1С 7  и 1с-8
      Почтовая программа TheBat 10 версия.  На днях ставил 11 версию но молдаване "прокатили" - оплатить не возможно пришлось откатывать на старую версию. 
      Был установлен Касперский Small Office  (не помогло, но правда не помню был там или нет включен мониторинг активности..)
      Сейчас появился еще один диск (А) - написано зарезервировано системой (до заражения не было)

      И не зашифровал файлы архивы rar и zip.  Просто дописал к имени так же как и у зашифрованных, но убираешь эту приписку расширение. И архив рабочий открывается. Правда не всех.. на некоторых архив все таки повредил..
       
      E7M_отчет.rar E7M_файлы.rar
×
×
  • Создать...