Восстановление баз данных 1С. В формате SQL.

s_pol

Часть баз данных на сервере, оказалась зашифрована. В каталоге баз данных имя базы прежнее, но с расширением PZDC.

safety

Как давно произошло шифрование?
добавьте образ автозапуска системы где произошло шифрование,
http://forum.esetnod32.ru/forum9/topic2687/
добавьте по ссылке архив с файлом записки о выкупе, + один небольшой зашифрованный файл.
необходимо идентифицировать тип шифратора. Возможно, это Globeimposter v2, надо уточнить.

s_pol

Все сделал по инструкции. Образ автозапуска системы у Вас на почте. Заражение произошло 16.06.2019 г.

s_pol

Все сделал по инструкции.

safety

похоже было шифрование с помощью GnuPG/PGP

gpg: зашифровано ключом RSA с идентификатором 84D959E16E808004
gpg: сбой расшифровки: Нет закрытого ключа

File: G:\DATA\shifr\encode_files\gnupg\6000\buh-250118.pzdc
Time: 18.06.2019 18:14:37 (18.06.2019 11:14:37 UTC)

---

идентификатор ключа в записке о выкупе:
gpg: ключ FAB31FD08CEBC9F3: "volodkin" не изменен
gpg: Всего обработано: 1
gpg: неизмененных: 1

File: G:\DATA\shifr\encode_files\gnupg\6000\1.asc
Time: 18.06.2019 18:29:47 (18.06.2019 11:29:47 UTC)

pub rsa4096 22.03.2019 [SC]
8380692BB08CA6F5D4370556FAB31FD08CEBC9F3

---

uid [ неизвестно ] volodkin
sig 3 FAB31FD08CEBC9F3 22.03.2019 volodkin
*************
sub rsa4096 22.03.2019 [E]
sig FAB31FD08CEBC9F3 22.03.2019 volodkin

safety

сделайте так же логи FRST
http://forum.esetnod32.ru/forum9/topic2798/
будет больше информации о новых файлах и папках в системе

s_pol

Сканирование FRST сделано. Логи FRST у Вас на почте.

safety

эту папку заархивируйте с паролем infected и вышлите архив в почту

2019-06-17 13:38 - 2019-06-17 13:38 - 000000000 ____D C:\Documents and Settings\pol****\Application Data\gnupg

возможно здесь осталась еще информация по используемым ключам.

папка к сожалению пустая вышла.

safety

s_pol написал: »

Все сделал по инструкции. Образ автозапуска системы у Вас на почте. Заражение произошло 16.06.2019 г.

судя по логам FRST шифрование произошло 15.06.2019
2019-06-15 13:13 - 2019-06-08 10:22 - 000010016 _____ C:\WINDOWS\1_VIRUS_SHIFROVALSHIK.txt
и даже раньше:
2019-06-14 17:20 - 2019-06-08 10:22 - 000010016 _____ C:\Documents and Settings\ttr\Главное меню\Программы\1_VIRUS_SHIFROVALSHIK.txt
2019-06-14 17:20 - 2019-06-08 10:22 - 000010016 _____ C:\Documents and Settings\ttr\Главное меню\1_VIRUS_SHIFROVALSHIK.txt

safety

- проверьте, есть ли возможность доступа к серверу из внешней сети? если есть доступ по RDP, необходимо разрешить доступ по RDP только с доверенних ip,;
- поменяйте все пароли на учетных записях пользователей, в первую очередь для учетных записей с правами администратора на сервере;
- проверьте есть ли среди удаленных файлов исполняемые файлы: *.bat, *.vbs, *.cmd, *.exe, pubring.*, secring.* на момент шифрования с помощью R-studio portable-версии.
- восстановите эти файлы на внешний диск, добавьте в архив и предоставьте к нему доступ;
- установите критические патчи от MS в вашей рабочей системе, чтобы исключить возможность получения доступа с помощью сетевых атак;

safety

чуть больше стало информации по вашему шифратору.
пока исполняемый файл нигде не засветился.

Файлы, связанные с этим Ransomware:
1_VIRUS_SHIFROVALSHIK.txt
<random>.exe - случайное название вредоносного файла

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->

https://id-ransomware.blogspot.com/2019/06/pzdc-ransomware.html