Перейти к содержанию
Где отпразднуем 16 лет клуба? На острове!
Как попасть в «Лабораторию Касперского» за 1 день? Очень просто.

Шифровальщик eitieTh1 для баз 1С

baikal
 Share Подписчики 1

Рекомендуемые сообщения

baikal

baikal 0

Опубликовано
Опубликовано

Добрый день,

В январе после праздников одна из сотрудниц предприятия попросила открыть доступ к серверу, через сетевое окружение, на сервере был расшарен корневой каталог файловой базы 1С с возможностью изменения. Раньше она заходила через RDP. На самом сервере ни каких следов нет, кроме зашифрованных файлов корневого каталога 1С (кроме файлов 1С там находились документы Word, Excell для обмена). Все подозрения на ПК той самой сотрудницы, которой был открыт доступ через сетевое окружение. Её ПК после сканирования антивирусом Касперского подтвердил завирусованость ОС. Логи антивируса приложил в архив. Логи Farbar Recovery Scan Tool так же приложил.

Вымогатель требование о выкупе не сообщил, только в названиях файла есть суффикс электронной почты ivakinjiin@dnmx.org расширение зашифрованного файла *.eitieTh1 при открытии зашифрованного файла winhex можно увидеть только нули, хоть объем файла соответствует не зашифрованному файлу. Возможно вымогатель зашифровал таким образом, что нельзя расшифровать любым способом.

Если моя версия верна в плане того, что каталог с базой 1С был зашифрован через сетевое окружение, тогда как можно зашифровать файл 1С когда он занят самой программой (обычно бухгалтера не закрывают приложения). Логи сервера Безопасность были затерты от того числа, когда было произведено шифрование, по умолчанию в настройках установлено "Переписывать события при необходимости". На самом сервере нет антивируса. Вымогатель в основном шифровал папки 1С, остальное не трогал, его интересовало только 1С.

 

да поможет, нам "бог сети"

eitieTh1_18012022.rar

Ссылка на сообщение
Поделиться на другие сайты
thyrex

thyrex 1303

Опубликовано
Опубликовано

Вымогателей всегда интересует только та информация, которая представляет какую-то ценность. Увы, с расшифровкой подобных файлов ничем помочь невозможно

Ссылка на сообщение
Поделиться на другие сайты

Присоединяйтесь к обсуждению

Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.

Гость
Ответить в этой теме...

×   Вставлено с форматированием.   Вставить как обычный текст

  Разрешено использовать не более 75 эмодзи.

×   Ваша ссылка была автоматически встроена.   Отображать как обычную ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставлять изображения напрямую. Загружайте или вставляйте изображения по ссылке.

×
 Share
Подписчики 1
Перейти к списку тем

  • Похожий контент

    • Evgen_V
      Шифровальщик (decryptionmypc2017@gmail.com).Joker
      От Evgen_V
      Добрый вечер. поймали шифровальщик, поменял расширения файлов на это (decryptionmypc2017@gmail.com).Joker .  FRST.txtAddition.txtзашифрованные файлы.rar
    • Less
      Зашифрованы файлы Trojan-Ransom.Win32.Cryakl
      От Less
      Добрый день!
       
      Требуется помощь в расшифровке файлов.
       
      Вирус пробрался через RDP соединение, создал нового пользователя, администратора видимо заблокировал, т.к. в его учетную запись зайти не удается.
       
      Addition.txt FRST.txt Вирус и примеры файлов.rar
    • Anton70
      Шифровальщик WinLock@keemail.me
      От Anton70
      Добрый день!
       
      Словил шифровальщик.
      Похоже что зашли на сервер по RDP.
      Зашифровано всё, в том числе и бэкапы. 
      Файлы имеют вид - [WinLock@keemail.me][код]имя файла.Loki
       
      Есть способ расшифровать такие файлы ?
       
      [mod]Не надо выкладывать вирусы на форуме[/mod] 
      FRST.zip files.zip
    • Алексейtime
      [hopeandhonest@smime.ninja].[49F88538-0B6E27CB]
      От Алексейtime
      Доброе время суток. Вчера зашифровался большой объём данных на файлообменнике. Подскажите пожалуйста есть ли возможность восстановить данные, если система не windows?
      ОС Платформы: FreeBSD 12.2-RELEASE-p7 #0 r369900M: Sun May 30 01:42:50 CEST 2021
      Версия: 12.2.0.4 - Ornithopter (сборка 8458)
      Соответственно программу Farbar Recovery Scan Tool для собора логов запустить не могу. В архиве прикрепил два зашифрованных файла, how_to_decrypt.hta файл и скрин описания системы.
      Поскольку это файлообменник доступы были открыты по всем версиям SMB.
      Не понятно каким образом был запущен вирус, если с самого файлообменника нет возможности выполнить исполняемые файлы. Есть ли смысл начинать диалог с вымогателями? Заранее спасибо за помощь
      Зашифрованные файлы.rar
    • diox
      Зашифровали все файлы вирусами Ransom.Artemis и Ransom.FileCryptor
      От diox
      Через удалённый рабочий стол зашифровали все данные на сервере (Windows Server 2008 R2 Standard).
      Файлы стали иметь вид: ИМЯ.РАСШИРЕНИЕ.(MJ-XH3481609725)(Decryption.helper@aol.com).Cj.id[A8027869].[unlockdeer@gmail.com].optimus
      Сканированием с помощью Malwarebytes, в папке Musik обнаружилось два вируса Ransom.Artemis (unlockdeer@gmail.com.exe) и Ransom.FileCryptor (decryptcj@gmail.com.exe). Так же там лежат две программы Advanced_IP_Scanner_2.5.3850.exe и mimikatz_trunk (5).zip.
      Связывались с мошенниками, они просили прислать файлы из ProgramData, там какой-то ключ лежит, так что их тоже прикрепляю архивом без пароля.
      FRST.txt Addition.txt Trojan.rar Файлы и требование.rar ProgramData.rar
×
×
  • Создать...