• Внимание. Восстановление баз 1С7, 1C8 и Mssql после атаки шифровальщика, подробности и отзывы читайте в профильной теме.

Решена без расшифровки email-3nity@tuta.io.ver-CS 1.6.id

ultra_lammer

Новый пользователь
Сообщения
5
Реакции
0
Баллы
1
Здравствуйте.
Гугл привел к вашему форуму.
27.06 около 23:30 на сервере отработал шифровальщик 3nity@tuta.io.ver-CS 1.6.id
В сеансе локального админа было запущено приложение Encryptor 1.5.2.0.vis. Шифрованы практически все файлы. Включая ярлыки и многие приложения, типа Chrome.
Скрипт сейчас собирает логи. Сразу же выложу.
Могут быть надежды на расшифровку? Что нужно выложить, кроме логов?

Лог и один из шифрованных файлов.
 

Вложения

Последнее редактирование:

akok

Команда форума
Администратор
Сообщения
17,575
Реакции
13,424
Баллы
2,203
Проверьте ЛС
 

akok

Команда форума
Администратор
Сообщения
17,575
Реакции
13,424
Баллы
2,203
Увы помочь не получится.
 

Sandor

Ассоциация VN/VIP
Преподаватель
Сообщения
5,363
Реакции
1,818
Баллы
563
Уточню, с расшифровкой помочь не получится. Но в системе еще есть майнер. Если не планируете переустановку, поможем вылечить и очистить следы вымогателя.
 
  • Like
Реакции: akok

ultra_lammer

Новый пользователь
Сообщения
5
Реакции
0
Баллы
1
Пока не готов ответить. Сервер в другом конце города. Сейчас выезжаю к нему...
Я прошу прощения, а какие пути распространения этих зловредов? Я не могу понять, как оно залезло...
 

akok

Команда форума
Администратор
Сообщения
17,575
Реакции
13,424
Баллы
2,203
Заходят через RDP в основном
 

ultra_lammer

Новый пользователь
Сообщения
5
Реакции
0
Баллы
1
Это только добавляет непонимание. РДП снаружи закрыт. Во время "действа" в локальной сети был включен только один компьютер, который пострадал только в расшаренных папках - шифровал процесс на сервере, через сеть...

З.Ы. Как наблюдение - темы в этом разделе недоступны, если зайти под учеткой. Но доступны всем, кто зашел без авторизации.
 

akok

Команда форума
Администратор
Сообщения
17,575
Реакции
13,424
Баллы
2,203
У шифровальщика есть возможность шифровать папки по сети, если доступ есть.
З.Ы. Как наблюдение - темы в этом разделе недоступны, если зайти под учеткой. Но доступны всем, кто зашел без авторизации.
Так и задумано, дабы не могли скачивать вложения в чужих темах.
 

ultra_lammer

Новый пользователь
Сообщения
5
Реакции
0
Баллы
1
У шифровальщика есть возможность шифровать папки по сети, если доступ есть.
Это я понимаю. Я просто пытаюсь проанализировать пути проникновения...

Систему уже переставил. Вся ценность в БД. Копии базы SQL тоже убиты.
Радмин мой. Через вывернутые порты.
ТВ используют программисты.
Process Hacker использовался, но давно.
 

akok

Команда форума
Администратор
Сообщения
17,575
Реакции
13,424
Баллы
2,203
На этом все чем можем помочь
 

Sandor

Ассоциация VN/VIP
Преподаватель
Сообщения
5,363
Реакции
1,818
Баллы
563
ЛК удалось справится с этим вымогателем.
При наличии лицензии на любой из продуктов Касперского создайте запрос на расшифровку.
 
Сверху Снизу