Перейти к содержанию

[Hunter_or_faggot].Horsefucker, на сервере win2019, шифровальщик. RDP, KOS. Нужны рекомендации по восстановлению.


Рекомендуемые сообщения

Опубликовано

Сервер удаленных рабочих столов, 1с сервер. Словили шифровальщика из темы. в 23:05 отработал, с правами Администратора, побил сервер 1с, MSSQL сервер, базы данных.  KOS файл сервер был установлен, сейчас поврежден. Нужны рекомендации по восстановлению системы, очистки от следов, рекомендации по безопасности. Также если возможно подскажите как по логам отследить что именно произошло - вошли по РДП или отработал какой то вирус. 

Addition.txt FRST.txt файлы.rar

Опубликовано

А как убедиться что система безопасна? Чем можно все обработать? Или лучше все заново переустановить?

Опубликовано

Закрыть RDP. Интернет только через VPN.

Даже если будете переустанавливать.

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
  • Похожий контент

    • Olegon_Drrr
      Автор Olegon_Drrr
      Добрый день, поймали шифровальщик diametr.exe 
      текст сообщения следующий
      🔒 WHAT HAPPENED? 🔒

      Your network has been breached. All your critical files, databases, and backups are encrypted.

      Do not waste time. Do not involve law enforcement. Do not try recovery tools — they will destroy your data permanently.

      📆 Deadline: 48 hours

      🔗 Our emaif for contact (use ProtonMail for write email): decrypcenter@onionmail.org

      There you will find:
      - Your personal decryption tool (unique ID: 86d0911e5fb69b003a8f058f712f77c230bb9c059e4e04a3a12b9a32d237a99)
      - Proof that we have your data (sample decryption)
      - Negotiation chat (if you cooperate)

      ⚠️ IMPORTANT:
      1. Do not rename, move, or modify encrypted files.
      2. Only Monero or Bitcoin are accepted. No chargebacks.

      📎 Your unique ID:
      86d0911e5fb69b003a8f058f712f77c230bb9c059e4e04a3a12b9a32d237a99


      We are not a political group. We are a business. Pay and move on.
       
      лежит в текстовом файле в корне дисков, расширения файлов теперь xlsx.5c81a2d889169033
      В наличии также есть екзешники и команды, которыми зашифровывались диски, такого типа 
      diametr.exe b0....b5 -r E:
      Addition.txt FRST.txt Crypt.zip
    • mibds
      Автор mibds
      Здравствуйте. 
       
      Значит все по стандарту.
       
      Секретарше прислали письмо на почту, со вложенным архивом "Сообщение о задолженности". (Прикрепил к теме архив, переименовал в "осторожно вирус")
       
      В архиве скрипт *.js.  с названием "сообщение о задолженности"
       
      Девочка архив распаковала, файл попыталась открыть, скрипт видимо сработал и заблокировались все файлы excel (xls, xlsx) и word (doc).
       
      Вроде другие файлы не пострадали... но могу и не знать. Знаю точно что не пострадали PDF-файлы и те файлы где стояла галка "только чтение", но таких единицы к сожалению.
       
      Прикрепил для примера архив "несколько зашифрованных файлов для примера". Там 5 зашифрованных файлов, точно не скажу "доки" или "эксели".
       
      Прикрепил логи
       
      несколько зашифрованных файлов для примера.rar
      CollectionLog-2015.10.08-17.09.zip
    • Valek777
      Автор Valek777
      Ваши файлы были зашифрованы.
      Чтобы расшифровать их, Вам необходимо отправить код: 419D9A8EFC43B7B3A621|0 на электронный адрес decode00001@gmail.com или decode00002@gmail.com . Далее вы получите все необходимые инструкции.   Попытки расшифровать самостоятельно не приведут ни к чему, кроме безвозвратной потери информации.     All the important files on your computer were encrypted. To decrypt the files you should send the following code: 419D9A8EFC43B7B3A621|0 to e-mail address decode00001@gmail.com or decode00002@gmail.com . Then you will receive all necessary instructions. All the attempts of decryption by yourself will result only in irrevocable loss of your data. CollectionLog-2015.03.27-22.57.zip
    • СергейПенза
      Автор СергейПенза
      Здравствуйте! Вирус зашифровал офисные файлы, .pdf, .jpeg, архивы. У всех файлов добавлено расширение .zmsgrcl
      Прикрепляю 2 версии одного файла, зашифрованную и обычную, рабочую, так же CureIt нашел тело вируса(2 файла с одинаковым размером, но разными именами), временная активность совпадает с временем поражения. Так же прикрепляю логи. Пароль на архив infected
      Заранее спасибо!
       

      Строгое предупреждение от модератора Roman_Five Зловреда выкладывать не надо! CollectionLog-2015.01.29-11.52.zip
    • vi-ego
      Автор vi-ego
      Всем добрый день. У меня такая вот проблемка. На днях user  открыл почтовое сообщение в котором было тело вируса и естественно его запустил по незнанию, в результате в течении минуты были зашифрованы все файлы на его рабочей машине. Помогите исправить, как можно дешифровать данные? Все нужные файлы во вложении. Ни в коем случае не запускаем файл с расширением . exe иначе Ваши файлы все зашифруются..
       
       

      Сообщение от модератора Карантин в теме Doc1.doc
×
×
  • Создать...