Алекс Пермь
Новый пользователь
- Сообщения
- 11
- Реакции
- 0
Внимание. Восстановление баз 1С7, 1C8 и Mssql после атаки шифровальщика, подробности и отзывы читайте в профильной теме.
Внимание. Восстановление архивов RAR и ZIP, образов Acronis и виртуальных машин, баз почтовых программ после атаки шифровальщика, подробности и отзывы читайте в профильной теме.
система погашена - в смысле отключена? да... отключили. Процесс manual.exe был "убит" вручную после того, как заметили подозрительную активность: грузил процессор.Поможет только понять как шифруются файлы, и если все сделано правильно, то расшифровка будет невозможна. Система после переустановки? Если нет, то нужны логи https://safezone.cc/decryption-rules/ (если система погашена, то пишите об этом, дам инструкцию по съему логов через liveCD)
И пару небольших зашифрованных файлов.
Зашли скорее всего через RDP, могли добавить шифровальщик в автозапуск и оставить бекдор, пароли обязательно смените, ну и патчи безопасности.Процесс manual.exe был "убит" вручную после того, как заметили подозрительную активность: грузил процессор.
Зашли под пользователем 1C, запустили шифратор, вручную выбрав, что шифроватьЗашли скорее всего через RDP, могли добавить шифровальщик в автозапуск
а как вы определили, что именно пользователь 1С ? можно это где-то посмотреть?Зашли под пользователем 1C, запустили шифратор, вручную выбрав, что шифровать
что зашифровано всё равно не восстановить... а есть ли смысл ждать, что когда-нибудь появится "лекарство" именно от этого шифратора?Тогда софт по восстановлению системы... например Скачайте Hetman Office Recovery бесплатно: дистрибутив, отзывы
в содержимом зашифрованных файлов хранится имя пользователя, под которым было запущено шифрование. Только не в явном виде, а преобразованном согласно некому правилу.а как вы определили, что именно пользователь 1С ?
ок.. спасибо. буим думать...((в содержимом зашифрованных файлов хранится имя пользователя, под которым было запущено шифрование. Только не в явном виде, а преобразованном согласно некому правилу.
Зашли под пользователем 1C, запустили шифратор, вручную выбрав, что шифровать
Только не в явном виде, а преобразованном согласно некому правилу.
алгоритм преобразования в теле самого вирусат.е. хитрое правило Вам известно?
именно так. В автозапуск при старте имеющийся вариант не прописывается.кто-то руками по RDP зашел под пользователем 1С, вырубил антивирус (т.к. у меня домашний родной WinDefender сразу определил на флешке manual.exe, который сохранили... а на сервере стоит точно такой же постоянно обновляющийся...) и запустил шифрование - указав, что именно нужно шифровать??
We use cookies and similar technologies for the following purposes:
Do you accept cookies and these technologies?
We use cookies and similar technologies for the following purposes:
Do you accept cookies and these technologies?