• Внимание. Восстановление баз 1С7, 1C8 и Mssql после атаки шифровальщика, подробности и отзывы читайте в профильной теме.

Решена без расшифровки шифровальщик laud@tuta.io

Алекс Пермь

Новый пользователь
Сообщения
11
Реакции
0
Баллы
1
Здравствуйте! есть сам шифровальщик. успели его в папке увидеть и в архив засунуть - архив на флешку закинул.
возможно ли как-то имея шифровальщик расшифровать файлы? половину успел зашифровать(( почта шифровальщика laud@tuta.io программа которая шифровала файлы: manual.exe закинул в архив с паролем "virus" и разместил здесь zagruzki.rar (247.68KB) - SendSpace.com и так же прикреплен к теме...
 
Последнее редактирование модератором:

akok

Команда форума
Администратор
Сообщения
17,981
Реакции
13,570
Баллы
2,203
Поможет только понять как шифруются файлы, и если все сделано правильно, то расшифровка будет невозможна. Система после переустановки? Если нет, то нужны логи https://safezone.cc/decryption-rules/ (если система погашена, то пишите об этом, дам инструкцию по съему логов через liveCD)

И пару небольших зашифрованных файлов.
 

Алекс Пермь

Новый пользователь
Сообщения
11
Реакции
0
Баллы
1
Поможет только понять как шифруются файлы, и если все сделано правильно, то расшифровка будет невозможна. Система после переустановки? Если нет, то нужны логи https://safezone.cc/decryption-rules/ (если система погашена, то пишите об этом, дам инструкцию по съему логов через liveCD)

И пару небольших зашифрованных файлов.
система погашена - в смысле отключена? да... отключили. Процесс manual.exe был "убит" вручную после того, как заметили подозрительную активность: грузил процессор.

пару файлов прикреплю минут через 5...
 

akok

Команда форума
Администратор
Сообщения
17,981
Реакции
13,570
Баллы
2,203
Процесс manual.exe был "убит" вручную после того, как заметили подозрительную активность: грузил процессор.
Зашли скорее всего через RDP, могли добавить шифровальщик в автозапуск и оставить бекдор, пароли обязательно смените, ну и патчи безопасности.
 

akok

Команда форума
Администратор
Сообщения
17,981
Реакции
13,570
Баллы
2,203
И да насчет файлов, то, что зашифровало можно восстановить из теневых копий, чистка обычно происходит в конце процесса шифрования, а вы сбросили остановили процесс до его завершения.
 

Алекс Пермь

Новый пользователь
Сообщения
11
Реакции
0
Баллы
1
тройку файликов прикрепил....
как что восстановить?... вырубил комп на работе... жесткий диск (не загрузочный системный, а с нужными файлами притащил домой в надежде на что-нибудь...)
 

Вложения

Алекс Пермь

Новый пользователь
Сообщения
11
Реакции
0
Баллы
1
ShadowExplorer нужно на систему подвергшуюся атаке ставить? а то я на свой домашний поставил, диск, с наполовину зашифрованными файлами, подключил... а шэдоуэксплорер на нем ничего не показывает...
 

akok

Команда форума
Администратор
Сообщения
17,981
Реакции
13,570
Баллы
2,203
какая ОС на сервере и какая дома?
 

thyrex

Ассоциация VN/VIP
VIP
Сообщения
2,761
Реакции
2,540
Баллы
593
Зашли скорее всего через RDP, могли добавить шифровальщик в автозапуск
Зашли под пользователем 1C, запустили шифратор, вручную выбрав, что шифровать
 

Алекс Пермь

Новый пользователь
Сообщения
11
Реакции
0
Баллы
1
да.. есть у нас такой пользователь... это где-то в файлике прописано? а где именно, как посмотреть?
 

Алекс Пермь

Новый пользователь
Сообщения
11
Реакции
0
Баллы
1
Зашли под пользователем 1C, запустили шифратор, вручную выбрав, что шифровать
а как вы определили, что именно пользователь 1С ? можно это где-то посмотреть?
что зашифровано всё равно не восстановить... а есть ли смысл ждать, что когда-нибудь появится "лекарство" именно от этого шифратора?
 
Последнее редактирование:

thyrex

Ассоциация VN/VIP
VIP
Сообщения
2,761
Реакции
2,540
Баллы
593
а как вы определили, что именно пользователь 1С ?
в содержимом зашифрованных файлов хранится имя пользователя, под которым было запущено шифрование. Только не в явном виде, а преобразованном согласно некому правилу.
 

Алекс Пермь

Новый пользователь
Сообщения
11
Реакции
0
Баллы
1
в содержимом зашифрованных файлов хранится имя пользователя, под которым было запущено шифрование. Только не в явном виде, а преобразованном согласно некому правилу.
ок.. спасибо. буим думать...((
 

Алекс Пермь

Новый пользователь
Сообщения
11
Реакции
0
Баллы
1
Зашли под пользователем 1C, запустили шифратор, вручную выбрав, что шифровать
т.е. не было никакого вируса? кто-то руками по RDP зашел под пользователем 1С, вырубил антивирус (т.к. у меня домашний родной WinDefender сразу определил на флешке manual.exe, который сохранили... а на сервере стоит точно такой же постоянно обновляющийся...) и запустил шифрование - указав, что именно нужно шифровать??
а в самой системе нет никаких зараз... хотя лучше лишний раз проверить всё.

Только не в явном виде, а преобразованном согласно некому правилу.
т.е. хитрое правило Вам известно? ))
 

thyrex

Ассоциация VN/VIP
VIP
Сообщения
2,761
Реакции
2,540
Баллы
593
т.е. хитрое правило Вам известно?
алгоритм преобразования в теле самого вируса

кто-то руками по RDP зашел под пользователем 1С, вырубил антивирус (т.к. у меня домашний родной WinDefender сразу определил на флешке manual.exe, который сохранили... а на сервере стоит точно такой же постоянно обновляющийся...) и запустил шифрование - указав, что именно нужно шифровать??
именно так. В автозапуск при старте имеющийся вариант не прописывается.
 
Сверху Снизу