Перейти к содержанию

Поймали шифровальщик. KSOS молчит

Валерий Е
 Поделиться

Рекомендуемые сообщения

Валерий Е Новичок

Валерий Е

Опубликовано
Опубликовано

Доброго
Win 1C MSSQL
Стоит KSOS c фаерволом, обновляется
Сегодня после зависания сервера обнаружили шифровальщик.
Файлы баз все большие, прикрепить не получится.
Внутри архива файл от шифровальщика и данные по скану

Downloads.rar

Ссылка на комментарий
Поделиться на другие сайты
Валерий Е Новичок

Валерий Е

Опубликовано
  • Автор
Опубликовано

Нашёл два файла, помомо баз

854 и 855 от 27.05.22.pdf.rar

Стоит KSOS FS 21.3.10.391 (i). Базы актуальны
Фаервол KSOS пускает только с указанных корпоративных сетей. Периодически хвастается отбитыми сетевыми атаками.
WinSRV 2019. Внутри 1С, MSSQL, RDP для доступа. Лишнего ничего нет.
Куда копать? Менять везде с KSOS на DrWeb?

Ссылка на комментарий
Поделиться на другие сайты
Sandor Мудрец

Sandor

Опубликовано
Опубликовано

Здравствуйте!

 

Уточню: здесь сообщество энтузиастов, которые, как правило, не являются сотрудниками компании.

Если вам нужен официальный ответ, обратитесь через CompanyAccount. Результаты этого обращения нам тоже интересны.

 

Пока пытаемся определить тип вымогателя.

Разрешения на порты в брандмауэре задавали самостоятельно?

Цитата

FirewallRules: [{DF32BD3A-4665-4606-90BE-431EB9506CBA}] => (Allow) LPort=5985
FirewallRules: [{EC225CE7-1799-4341-9102-56A736A4885B}] => (Allow) LPort=22


 

Ссылка на комментарий
Поделиться на другие сайты
Валерий Е Новичок

Валерий Е

Опубликовано
  • Автор
Опубликовано
1 час назад, Sandor сказал:

Здравствуйте!

 

Уточню: здесь сообщество энтузиастов, которые, как правило, не являются сотрудниками компании.

Если вам нужен официальный ответ, обратитесь через CompanyAccount. Результаты этого обращения нам тоже интересны.

 

Пока пытаемся определить тип вымогателя.

Разрешения на порты в брандмауэре задавали самостоятельно?


 

