• Внимание. Восстановление баз 1С7, 1C8 и Mssql после атаки шифровальщика, подробности и отзывы читайте в профильной теме.

Решена без расшифровки email-3nity@tuta.io.ver-CS 1.6.id

ultra_lammer

Новый пользователь
Сообщения
5
Реакции
0
Баллы
11
Здравствуйте.
Гугл привел к вашему форуму.
27.06 около 23:30 на сервере отработал шифровальщик 3nity@tuta.io.ver-CS 1.6.id
В сеансе локального админа было запущено приложение Encryptor 1.5.2.0.vis. Шифрованы практически все файлы. Включая ярлыки и многие приложения, типа Chrome.
Скрипт сейчас собирает логи. Сразу же выложу.
Могут быть надежды на расшифровку? Что нужно выложить, кроме логов?

Лог и один из шифрованных файлов.
 

Вложения

  • CollectionLog-2019.07.01-09.30.zip
    60.6 KB · Просмотры: 3
  • email-3nity@tuta.io.ver-CS 1.6.id-.fname-soapsdk.zip
    3.6 MB · Просмотры: 1
Последнее редактирование:

akok

Команда форума
Администратор
Сообщения
20,152
Реакции
13,797
Баллы
2,293
Проверьте ЛС
 

akok

Команда форума
Администратор
Сообщения
20,152
Реакции
13,797
Баллы
2,293
Увы помочь не получится.
 

Sandor

Команда форума
Супер-Модератор
Ассоциация VN/VIP
Преподаватель
Сообщения
7,920
Реакции
2,393
Баллы
743
Уточню, с расшифровкой помочь не получится. Но в системе еще есть майнер. Если не планируете переустановку, поможем вылечить и очистить следы вымогателя.
 
  • Like
Реакции: akok

ultra_lammer

Новый пользователь
Сообщения
5
Реакции
0
Баллы
11
Пока не готов ответить. Сервер в другом конце города. Сейчас выезжаю к нему...
Я прошу прощения, а какие пути распространения этих зловредов? Я не могу понять, как оно залезло...
 

akok

Команда форума
Администратор
Сообщения
20,152
Реакции
13,797
Баллы
2,293
Заходят через RDP в основном
 

ultra_lammer

Новый пользователь
Сообщения
5
Реакции
0
Баллы
11
Это только добавляет непонимание. РДП снаружи закрыт. Во время "действа" в локальной сети был включен только один компьютер, который пострадал только в расшаренных папках - шифровал процесс на сервере, через сеть...

З.Ы. Как наблюдение - темы в этом разделе недоступны, если зайти под учеткой. Но доступны всем, кто зашел без авторизации.
 

akok

Команда форума
Администратор
Сообщения
20,152
Реакции
13,797
Баллы
2,293
У шифровальщика есть возможность шифровать папки по сети, если доступ есть.
З.Ы. Как наблюдение - темы в этом разделе недоступны, если зайти под учеткой. Но доступны всем, кто зашел без авторизации.
Так и задумано, дабы не могли скачивать вложения в чужих темах.
 

ultra_lammer

Новый пользователь
Сообщения
5
Реакции
0
Баллы
11
У шифровальщика есть возможность шифровать папки по сети, если доступ есть.
Это я понимаю. Я просто пытаюсь проанализировать пути проникновения...

Систему уже переставил. Вся ценность в БД. Копии базы SQL тоже убиты.
Радмин мой. Через вывернутые порты.
ТВ используют программисты.
Process Hacker использовался, но давно.
 

akok

Команда форума
Администратор
Сообщения
20,152
Реакции
13,797
Баллы
2,293
На этом все чем можем помочь
 

Sandor

Команда форума
Супер-Модератор
Ассоциация VN/VIP
Преподаватель
Сообщения
7,920
Реакции
2,393
Баллы
743
ЛК удалось справится с этим вымогателем.
При наличии лицензии на любой из продуктов Касперского создайте запрос на расшифровку.
 
Сверху Снизу