В данном разделе выполняем скрипты лечения и рекомендации только от специалистов нашего форума: rp55rp55, safety, Vvvyg, Arkalik, ZloyDi, Гризлик

Восстановление баз данных 1С. В формате SQL.

Часть баз данных на сервере, оказалась зашифрована. В каталоге баз данных имя базы прежнее, но с расширением PZDC.
Тэги темы:

Комментарии

  • отредактировано June 2019 PM
    Как давно произошло шифрование?
    добавьте образ автозапуска системы где произошло шифрование,
    http://forum.esetnod32.ru/forum9/topic2687/
    добавьте по ссылке архив с файлом записки о выкупе, + один небольшой зашифрованный файл.
    необходимо идентифицировать тип шифратора. Возможно, это Globeimposter v2, надо уточнить.
    Мы ищем точки опоры не с целью перевернуть мир, но чтобы не позволить миру опрокинуть нас.
  • Все сделал по инструкции. Образ автозапуска системы у Вас на почте. Заражение произошло 16.06.2019 г.
  • Все сделал по инструкции.
  • отредактировано June 2019 PM
    похоже было шифрование с помощью GnuPG/PGP

    gpg: зашифровано ключом RSA с идентификатором 84D959E16E808004
    gpg: сбой расшифровки: Нет закрытого ключа

    File: G:\DATA\shifr\encode_files\gnupg\6000\buh-250118.pzdc
    Time: 18.06.2019 18:14:37 (18.06.2019 11:14:37 UTC)
    идентификатор ключа в записке о выкупе:
    gpg: ключ FAB31FD08CEBC9F3: "volodkin" не изменен
    gpg: Всего обработано: 1
    gpg: неизмененных: 1

    File: G:\DATA\shifr\encode_files\gnupg\6000\1.asc
    Time: 18.06.2019 18:29:47 (18.06.2019 11:29:47 UTC)
    pub rsa4096 22.03.2019 [SC]
    8380692BB08CA6F5D4370556FAB31FD08CEBC9F3
    uid [ неизвестно ] volodkin
    sig 3 FAB31FD08CEBC9F3 22.03.2019 volodkin
    *************
    sub rsa4096 22.03.2019 [E]
    sig FAB31FD08CEBC9F3 22.03.2019 volodkin

    Мы ищем точки опоры не с целью перевернуть мир, но чтобы не позволить миру опрокинуть нас.
  • сделайте так же логи FRST
    http://forum.esetnod32.ru/forum9/topic2798/
    будет больше информации о новых файлах и папках в системе
    Мы ищем точки опоры не с целью перевернуть мир, но чтобы не позволить миру опрокинуть нас.
  • Сканирование FRST сделано. Логи FRST у Вас на почте.
  • отредактировано June 2019 PM
    эту папку заархивируйте с паролем infected и вышлите архив в почту
    2019-06-17 13:38 - 2019-06-17 13:38 - 000000000 ____D C:\Documents and Settings\pol****\Application Data\gnupg
    возможно здесь осталась еще информация по используемым ключам.

    папка к сожалению пустая вышла.
    Мы ищем точки опоры не с целью перевернуть мир, но чтобы не позволить миру опрокинуть нас.
  • отредактировано June 2019 PM
    s_pol написал: »
    Все сделал по инструкции. Образ автозапуска системы у Вас на почте. Заражение произошло 16.06.2019 г.
    судя по логам FRST шифрование произошло 15.06.2019
    2019-06-15 13:13 - 2019-06-08 10:22 - 000010016 _____ C:\WINDOWS\1_VIRUS_SHIFROVALSHIK.txt
    и даже раньше:
    2019-06-14 17:20 - 2019-06-08 10:22 - 000010016 _____ C:\Documents and Settings\ttr\Главное меню\Программы\1_VIRUS_SHIFROVALSHIK.txt
    2019-06-14 17:20 - 2019-06-08 10:22 - 000010016 _____ C:\Documents and Settings\ttr\Главное меню\1_VIRUS_SHIFROVALSHIK.txt



    Мы ищем точки опоры не с целью перевернуть мир, но чтобы не позволить миру опрокинуть нас.
  • отредактировано June 2019 PM
    - проверьте, есть ли возможность доступа к серверу из внешней сети? если есть доступ по RDP, необходимо разрешить доступ по RDP только с доверенних ip,;
    - поменяйте все пароли на учетных записях пользователей, в первую очередь для учетных записей с правами администратора на сервере;
    - проверьте есть ли среди удаленных файлов исполняемые файлы: *.bat, *.vbs, *.cmd, *.exe, pubring.*, secring.* на момент шифрования с помощью R-studio portable-версии.
    - восстановите эти файлы на внешний диск, добавьте в архив и предоставьте к нему доступ;
    - установите критические патчи от MS в вашей рабочей системе, чтобы исключить возможность получения доступа с помощью сетевых атак;
    Мы ищем точки опоры не с целью перевернуть мир, но чтобы не позволить миру опрокинуть нас.
  • чуть больше стало информации по вашему шифратору.
    пока исполняемый файл нигде не засветился.
    Файлы, связанные с этим Ransomware:
    1_VIRUS_SHIFROVALSHIK.txt
    <random>.exe - случайное название вредоносного файла

    Расположения:
    \Desktop\ ->
    \User_folders\ ->
    \%TEMP%\ ->

    https://id-ransomware.blogspot.com/2019/06/pzdc-ransomware.html
    Мы ищем точки опоры не с целью перевернуть мир, но чтобы не позволить миру опрокинуть нас.
Войдите или Зарегистрируйтесь чтобы комментировать.