Перейти к содержанию
Набор на стажировку в «Лабораторию Касперского»! Пробуй сам и зови друзей

Заражены Hydra базы 1С. Похоже через RDP. Прошу помочь в лечении

Oleg S
 Поделиться

Рекомендуемые сообщения

Oleg S Новичок

Oleg S

Опубликовано
Опубликовано

Здравствуйте! 24/01/2022 в 19-41 переименованы и зашифрованы папки и многие программы на сервере 1С с доступом через RDP

Win2008 Server R2, базы файл-серверные. Обнаружено в 22часа того же дня.


Зашифрованы также архивы баз 1С на отдельном диске.
PDF файлы сканов в общедоступных папках, на которые передаются с МФУ остались целыми (не шифровались).

После лечения несколькими приложениями сервер подвис и не перезапустился. При загрузке ссылается на недоступность загрузочной записи. Похоже на проблемы рэйда. Диск с базами и диск с архивами вынуты и подключены к другому пк на Вин10.

Диск с исходными базами не копируется, часть его папок открыть можно легко, часть нет - при попытке скопировать или прочесть отсоединяется внешний диск.

Диск с зашифрованными архивами открывается и копируется штатно.

 

Логи с пк, на котором открывались диски сервера. Этот ПК не подвергался заражению-шифровке. Вирус к моменту потери работоспособности сервером был отловлен антивирусом и обезврежен.

 

Прошу помочь в расшифровке!


 

Addition.txt FRST.txt Downloads.zip

Ссылка на комментарий
Поделиться на другие сайты
Sandor Мудрец

Sandor

Опубликовано
Опубликовано

Здравствуйте!

 

К сожалению, расшифровки этой версии вымогателя нет.

Поскольку логи собраны на другом компьютере, то и лечить нечего.

Ссылка на комментарий
Поделиться на другие сайты
Oleg S Новичок

Oleg S

Опубликовано
  • Автор
Опубликовано

Сан

3 часа назад, Sandor сказал:

Здравствуйте!

 

К сожалению, расшифровки этой версии вымогателя нет.

Поскольку логи собраны на другом компьютере, то и лечить нечего.

Сандор, а есть положительный опыт покупать расшифровку у авторов вируса?
- Они запросили оплату. Я спросил "расшифруют ли, если перенес базы на другой пк?" (исходный сервер не запустился после перезагрузки, диски подключил обычному персональному ПК). Ответили Да. Отправил три зашифрованных файла - получил их расшифрованными.

Ссылка на комментарий
Поделиться на другие сайты
Sandor Мудрец

Sandor

Опубликовано
Опубликовано
2 часа назад, Oleg S сказал:

а есть положительный опыт покупать расшифровку у авторов вируса?

Есть много отрицательных примеров - https://www.safezone.cc/threads/shifrovalschik-stopencrypt-qq-com-adobe.32578/

Оплата вымогателям ничего не гарантирует и стимулирует их продолжать свое черное дело.

Ссылка на комментарий
Поделиться на другие сайты
  • 2 года спустя...
Oleg S Новичок

Oleg S

Опубликовано
  • Автор
Опубликовано

Наш опыт выкупа тогда был положительным. Оплатили через криповалюту сумму, вдвое меньшую вначале ими озвученной и получили дешифровщик (альтернативы не было - ближайшая своя целая копия была давней, жаль было труда тех, кто вносил данные и "горела" отчетность - не успели бы отчитаться). Опробовал дешифровку на копии данных, - сработала, потом дешифровал саму папку с базами. Все получилось. Итог: перешли в облако и там и остались.

Ссылка на комментарий
Поделиться на другие сайты
  • safety закрыл тема
Гость
Эта тема закрыта для публикации ответов.
 Поделиться
Перейти к списку тем

  • Похожий контент

    • pZjQ
      [РЕШЕНО] NET.MALWARE.URL не удаляется прошу помочь
      Автор pZjQ
      Проверял через cureit, вирус не удаляется прошу помочь.cureit.zip
    • in-digp
      Прошу помочь с восстановлением запуска службы BFE
      Автор in-digp
      Здравствуйте!
       
      Прошу помочь с восстановлением запуска службы BFE
       
      https://support.kaspersky.ru/common/error/installation/11099#error5
       
      Данная инструкция не помогает, есть ли другие способы восстановления ?
       
       

    • Шевченко Максим
      Хапнули шифровальщика похоже через RDP, остался файл в корне диска *.hta
      Автор Шевченко Максим
      Сработал ночью в 5.50, на сервере стоял блок на пользователя при 3х попытках ввода пароля и блокировок по политике не было, но вирус затер все журналы винды до момента его отработки поэтому точно не могу сказать, остался *.hta файл может чем то поможет, но понимаю  чт Addition.txtо врятли. Стоял КЕС 12 эта бяка его снесла.
      FRST.txt Вирус.zip
    • Алексей_Кокарев
      Поймал шифровальщика E7M расширение... прошу помочь
      Автор Алексей_Кокарев
      В ночь на 2 февраля  на сервере зашифровано почти всё
      WindowsServer 2008 (64 разр)
      Скорее всего через терминальный доступ кто то прорвался...  
      Стандартная работа сервера, SQL,для 1С 7  и 1с-8
      Почтовая программа TheBat 10 версия.  На днях ставил 11 версию но молдаване "прокатили" - оплатить не возможно пришлось откатывать на старую версию. 
      Был установлен Касперский Small Office  (не помогло, но правда не помню был там или нет включен мониторинг активности..)
      Сейчас появился еще один диск (А) - написано зарезервировано системой (до заражения не было)

      И не зашифровал файлы архивы rar и zip.  Просто дописал к имени так же как и у зашифрованных, но убираешь эту приписку расширение. И архив рабочий открывается. Правда не всех.. на некоторых архив все таки повредил..
       
      E7M_отчет.rar E7M_файлы.rar
    • Bruce007
      Прошу помочь с расшифровкой файлов *.SYSDF
      Автор Bruce007
      Зараженные файлы.rar Здравствуйте! Подцепили вирус шифровальщик, я не очень разобрался как тему оформлять, пожалуйста, подскажите как систему проанализировать с помощью farbar, могу подсьединить жесткие диски к компьютеру с работоспособной системой (два жестких диска заражены)
      Прикладываю архив с тремя файлами - один - записка о том, как связаться и две зашифрованных скриншота
×
×
  • Создать...