Перейти к содержанию

Заражены Hydra базы 1С. Похоже через RDP. Прошу помочь в лечении

Oleg S
 Share Подписчики 2

Рекомендуемые сообщения

Oleg S

Oleg S 0

Опубликовано
Опубликовано

Здравствуйте! 24/01/2022 в 19-41 переименованы и зашифрованы папки и многие программы на сервере 1С с доступом через RDP

Win2008 Server R2, базы файл-серверные. Обнаружено в 22часа того же дня.


Зашифрованы также архивы баз 1С на отдельном диске.
PDF файлы сканов в общедоступных папках, на которые передаются с МФУ остались целыми (не шифровались).

После лечения несколькими приложениями сервер подвис и не перезапустился. При загрузке ссылается на недоступность загрузочной записи. Похоже на проблемы рэйда. Диск с базами и диск с архивами вынуты и подключены к другому пк на Вин10.

Диск с исходными базами не копируется, часть его папок открыть можно легко, часть нет - при попытке скопировать или прочесть отсоединяется внешний диск.

Диск с зашифрованными архивами открывается и копируется штатно.

 

Логи с пк, на котором открывались диски сервера. Этот ПК не подвергался заражению-шифровке. Вирус к моменту потери работоспособности сервером был отловлен антивирусом и обезврежен.

 

Прошу помочь в расшифровке!


 

Addition.txt FRST.txt Downloads.zip

Ссылка на сообщение
Поделиться на другие сайты
Sandor

Sandor 1 253

Опубликовано
Опубликовано

Здравствуйте!

 

К сожалению, расшифровки этой версии вымогателя нет.

Поскольку логи собраны на другом компьютере, то и лечить нечего.

Ссылка на сообщение
Поделиться на другие сайты
Oleg S

Oleg S 0

Опубликовано
  • Автор
Опубликовано

Сан

3 часа назад, Sandor сказал:

Здравствуйте!

 

К сожалению, расшифровки этой версии вымогателя нет.

Поскольку логи собраны на другом компьютере, то и лечить нечего.

Сандор, а есть положительный опыт покупать расшифровку у авторов вируса?
- Они запросили оплату. Я спросил "расшифруют ли, если перенес базы на другой пк?" (исходный сервер не запустился после перезагрузки, диски подключил обычному персональному ПК). Ответили Да. Отправил три зашифрованных файла - получил их расшифрованными.

Ссылка на сообщение
Поделиться на другие сайты
Sandor

Sandor 1 253

Опубликовано
Опубликовано
2 часа назад, Oleg S сказал:

а есть положительный опыт покупать расшифровку у авторов вируса?

Есть много отрицательных примеров - https://www.safezone.cc/threads/shifrovalschik-stopencrypt-qq-com-adobe.32578/

Оплата вымогателям ничего не гарантирует и стимулирует их продолжать свое черное дело.

Ссылка на сообщение
Поделиться на другие сайты
  • 2 years later...
Oleg S

Oleg S 0

Опубликовано
  • Автор
Опубликовано

Наш опыт выкупа тогда был положительным. Оплатили через криповалюту сумму, вдвое меньшую вначале ими озвученной и получили дешифровщик (альтернативы не было - ближайшая своя целая копия была давней, жаль было труда тех, кто вносил данные и "горела" отчетность - не успели бы отчитаться). Опробовал дешифровку на копии данных, - сработала, потом дешифровал саму папку с базами. Все получилось. Итог: перешли в облако и там и остались.

Ссылка на сообщение
Поделиться на другие сайты

Присоединяйтесь к обсуждению

Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.

Гость
Ответить в этой теме...

×   Вставлено с форматированием.   Вставить как обычный текст

  Разрешено использовать не более 75 эмодзи.

×   Ваша ссылка была автоматически встроена.   Отображать как обычную ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставлять изображения напрямую. Загружайте или вставляйте изображения по ссылке.

×
 Share
Подписчики 2
Перейти к списку тем

  • Похожий контент

    • blinchikdiv
      Помощь в дешифровки файлов [return.files@yandex.com][ID=988F9D18] HYDRA
      От blinchikdiv
      Залетела зараза через RDP. Понять не могу чем поличить. Базы 1с все встали и копии тоже.
      Ниже файлы для понятия ситуации. 
      Addition.txt FRST.txt
      virus.rar
    • посетитель
      Прошу помочь с расшифровкой файлов HYDRA
      От посетитель
      Добрый день. Прошу помочь с расшифровкой файлов с расширением HYDRA. Есть ли в компании Kaspersky утилиты или что-то подобное, что позволяет расшифровать такие файлы (2 файла в архиве во вложении)? Addition.txt
      FRST.txt
      [return.files@yandex.com][ID=50A9681C]Scan20210310112129.pdf.zip
    • Alexg
      Сработал шифровальщик [conectme@tutanota.com][ID=501D1F42]name_of_file.HYDRA
      От Alexg
      Скорее всего через RDP пробрался шифровальщик на сервер, почти все зашифровало, система живая
       
       
      FRST.txt Addition.txt files.7z
    • 70serg
      Шифровальщик [Miracle11@keemail.me][ID=ED401E20]***.HYDRA
      От 70serg
      17.02.2022 словил шифровальщик (по Касперскому как: Virus.Win32.Nesta.b) на компьютер по RDP
      Зашифровал все. Затронул 1 комп в сети. Есть подозрение на зараженный комп одного из клиентов, подключающегося по RDP
      Что делать для очистки системы от следов
      ?Addition.txt FRST.txt CryptedFiles.rar
    • Матулионис
      Словили шифровальщика ([hydrarans@yandex.com][ID=4EDD2082]config.sys.HYDRA)
      От Матулионис
      Добрый день, зашифрованы в основном документы Microsoft Office. Шифровальщик [hydrarans@yandex.com][ID=4EDD2082]*.HYDRA. Если есть возможность помочь, буду благодарен. Отдельно стоящий ПК в сети, подключения только по сети к одному ресурсу, содержащему только текстовые фалы. Был установлен  Касперский Ransomware Protection для бизнеса, успешно удален шифровальщиком). Дополнительно прикрепляю файл с журналом событий. Заранее спасибо.
      Addition.txt arhive.zip Events.zip FRST.txt
×
×
  • Создать...