• Внимание. Восстановление баз 1С7, 1C8 и Mssql после атаки шифровальщика, подробности и отзывы читайте в профильной теме.

    Внимание. Восстановление архивов RAR и ZIP, образов Acronis и виртуальных машин, баз почтовых программ после атаки шифровальщика, подробности и отзывы читайте в профильной теме.

Закрыто Шифровальщик sill@tuta.io

Статус
В этой теме нельзя размещать новые ответы.

Andrey_ka33

Новый пользователь
Сообщения
4
Реакции
0
Сегодня неожиданно заметил активность на одном из серверов. кто-то, зайдя удалённо запускал скрипт удаления теневых копий. выключил все сервера, отключил от сети. начал включать по одному, искать что натворили.
результат: на трёх серверах частично зашифрованы файлы. так как я вовремя заметил процессы, повреждены не все файлы. не на всех серверах удалены теневые копии. нашёл подозрительные процессы. процессы сразу выключил.
Просьба помочь расшифровать то, что уже успели зашифровать.
НА компах нашёл исполняемые файлы в папках user-администратор-roaming и local - 1.exe, manager.exe. переименовал их в txt и вложил в архив viruses с паролем virus
логи frst и зашифрованные файлы прикладываю
 

Вложения

  • files.zip
    1.5 MB · Просмотры: 2
  • frst.zip
    50 KB · Просмотры: 2
  • viruses.zip
    139.5 KB · Просмотры: 1
Логи с какой машины? Для тех машин на которых активен шифровальщик можно собрать логи => https://safezone.cc/threads/17759/#post-190088. Пожалуйста учтите, что один компьютер - одна тема иначе будем путаться.

У вас шифровальщик scarab, @thyrex уточнит насчет возможности расшифровки.
 
у нас повреждены 3 сервера. повреждены частично. я на всех трёх серверах файлы manager.exe переименовал в manager.txt и выгрузил из процессов. если я запущу их чтобы был активен шифровальщик - он будет и дальше шифровать ведь файлы? может не надо?
 
логи с server-credo. первый сервер, на котором обнаружились проблемы.
 
Работали два шифратора: Scarab и GlobeImposter2. Ни тот, ни другой расшифровке не подлежат.
Вы прислали help you.txt от Scarab (он имеет размер 619 байт)

Пришлите в одном архиве C:\Users\acronis\help you.txt (размер 960 байт) и C:\Users\kosterin-ia\Downloads\codingtheory.pdf.[sill@tuta.io].
 
Последнее редактирование:
высылаю
Ни тот, ни другой расшифровке не подлежат.
кроме расшифровки что ещё необходимо сделать чтобы хотя бы работала система без сноса? или лучше всё переустановить?
 

Вложения

  • kosterin-ia.zip
    880.7 KB · Просмотры: 1
Здравствуйте!

Ввиду отсутствия активности в течение последних 10 дней, предположу, что помощь больше не нужна. Поэтому тема закрывается.
Если Вам по-прежнему нужна помощь, отправьте личное сообщение одному из модераторов и укажите ссылку на эту тему.

Спасибо за использование нашего форума и удачи!
 
Статус
В этой теме нельзя размещать новые ответы.
Назад
Сверху Снизу