• Внимание. Восстановление баз 1С7, 1C8 и Mssql после атаки шифровальщика, подробности и отзывы читайте в профильной теме.

    Внимание. Восстановление архивов RAR и ZIP, образов Acronis и виртуальных машин, баз почтовых программ после атаки шифровальщика, подробности и отзывы читайте в профильной теме.

Решена без расшифровки шифровальщик laud@tuta.io

Статус
В этой теме нельзя размещать новые ответы.

Алекс Пермь

Новый пользователь
Сообщения
11
Реакции
0
Здравствуйте! есть сам шифровальщик. успели его в папке увидеть и в архив засунуть - архив на флешку закинул.
возможно ли как-то имея шифровальщик расшифровать файлы? половину успел зашифровать(( почта шифровальщика laud@tuta.io программа которая шифровала файлы: manual.exe закинул в архив с паролем "virus" и разместил здесь zagruzki.rar (247.68KB) - SendSpace.com и так же прикреплен к теме...
 
Последнее редактирование модератором:
Поможет только понять как шифруются файлы, и если все сделано правильно, то расшифровка будет невозможна. Система после переустановки? Если нет, то нужны логи https://safezone.cc/decryption-rules/ (если система погашена, то пишите об этом, дам инструкцию по съему логов через liveCD)

И пару небольших зашифрованных файлов.
 
Поможет только понять как шифруются файлы, и если все сделано правильно, то расшифровка будет невозможна. Система после переустановки? Если нет, то нужны логи https://safezone.cc/decryption-rules/ (если система погашена, то пишите об этом, дам инструкцию по съему логов через liveCD)

И пару небольших зашифрованных файлов.
система погашена - в смысле отключена? да... отключили. Процесс manual.exe был "убит" вручную после того, как заметили подозрительную активность: грузил процессор.

пару файлов прикреплю минут через 5...
 
Процесс manual.exe был "убит" вручную после того, как заметили подозрительную активность: грузил процессор.
Зашли скорее всего через RDP, могли добавить шифровальщик в автозапуск и оставить бекдор, пароли обязательно смените, ну и патчи безопасности.
 
И да насчет файлов, то, что зашифровало можно восстановить из теневых копий, чистка обычно происходит в конце процесса шифрования, а вы сбросили остановили процесс до его завершения.
 
тройку файликов прикрепил....
как что восстановить?... вырубил комп на работе... жесткий диск (не загрузочный системный, а с нужными файлами притащил домой в надежде на что-нибудь...)
 

Вложения

  • files.rar
    84.1 KB · Просмотры: 2
ShadowExplorer нужно на систему подвергшуюся атаке ставить? а то я на свой домашний поставил, диск, с наполовину зашифрованными файлами, подключил... а шэдоуэксплорер на нем ничего не показывает...
 
какая ОС на сервере и какая дома?
 
да.. есть у нас такой пользователь... это где-то в файлике прописано? а где именно, как посмотреть?
 
Зашли под пользователем 1C, запустили шифратор, вручную выбрав, что шифровать
а как вы определили, что именно пользователь 1С ? можно это где-то посмотреть?
что зашифровано всё равно не восстановить... а есть ли смысл ждать, что когда-нибудь появится "лекарство" именно от этого шифратора?
 
Последнее редактирование:
а как вы определили, что именно пользователь 1С ?
в содержимом зашифрованных файлов хранится имя пользователя, под которым было запущено шифрование. Только не в явном виде, а преобразованном согласно некому правилу.
 
в содержимом зашифрованных файлов хранится имя пользователя, под которым было запущено шифрование. Только не в явном виде, а преобразованном согласно некому правилу.
ок.. спасибо. буим думать...((
 
Зашли под пользователем 1C, запустили шифратор, вручную выбрав, что шифровать

т.е. не было никакого вируса? кто-то руками по RDP зашел под пользователем 1С, вырубил антивирус (т.к. у меня домашний родной WinDefender сразу определил на флешке manual.exe, который сохранили... а на сервере стоит точно такой же постоянно обновляющийся...) и запустил шифрование - указав, что именно нужно шифровать??
а в самой системе нет никаких зараз... хотя лучше лишний раз проверить всё.

Только не в явном виде, а преобразованном согласно некому правилу.

т.е. хитрое правило Вам известно? ))
 
т.е. хитрое правило Вам известно?
алгоритм преобразования в теле самого вируса

кто-то руками по RDP зашел под пользователем 1С, вырубил антивирус (т.к. у меня домашний родной WinDefender сразу определил на флешке manual.exe, который сохранили... а на сервере стоит точно такой же постоянно обновляющийся...) и запустил шифрование - указав, что именно нужно шифровать??
именно так. В автозапуск при старте имеющийся вариант не прописывается.
 
Статус
В этой теме нельзя размещать новые ответы.
Назад
Сверху Снизу