Перейти к содержанию

[РАСШИФРОВАНО] Шифровальщик hopeandhonest@smime.ninja


Рекомендуемые сообщения

Здравствуйте! Зашифрованы файлы в расшареных папках на сервере. Инфицированный компьютер в сети не найден. Аудит на сервере был отключен, все компьютеры без следов шифровальщика. Понимаю, что информации недостаточно, но надеюсь.

файлы+требования.7z

Ссылка на комментарий
Поделиться на другие сайты

Цитата

User11 (S-1-5-21-3717483411-1268531068-3313841229-1044 - Limited - Enabled) => %SystemDrive%\Documents and Settings\User11

а говорите не нашли такого :) 

Ищите, кто имеет доступ только к этому профилю.

Ссылка на комментарий
Поделиться на другие сайты

 

Цитата

C:\Documents and Settings\User11\Мои документы\sng
C:\Documents and Settings\User11\Рабочий стол\sng

что в этих папках?

 

C:\Documents and Settings\User6\Мои документы\NS.exe точно можно удалить. Это как раз сканер сети.

Ссылка на комментарий
Поделиться на другие сайты

2 минуты назад, thyrex сказал:

что в этих папках?

.cr_hand.exe - понятия не имею что это

В сети точно нет компьютера с которого заходили бы под User11.

Пользователи не умеют подключаться к удаленному рабочему столу сервера.

Ссылка на комментарий
Поделиться на другие сайты

9 минут назад, Komicho сказал:

cr_hand.exe - понятия не имею что это

только не вздумайте запускать, ибо это шифратор, который и наделал у Вас бед.

 

Злоумышленники не создают себе профили, попав на сервер. Они пользуются тем, что и так есть.

Цитата

2010-11-15 12:33 - 000000178 ___SH C:\Documents and Settings\User11\ntuser.ini

профиль существует с 2010 года даже, а может и раньше.

 

Как вариант, заблокировать его вообще и в понедельник посмотреть, кто прибежит жаловаться на проблемы с доступом :)

 

Цитата

2022-08-09 23:03 C:\Documents and Settings\User6\Мои документы\NS.exe

что скажете про этого пользователя? Под ним кто-то заходил?

Ссылка на комментарий
Поделиться на другие сайты

13 минут назад, thyrex сказал:

что скажете про этого пользователя? Под ним кто-то заходил?

Профиль старый, сейчас скорее всего не используется. Точнее могу сказать только завтра.

Могу сказать, что заходил некто вчера в 8:20 утра, хотя офис открывается в 10:00

 

17 минут назад, thyrex сказал:

Как вариант, заблокировать его

Заблокировал.

Не прибежит. В офисе всего 13 компьютеров и User11 там не фигурирует.

Что-то все больше утверждаюсь в мысли, что снаружи нас кто-то имеет

Ссылка на комментарий
Поделиться на другие сайты

Вы только сейчас это поняли? Доступ по RDP закрывайте срочно. Именно так распространители разных шифраторов и попадают в систему.

 

Обратите внимание, в какое время сканер сети появился на сервере. В такое время точно рабочий день закончен.

 

Проведите ревизию на сервере на предмет неиспользуемых учеток и заблокируйте их все. Доступ в интернет организуйте через VPN.

 

Чуть позже сегодня, в крайнем случае завтра, постараюсь выдать расшифровку.

Ссылка на комментарий
Поделиться на другие сайты

Спасибо за помощь. Согласен, давно пора навести порядок.

 

Да, и время шифрования файлов 1:40 - 19:50. В это время в офисе никого нет.

Доступа по RDP нет.

Ссылка на комментарий
Поделиться на другие сайты

Гость
Эта тема закрыта для публикации ответов.
  • Похожий контент

    • Tadmin
      Автор Tadmin
      Около года или двух назад один из наших корпоративных пк был заражен шифровальщиком, на нем хранилось множество фотографий, которые зашифровались, тот пк был сразу отформатирован, но перед этим зашифрованные файлы были перемещены, сейчас в них появилась нужда, прикрепляю пример зашифрованных файлов.
      hopeandhonest@smime.ninja.zip
    • Rena73
      Автор Rena73
      Пытаюсь расшифровать файлы. не получается. ZXyL8wFFae.rar
    • alexlaev
      Автор alexlaev
      Доброго бодрого, придя на работу в понедельник пришло осознание того что на сервере происходит что-то неладное, появились файлы с расширением .[nullhex@2mail.co].0C8D0E91
      Ничего не поняв, начал искать что могло произойти, один из компьютеров был подвержен атаке, в ночь с пятницы на субботу по местному времени в 3:30 утра 28.06.2025 было совершено подключение по RDP к данному компьютеру. После анализа действий программы Clipdiary (благо была установлена на компьютере) было выявлено что злоумышленник владеет всей информацией о паролях от сервера, пользователей, список пользователей в сети, и начал свою атаку глубже. Этот компьютер имел админку к серверу, поэтому злоумышленник без труда добрался до него и начал шифровать данные как и на двух других компьютерах. По итогу то ли то что злоумышленнику стало скучно, то ли из-за того что компьютер завис в этот момент (на часах было 10:03 29.06.2025 (я смотрел на время на экране уже на следующий день в понедельник 30.06.2025 в 11:30, поэтому обратил внимание сразу что время не совпадает и комп заблокирован и завис)) у злоумышленника доступ к серверу пропал, потому как по RDP только из локалки можно к нему цепляться. Файлы незначительные повреждены, но уже восстановлены из бэкапа(благо делается каждый день)
      А вот с компьютерами меньше повезло, три компа полностью зашифрованы. Прилагаю файлы и проверку в программе указанной в теме правил.
      vse tut.rar
    • ratava
      Автор ratava
      Поймал шифровальщика, судя по подобным темам файлы расшифровать не получится, хотелось бы удалить его из системы и обойтись без переустановки, если такое возможно
      FRST.txt Addition.txt Shortcut.txt Desktop.zip
    • kocks33
      Автор kocks33
      Добрый день!
      На сервер проник шифровальщик. Зашифровал весь диск D, снял лицензию с сервера
      Можно ли как то расшифровать файлы. Помогите пожалуйста.


×
×
  • Создать...