• Внимание. Восстановление баз 1С7, 1C8 и Mssql после атаки шифровальщика, подробности и отзывы читайте в профильной теме.

    Внимание. Восстановление архивов RAR и ZIP, образов Acronis и виртуальных машин, баз почтовых программ после атаки шифровальщика, подробности и отзывы читайте в профильной теме.

Решена без расшифровки На сервере под логином Администратор зашифровались файлы данных, расширение GAZPROM

М

Мидви

Новый пользователь
Сообщения
14
Реакции
0
Здравствуйте.

Ночью случилось проникновение, к сожалению, злоумышленники получили полный доступ к серверу и испортили все файлы данных (архивы в том числе). расширение зашифрованных файлов - GAZPROM.

Размещаю логи FRST и архив с зашифрованными файлами. Пароль на архив - virus
В архиве в папке "Новая папка" лежат файлы с Рабочего стола логина Администратор - там есть файл encryptor.txt - предположительно, это и есть сам шифровальщик (расширение было .exe)

Очень нужна срочная помощь с расшифровкой.
И очень хочется понять, как этот вирус проник на сервер. Где-то дырка в шлюзе?
 

Вложения

Скачайте специальную утилиту ESETSysVulnCheck по ссылке (скачивать необходимо в IE)

и запустите её от имени администратора. После окончания работы утилиты в папке, откуда была запущенна сама утилита, появится лог - файл вида "SysVulnCheck_out.zip". Пришлите его также нам на анализ.
 
  • Like
Реакции: akok
Не могу запустить - "Не является приложением Win32"
 
Только, что проверил, запускается и собирает логи. Правда у вас древняя ос работает.
 
Откуда взяли настолько старую версию FRST? Нужны логи более свежей.
 
По поводу расшифровки, нужно обратиться в любой удобный вирлаб, это что-то новое (или старое в новой обертке) и нужно их заключение, можно ли расшифровать файлы. Если и там не помогут, то смотрите мою подпись.

Смените пароли на RDP. Система под переустановку? Зловред уже самоудалился и можно почистить автозапуск.
 
akok написал(а):
По поводу расшифровки, нужно обратиться в любой удобный вирлаб, это что-то новое (или старое в новой обертке) и нужно их заключение, можно ли расшифровать файлы. Если и там не помогут, то смотрите мою подпись.

Смените пароли на RDP. Система под переустановку? Зловред уже самоудалился и можно почистить автозапуск.
Нажмите для раскрытия...

Какой вирлаб порекомендуете, чтобы запрос можно было без их лицензии на антивирус отправить?
RDP, наверное, вообще лучше отключить... по-крайней мере, вход извне в локалку.
 
Ну или скрыть за VPN. Через личный кабинет каперских можно отправить, о др.вебе не в курсе, но первоначальный анализ должны без лицензии делать.
 
akok написал(а):
Ну или скрыть за VPN. Через личный кабинет каперских можно отправить, о др.вебе не в курсе, но первоначальный анализ должны без лицензии делать.
Нажмите для раскрытия...
Dr.Web на мой запрос ответил вот что:

support.drweb.ru

Dr.Web® — инновационные технологии антивирусной безопасности. Комплексная защита от интернет-угроз.

«Доктор Веб» – российский разработчик антивирусных программ и сервисов для предоставления услуг информационной защиты для корпоративных и частных пользователей.
support.drweb.ru support.drweb.ru

К сожалению, резервные копии тоже зашифровались.
Вы как-то сможете помочь с расшифровкой данных? Хотя как раз с базами 1С у нас были двухдневные копии в другом месте, здесь повезло.
 
Последнее редактирование:
Нет, увы. Тут только бекапы, не факт, что преступники смогут расшифровать файлы.
 
Маловероятно. Сливы ключей очень редкое явление.
 
Войдите или зарегистрируйтесь для ответа.

Похожие темы

V
  • Закрыта
Закрыто Что делать, если файлы на сервере были зашифрованы?
Ответы
6
Просмотры
542
Sandor
Sandor
A
Решена без расшифровки Зашифровались данные на сервере
Ответы
2
Просмотры
884
AlexEK
A
Candellmans
  • Статья Статья
Предложен метод атаки для удалённого определения памяти на сервере
Ответы
0
Просмотры
203
Candellmans
Candellmans
Назад
Сверху Снизу