• Внимание. Восстановление баз 1С7, 1C8 и Mssql после атаки шифровальщика, подробности и отзывы читайте в профильной теме.

    Внимание. Восстановление архивов RAR и ZIP, образов Acronis и виртуальных машин, баз почтовых программ после атаки шифровальщика, подробности и отзывы читайте в профильной теме.

Решена без расшифровки 1С сервер подвергся шифрованию Trojan.encoder.35534

AlexG0r

Новый пользователь
Сообщения
5
Реакции
0
Добрый день.
Доступ к системе ограничен трояном. Достаточно ли будет если я соберу логи frst и остальную информацию используя загрузку с внешнего носителя через WinPE (сборка Сергея Стрельца)?
 
Здравствуйте!

Пока прикрепите образцы зашифрованных документов (2-3 достаточно) в архиве вместе с запиской о выкупе.
 
в архиве file.zip - документ, картинка и записка
есть еще папка в которой предположительно лежит сам вирус, но она весит почти 20 мб, поэтому закинул в облако: virus.zip
 

Вложения

  • file.zip
    file.zip
    76.9 KB · Просмотры: 2
Очень жаль. Пытаюсь хотя бы обнаружить сам вирус. Из под winpe пробовал kvrt и live диск от dr.web. Пишут, что угроз не обнаружено, хотя файлы зашифрованы и при старте системы выдавалась записка с требованиями. Можете подсказать как его обнаружить? Я предполагаю, что то что я выкладывал в облако это стартовый набор для развертывания, а когда он уже обосновался в системе, то стартовый набор был тоже зашифрован.
 
Спасибо большое за участие. Руководство приняло решение о перезапуске сервера с нуля. Зашифрованный диск положу на полку. Может что то произойдет в обозримом будущем.
 
Появиться может в двух случаях:
  • злоумышленников ловят, изымают серверы и приватные ключи передают антивирусным вендорам, которые обновляют свои утилиты расшифровки
  • злоумышленники сами прекращают свою деятельность и выкладывают ключи на общий доступ

И то и другое случается, но крайне редко.
 
Появиться может в двух случаях:
  • злоумышленников ловят, изымают серверы и приватные ключи передают антивирусным вендорам, которые обновляют свои утилиты расшифровки
  • злоумышленники сами прекращают свою деятельность и выкладывают ключи на общий доступ

И то и другое случается, но крайне редко.
Как отследить данные события?
 
Когда такое происходит, об этом "трубят" все СМИ, особенно те, что причастны к безопасности.
Ну и мы не будем в стороне. Напишем вам в этой же теме.
 
Назад
Сверху Снизу