Перейти к содержанию
Где отпразднуем 16 лет клуба? На острове!
Задай вопрос Александру Горубнову!
Как попасть в «Лабораторию Касперского» за 1 день? Очень просто.

Заражены Hydra базы 1С. Похоже через RDP. Прошу помочь в лечении

Oleg S
 Share Подписчики 2

Рекомендуемые сообщения

Oleg S

Oleg S 0

Опубликовано
Опубликовано

Здравствуйте! 24/01/2022 в 19-41 переименованы и зашифрованы папки и многие программы на сервере 1С с доступом через RDP

Win2008 Server R2, базы файл-серверные. Обнаружено в 22часа того же дня.


Зашифрованы также архивы баз 1С на отдельном диске.
PDF файлы сканов в общедоступных папках, на которые передаются с МФУ остались целыми (не шифровались).

После лечения несколькими приложениями сервер подвис и не перезапустился. При загрузке ссылается на недоступность загрузочной записи. Похоже на проблемы рэйда. Диск с базами и диск с архивами вынуты и подключены к другому пк на Вин10.

Диск с исходными базами не копируется, часть его папок открыть можно легко, часть нет - при попытке скопировать или прочесть отсоединяется внешний диск.

Диск с зашифрованными архивами открывается и копируется штатно.

 

Логи с пк, на котором открывались диски сервера. Этот ПК не подвергался заражению-шифровке. Вирус к моменту потери работоспособности сервером был отловлен антивирусом и обезврежен.

 

Прошу помочь в расшифровке!


 

Addition.txt FRST.txt Downloads.zip

Ссылка на сообщение
Поделиться на другие сайты
Sandor

Sandor 991

Опубликовано
Опубликовано

Здравствуйте!

 

К сожалению, расшифровки этой версии вымогателя нет.

Поскольку логи собраны на другом компьютере, то и лечить нечего.

Ссылка на сообщение
Поделиться на другие сайты
Oleg S

Oleg S 0

Опубликовано
  • Автор
Опубликовано

Сан

3 часа назад, Sandor сказал:

Здравствуйте!

 

К сожалению, расшифровки этой версии вымогателя нет.

Поскольку логи собраны на другом компьютере, то и лечить нечего.

Сандор, а есть положительный опыт покупать расшифровку у авторов вируса?
- Они запросили оплату. Я спросил "расшифруют ли, если перенес базы на другой пк?" (исходный сервер не запустился после перезагрузки, диски подключил обычному персональному ПК). Ответили Да. Отправил три зашифрованных файла - получил их расшифрованными.

Ссылка на сообщение
Поделиться на другие сайты
Sandor

Sandor 991

Опубликовано
Опубликовано
2 часа назад, Oleg S сказал:

а есть положительный опыт покупать расшифровку у авторов вируса?

Есть много отрицательных примеров - https://www.safezone.cc/threads/shifrovalschik-stopencrypt-qq-com-adobe.32578/

Оплата вымогателям ничего не гарантирует и стимулирует их продолжать свое черное дело.

Ссылка на сообщение
Поделиться на другие сайты

Присоединяйтесь к обсуждению

Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.

Гость
Ответить в этой теме...

×   Вставлено с форматированием.   Вставить как обычный текст

  Разрешено использовать не более 75 эмодзи.

×   Ваша ссылка была автоматически встроена.   Отображать как обычную ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставлять изображения напрямую. Загружайте или вставляйте изображения по ссылке.

×
 Share
Подписчики 2
Перейти к списку тем

  • Похожий контент

    • Матулионис
      Словили шифровальщика ([hydrarans@yandex.com][ID=4EDD2082]config.sys.HYDRA)
      От Матулионис
      Добрый день, зашифрованы в основном документы Microsoft Office. Шифровальщик [hydrarans@yandex.com][ID=4EDD2082]*.HYDRA. Если есть возможность помочь, буду благодарен. Отдельно стоящий ПК в сети, подключения только по сети к одному ресурсу, содержащему только текстовые фалы. Был установлен  Касперский Ransomware Protection для бизнеса, успешно удален шифровальщиком). Дополнительно прикрепляю файл с журналом событий. Заранее спасибо.
      Addition.txt arhive.zip Events.zip FRST.txt
    • 70serg
      Шифровальщик [Miracle11@keemail.me][ID=ED401E20]***.HYDRA
      От 70serg
      17.02.2022 словил шифровальщик (по Касперскому как: Virus.Win32.Nesta.b) на компьютер по RDP
      Зашифровал все. Затронул 1 комп в сети. Есть подозрение на зараженный комп одного из клиентов, подключающегося по RDP
      Что делать для очистки системы от следов
      ?Addition.txt FRST.txt CryptedFiles.rar
    • Vityaserov
      Атака шифровальщиком [votrnb@gmail.com].*.HYDRA
      От Vityaserov
      Добрый вечер! Столкнулся с вирусом HYDRA  (25/01/2022г.)
      Зашифрованы все 1С,
      Прошу оказать помощь в расшифровке файлов.
      Файлы логов запакованы. 
      [votrnb@gmail.com]image-14-10-19-04-20-3.jpeg.rar Addition.zip FRST.zip
    • PavelBEAT
      Шифровщик [decrypterbtc@gmail.com][ID=B831D47D].HYDRA
      От PavelBEAT
      Здравствуйте!
      Неизвестное лицо подобрало пароль от RDP проникло на сервер, запустило ночью шифровальщик. Зашифровало базу 1С(бэкап есть) и файлопомойку(бэкапа нету). Просим помощи в расшифровке файлов. Логи не могу предоставить т.к. работодатель взбесился и позвал следственный комитет, а они изьяли жесткие диски.
      pack.zip
    • Игорь68
      поймал на сервере удаленных рабочих столов шифровальщика HIDRA 20.01.2022
      От Игорь68
      На сервер удаленных рабочих столов, вчера вечером, подключились запустили шифрование и отключились оставив висеть сеанс. Зашифровалось много. можно ли расшифровать ?
      С уважением, Горлицын Игорь.
      образцы файлов прилагаю.
      зашифровано.zip Addition.txt FRST.txt
×
×
  • Создать...