• Внимание. Восстановление баз 1С7, 1C8 и Mssql после атаки шифровальщика, подробности и отзывы читайте в профильной теме.

Закрыто Шифровальщик sill@tuta.io

Andrey_ka33

Новый пользователь
Сообщения
4
Реакции
0
Баллы
1
Сегодня неожиданно заметил активность на одном из серверов. кто-то, зайдя удалённо запускал скрипт удаления теневых копий. выключил все сервера, отключил от сети. начал включать по одному, искать что натворили.
результат: на трёх серверах частично зашифрованы файлы. так как я вовремя заметил процессы, повреждены не все файлы. не на всех серверах удалены теневые копии. нашёл подозрительные процессы. процессы сразу выключил.
Просьба помочь расшифровать то, что уже успели зашифровать.
НА компах нашёл исполняемые файлы в папках user-администратор-roaming и local - 1.exe, manager.exe. переименовал их в txt и вложил в архив viruses с паролем virus
логи frst и зашифрованные файлы прикладываю
 

Вложения

akok

Команда форума
Администратор
Сообщения
17,698
Реакции
13,493
Баллы
2,203
Логи с какой машины? Для тех машин на которых активен шифровальщик можно собрать логи => https://safezone.cc/threads/17759/#post-190088. Пожалуйста учтите, что один компьютер - одна тема иначе будем путаться.

У вас шифровальщик scarab, @thyrex уточнит насчет возможности расшифровки.
 

Andrey_ka33

Новый пользователь
Сообщения
4
Реакции
0
Баллы
1
у нас повреждены 3 сервера. повреждены частично. я на всех трёх серверах файлы manager.exe переименовал в manager.txt и выгрузил из процессов. если я запущу их чтобы был активен шифровальщик - он будет и дальше шифровать ведь файлы? может не надо?
 

Andrey_ka33

Новый пользователь
Сообщения
4
Реакции
0
Баллы
1
логи с server-credo. первый сервер, на котором обнаружились проблемы.
 

thyrex

Ассоциация VN/VIP
VIP
Сообщения
2,736
Реакции
2,536
Баллы
593
Работали два шифратора: Scarab и GlobeImposter2. Ни тот, ни другой расшифровке не подлежат.
Вы прислали help you.txt от Scarab (он имеет размер 619 байт)

Пришлите в одном архиве C:\Users\acronis\help you.txt (размер 960 байт) и C:\Users\kosterin-ia\Downloads\codingtheory.pdf.[sill@tuta.io].
 
Последнее редактирование:

Andrey_ka33

Новый пользователь
Сообщения
4
Реакции
0
Баллы
1
высылаю
Ни тот, ни другой расшифровке не подлежат.
кроме расшифровки что ещё необходимо сделать чтобы хотя бы работала система без сноса? или лучше всё переустановить?
 

Вложения

akok

Команда форума
Администратор
Сообщения
17,698
Реакции
13,493
Баллы
2,203
Здравствуйте!

Ввиду отсутствия активности в течение последних 10 дней, предположу, что помощь больше не нужна. Поэтому тема закрывается.
Если Вам по-прежнему нужна помощь, отправьте личное сообщение одному из модераторов и укажите ссылку на эту тему.

Спасибо за использование нашего форума и удачи!
 
Сверху Снизу