Нет, по портам ничего не открывал. Добавлял пакетные правила по IP

Ссылка на комментарий
Поделиться на другие сайты
Sandor Мудрец

Sandor

Опубликовано
Опубликовано
  • Отключите до перезагрузки антивирус.
  • Выделите следующий код: 
    Start::
HKU\S-1-5-21-1529329868-4193605527-1947751173-500\...\MountPoints2: {ad4f0557-ab4a-11ec-a65d-0cc47ae1cd96} - "F:\SETUP.EXE" 
Startup: C:\Users\Administrator\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\FILES_ENCRYPTED.txt [2022-06-21] () [Файл не подписан]
Startup: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\FILES_ENCRYPTED.txt [2022-06-21] () [Файл не подписан]
Startup: C:\Users\stepanovsv\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\FILES_ENCRYPTED.txt [2022-06-21] () [Файл не подписан]
Startup: C:\Users\USR1CV83\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\FILES_ENCRYPTED.txt [2022-06-21] () [Файл не подписан]
2022-07-02 11:37 - 2022-06-21 13:49 - 000000083 _____ C:\Users\USR1CV83\FILES_ENCRYPTED.txt
2022-07-02 11:37 - 2022-06-21 13:49 - 000000083 _____ C:\Users\USR1CV83\Downloads\FILES_ENCRYPTED.txt
2022-07-02 11:37 - 2022-06-21 13:49 - 000000083 _____ C:\Users\USR1CV83\Documents\FILES_ENCRYPTED.txt
2022-07-02 11:37 - 2022-06-21 13:49 - 000000083 _____ C:\Users\USR1CV83\Desktop\FILES_ENCRYPTED.txt
2022-07-02 11:37 - 2022-06-21 13:49 - 000000083 _____ C:\Users\USR1CV83\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\FILES_ENCRYPTED.txt
2022-07-02 11:37 - 2022-06-21 13:49 - 000000083 _____ C:\Users\USR1CV83\AppData\Roaming\Microsoft\Windows\Start Menu\FILES_ENCRYPTED.txt
2022-07-02 11:37 - 2022-06-21 13:49 - 000000083 _____ C:\Users\USR1CV83\AppData\Roaming\FILES_ENCRYPTED.txt
2022-07-02 11:37 - 2022-06-21 13:49 - 000000083 _____ C:\Users\USR1CV83\AppData\LocalLow\FILES_ENCRYPTED.txt
2022-07-02 11:37 - 2022-06-21 13:49 - 000000083 _____ C:\Users\USR1CV8\FILES_ENCRYPTED.txt
2022-07-02 11:37 - 2022-06-21 13:49 - 000000083 _____ C:\Users\USR1CV8\Downloads\FILES_ENCRYPTED.txt
2022-07-02 11:37 - 2022-06-21 13:49 - 000000083 _____ C:\Users\USR1CV8\Documents\FILES_ENCRYPTED.txt
2022-07-02 11:37 - 2022-06-21 13:49 - 000000083 _____ C:\Users\USR1CV8\Desktop\FILES_ENCRYPTED.txt
2022-07-02 11:37 - 2022-06-21 13:49 - 000000083 _____ C:\Users\USR1CV8\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\FILES_ENCRYPTED.txt
2022-07-02 11:37 - 2022-06-21 13:49 - 000000083 _____ C:\Users\USR1CV8\AppData\Roaming\Microsoft\Windows\Start Menu\FILES_ENCRYPTED.txt
2022-07-02 11:37 - 2022-06-21 13:49 - 000000083 _____ C:\Users\USR1CV8\AppData\Roaming\FILES_ENCRYPTED.txt
2022-07-02 11:37 - 2022-06-21 13:49 - 000000083 _____ C:\Users\USR1CV8\AppData\LocalLow\FILES_ENCRYPTED.txt
2022-07-02 11:37 - 2022-06-21 13:49 - 000000083 _____ C:\Users\USR1CV8\AppData\Local\Temp\FILES_ENCRYPTED.txt
2022-07-02 11:37 - 2022-06-21 13:49 - 000000083 _____ C:\Users\stepanovsv\FILES_ENCRYPTED.txt
2022-07-02 11:37 - 2022-06-21 13:49 - 000000083 _____ C:\Users\stepanovsv\Downloads\FILES_ENCRYPTED.txt
2022-07-02 11:37 - 2022-06-21 13:49 - 000000083 _____ C:\Users\stepanovsv\Documents\FILES_ENCRYPTED.txt
2022-07-02 11:37 - 2022-06-21 13:49 - 000000083 _____ C:\Users\stepanovsv\Desktop\FILES_ENCRYPTED.txt
2022-07-02 11:37 - 2022-06-21 13:49 - 000000083 _____ C:\Users\stepanovsv\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\FILES_ENCRYPTED.txt
2022-07-02 11:37 - 2022-06-21 13:49 - 000000083 _____ C:\Users\stepanovsv\AppData\Roaming\Microsoft\Windows\Start Menu\FILES_ENCRYPTED.txt
2022-07-02 11:37 - 2022-06-21 13:49 - 000000083 _____ C:\Users\stepanovsv\AppData\Roaming\FILES_ENCRYPTED.txt
2022-07-02 11:37 - 2022-06-21 13:49 - 000000083 _____ C:\Users\stepanovsv\AppData\LocalLow\FILES_ENCRYPTED.txt
2022-07-02 11:37 - 2022-06-21 13:49 - 000000083 _____ C:\Users\stepanovsv\AppData\Local\Temp\FILES_ENCRYPTED.txt
2022-07-02 11:37 - 2022-06-21 13:49 - 000000083 _____ C:\Users\Public\FILES_ENCRYPTED.txt
2022-07-02 11:37 - 2022-06-21 13:49 - 000000083 _____ C:\Users\Public\Downloads\FILES_ENCRYPTED.txt
2022-07-02 11:37 - 2022-06-21 13:49 - 000000083 _____ C:\Users\Public\Documents\FILES_ENCRYPTED.txt
2022-07-02 11:37 - 2022-06-21 13:49 - 000000083 _____ C:\Users\Default\Downloads\FILES_ENCRYPTED.txt
2022-07-02 11:37 - 2022-06-21 13:49 - 000000083 _____ C:\Users\Default\Documents\FILES_ENCRYPTED.txt
2022-07-02 11:37 - 2022-06-21 13:49 - 000000083 _____ C:\Users\Default\Desktop\FILES_ENCRYPTED.txt
2022-07-02 11:37 - 2022-06-21 13:49 - 000000083 _____ C:\Users\Default\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\FILES_ENCRYPTED.txt
2022-07-02 11:37 - 2022-06-21 13:49 - 000000083 _____ C:\Users\Default\AppData\Roaming\Microsoft\Windows\Start Menu\FILES_ENCRYPTED.txt
2022-07-02 11:37 - 2022-06-21 13:49 - 000000083 _____ C:\Users\Default\AppData\Roaming\FILES_ENCRYPTED.txt
2022-07-02 11:37 - 2022-06-21 13:49 - 000000083 _____ C:\Users\Default\AppData\Local\Temp\FILES_ENCRYPTED.txt
2022-07-02 11:37 - 2022-06-21 13:49 - 000000083 _____ C:\Users\Administrator\FILES_ENCRYPTED.txt
2022-07-02 11:37 - 2022-06-21 13:49 - 000000083 _____ C:\Users\Administrator\Downloads\FILES_ENCRYPTED.txt
2022-07-02 11:37 - 2022-06-21 13:49 - 000000083 _____ C:\Users\Administrator\Documents\FILES_ENCRYPTED.txt
2022-07-02 11:37 - 2022-06-21 13:49 - 000000083 _____ C:\Users\Administrator\Desktop\FILES_ENCRYPTED.txt
2022-07-02 11:37 - 2022-06-21 13:49 - 000000083 _____ C:\Users\Administrator\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\FILES_ENCRYPTED.txt
2022-07-02 11:37 - 2022-06-21 13:49 - 000000083 _____ C:\Users\Administrator\AppData\Roaming\Microsoft\Windows\Start Menu\FILES_ENCRYPTED.txt
2022-07-02 11:37 - 2022-06-21 13:49 - 000000083 _____ C:\Users\Administrator\AppData\Roaming\FILES_ENCRYPTED.txt
2022-07-02 11:37 - 2022-06-21 13:49 - 000000083 _____ C:\Users\Administrator\AppData\LocalLow\FILES_ENCRYPTED.txt
2022-07-02 11:37 - 2022-06-21 13:49 - 000000083 _____ C:\Users\Administrator\AppData\Local\Temp\FILES_ENCRYPTED.txt
2022-07-02 11:37 - 2022-06-21 13:49 - 000000083 _____ C:\ProgramData\Microsoft\Windows\Start Menu\Programs\FILES_ENCRYPTED.txt
2022-07-02 11:37 - 2022-06-21 13:49 - 000000083 _____ C:\ProgramData\Microsoft\Windows\Start Menu\FILES_ENCRYPTED.txt
FirewallRules: [{DF32BD3A-4665-4606-90BE-431EB9506CBA}] => (Allow) LPort=5985
FirewallRules: [{EC225CE7-1799-4341-9102-56A736A4885B}] => (Allow) LPort=22
End::

