• Внимание. Восстановление баз 1С7, 1C8 и Mssql после атаки шифровальщика, подробности и отзывы читайте в профильной теме.

    Внимание. Восстановление архивов RAR и ZIP, образов Acronis и виртуальных машин, баз почтовых программ после атаки шифровальщика, подробности и отзывы читайте в профильной теме.

Решена без расшифровки Бухгалтерия в панике!

Переводчик Google
G

Gornostay

Новый пользователь
Сообщения
5
Реакции
0
Доброго дня!
С утра бухгалтера пришли на работу, а там такой отвратный сюрприз...
Прошу помощи с дешифрацией.
В архиве 20251114 три файла после шифровальщика и результат сканирования программой Farbar Recovery Scan Tool.
На заражённой машине (windows 2016 server) два диска, C и D. Приоритетная важность информации на диске D.
С надеждой и благодарностью к Вам.
 

Вложения

Вымогателя пока не удалось опознать, значит и шансов особо нет. Бекапы?
 
систему будем лечить, или там переустановка?
 
Нашел текстовый файл от вымогателя. Поможет?
 

Вложения

Попросил коллег посмотреть, может они сталкивались.
 
@Gornostay, до обращения сюда чем-то уже пробовали лечить систему? Логов такого лечения не сохранилось?
 
Доброго дня.
Есть два сохраненных состояния машины: без лечения и с лечением.
ESET Nod32 SERVER SECURITY. Лог во вложении.
 

Вложения

  • eset.txt
    eset.txt
    370 байт · Просмотры: 3
В логе только реакция на записку
 
Gornostay написал(а):
Есть два сохраненных состояния машины: без лечения и с лечением
Нажмите для раскрытия...
В состоянии "без лечения" поищите файл Stub.exe или E4C1E90CCFDA065A1504E5DC8AE33F61.exe
Если найдёте, упакуйте его в архив с паролем, закачайте на облако и дайте ссылку на скачивание (лучше личным сообщением).
 
Поискал. Оба файла: Stub.exe или E4C1E90CCFDA065A1504E5DC8AE33F61.exe
отсутствуют на всех дисках.
 
Да, файлы шифровальщика скорее всего были удалены по окончании шифрования. Мы пытались уточнить тип вымогателя.
Вероятнее всего это очередная версия Proton. К сожалению, расшифровка невозможно без приватного ключа, который находится у злоумышленников.
 
Благодарю Вас. По крайней мере выяснили ситуацию.
 
Теперь, когда ваши файлы были зашифрованы, примите серьезные меры безопасности:

1. создание бэкапов данных на отдельном устройстве, которое не должно быть постоянно доступным;
2. установка актуальных обновлений для операционной системы;
3. установка надежной актуальной антивирусной защиты с регулярным обновлением антивирусных баз;
4. установка надежных паролей для аккаунтов из группы RDP;
5. настройка нестандартного порта (вместо стандартного 3389) для сервиса RDP;
6. настройки безопасности, которые защищают пароль к аккаунту от удаленного брутфорсинга;
7. если есть такая возможность, настройте двухфакторную аутентификацию для доступа к Рабочему столу;
8. доступ к Рабочему столу из внешней сети (если необходим для работы) либо через VPN подключение, либо только с доверенных IP (белый лист)
 
Войдите или зарегистрируйтесь для ответа.
Назад
Сверху Снизу