• Внимание. Восстановление баз 1С7, 1C8 и Mssql после атаки шифровальщика, подробности и отзывы читайте в профильной теме.

Решена без расшифровки Зашифрована база 1С sql server.

Статус
В этой теме нельзя размещать новые ответы.

Иван Росляков

Новый пользователь
Сообщения
3
Реакции
0
Баллы
1
Добрый день. 23.01.2020 была зашифрована база 1С SQL на серевере вирусом bitlocker@foxmail.com. Сервер был вылечен kaspersky removal tool тело вируса удаленно. Спасите помогите пожалуйста. Мошенник просит больших денег которых у меня нет.
 

Вложения

Последнее редактирование:

Sandor

Команда форума
Супер-Модератор
Ассоциация VN/VIP
Преподаватель
Сообщения
5,816
Реакции
1,952
Баллы
643
Здравствуйте!

Ran by 2 (administrator) on TERMINAL
Логи собраны в терминальной сессии, а нужно из консоли, т.е. непосредственно на самом компьютере. Переделайте, пожалуйста, т.к. есть незакрытая дыра.

Тип вымогателя Dharma (.cezar Family), расшифровки нет.
По восстановлению (не расшифровке) только базы данных смотрите ссылку в начале этой темы.
 
  • Like
Реакции: akok

akok

Команда форума
Администратор
Сообщения
18,326
Реакции
13,792
Баллы
2,203
Удивительно как это старье раньше не взломали, тут даже менять пароли на RDP смысла нет. Если хотите оставить доступ через интернет, обязательно обновите систему до актуальной версии.
 

Иван Росляков

Новый пользователь
Сообщения
3
Реакции
0
Баллы
1
Сервер стоит отключенный от сети. Логи собирал из под пользователя который входит в группу Администратор не из терминальной сессии.
Подскажите пожалуйста есть ли смысл платить вымогателю и сможет ли он сам всё восстановить или этот шифровальщик даже он не сможет полечить.
Я ему отправлял зашифрованный файл Excel он прислал мне нормальный файл. Так вот у меня к Вам вопрос он его расшифровал или восстановил или быть может он вообще всё что зашифровал скопировал себе а мне просто прислал нормальный файл?
Еще он прислал программу для формирования ключа bilocker decrypt.exe я ей прошел по серверу она сформировала ключ запроса в txt файле если это сможет помочь могу прикрепить сюда эти файлы.
 

akok

Команда форума
Администратор
Сообщения
18,326
Реакции
13,792
Баллы
2,203
Этот ключ бесполезен без второго ключа, который есть только у преступников.

Подскажите пожалуйста есть ли смысл платить вымогателю и сможет ли он сам всё восстановить или этот шифровальщик даже он не сможет полечить.
А тут как повезет
 
Последнее редактирование:

Sandor

Команда форума
Супер-Модератор
Ассоциация VN/VIP
Преподаватель
Сообщения
5,816
Реакции
1,952
Баллы
643
Виноват, это название компьютера TERMINAL - сбило с толку :)

  • Отключите до перезагрузки антивирус.
  • Выделите следующий код:
    Код:
    Start::
    IFEO\Your Image File Name Here without a path: [Debugger] ntsd -d
    2020-01-23 20:44 - 2020-01-23 20:44 - 000013931 _____ C:\Documents and Settings\2.TERMINAL\Application Data\Info.hta
    2020-01-23 19:03 - 2020-01-23 20:44 - 000013931 _____ C:\WINDOWS\system32\Info.hta
    2020-01-23 19:03 - 2020-01-23 20:44 - 000000178 _____ C:\FILES ENCRYPTED.txt
    2020-01-23 19:03 - 2020-01-23 19:03 - 000000178 _____ C:\Documents and Settings\newUser\Рабочий стол\FILES ENCRYPTED.txt
    2020-01-22 14:03 - 2020-01-22 14:03 - 000013925 _____ C:\Documents and Settings\super\Application Data\Info.hta
    2020-01-22 14:03 - 2020-01-22 14:03 - 000000174 _____ C:\Documents and Settings\super\Рабочий стол\FILES ENCRYPTED.txt
    End::
  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Fix один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Компьютер перезагрузите вручную.

Подробнее читайте в этом руководстве.
 
Статус
В этой теме нельзя размещать новые ответы.
Сверху Снизу