     

  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.


Компьютер перезагрузите вручную.

Подробнее читайте в этом руководстве.

 

Пожалуйста, не цитируйте полностью предыдущее сообщение, это ухудшает читаемость темы. Просто отвечайте в нижнем блоке быстрого ответа.

Ссылка на комментарий
Поделиться на другие сайты
Sandor Мудрец

Sandor

Опубликовано
Опубликовано

Другими словами, антивирус был остановлен. Нужно принять меры для предотвращения подобного, т.е. остановка должна быть запрещена политикой.

 

23 часа назад, Sandor сказал:

Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению

Жду.

Ссылка на комментарий
Поделиться на другие сайты
Sandor Мудрец

Sandor

Опубликовано
Опубликовано

@Alex52, здравствуйте!

 

В этом разделе действуют определенные правила. Не нарушайте их, пожалуйста, пункт 2.2.

Либо просто следите за этой темой, либо создайте свою и выполните Порядок оформления запроса о помощи

Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Поделиться
Перейти к списку тем

  • Похожий контент

    • ViZorT
      Поймал шифровальщик blackpanther@mailum
      Автор ViZorT
      Поймали шифровальщик blackpanther@mailum.
      ОС не переустанавливалась.
      Прошу помощи.
      Файл шифровальщика, предположительно, удалось найти. Имеется архив с ним.
      Спасибо.
      Addition.txt Desktop.rar FRST.txt
    • barkalova
      Поймал шифровальщик gatilavtuz@msg
      Автор barkalova
      Поймали шифровальщик gatilavtuz@msg на рабочую машину,  попросили за дешифровку 400 000р! Есть ли какой то способ вернуть файлы? помогите!
      Addition.txt FRST.txt Desktop.rar
    • dampe
      поймал шифровальщик ooo4ps
      Автор dampe
      Добрый день! прошу помощи, может кто то уже смог решить эту проблему. На облачный сервер проник вирус и зашифровал файлы, БД и заблокировал битлокером диск. Прикладываю лог Elcomsoft Encrypted Disk Hunter и пример зашифрованного файла
      EEDH - 02.03.2025 13-20-38.log ВМТ.pdf.rar
    • bakankovaelena
      Пойман шифровальщик [nullhexxx@gmail.com].EAE6F491
      Автор bakankovaelena
      Сегодня утром были "обрадованы". Кто такой, какой тип не знаем. Есть только письмо от вымогателя и пара незашифрованных/зашифрованных файлов. Я сама не программист и с утилитой Farbar пока не справилась, надеюсь, что завтра кто-нибудь поможет и будет более полная информация.
      Файлы с файлами прилагаю
      OLD.7z
    • АлександрЛ.
      Поймали шифровальщик decodehop@gmail.com
      Автор АлександрЛ.
      Добрый день!
       
      Большая просьба дать инструкции и помочь с дешифровкой, если это возможно.
       
      Названия файлов такие: 20151225_173456.jpg.[MJ-RZ8234915670](decodehop@gmail.com ).hop_dec.
×
×
  • Создать...