От
ООО КИП
Добрый день.
Зашифровали данные на пк и серверах (возможно HEUR:Trojan-Ransom)
Сегодня (29.04.2024) были зашифрованы данные на рабочих станциях и серверах компании.
В 28.04.2024 23:19:47 на сервере ДС была создана Групповая политика с применением ко "Всем", "Прошедшим проверку" и "СИСТЕМА"
в настройке ГП:
1. отключаются службы теневого копирования и Брандмауэр Windows
2. в планировщике создаются три назначенные задачи копирования, и исполнения файла
2.1 ds.exe
powershell.exe Copy-Item "\\o*сетевая папка домена*e\netlogon\ds.exe" -Destination "C:\ProgramData"
2.2 запуск
cmd.exe /c c:\programdata\ds.exe -pass 12abeef955e1c76cce1c360ddd6de103
2.3 и запуск из сетевой папки
cmd.exe
Аргументы /c \\o*сетевая папка домена*e\netlogon\ds.exe -pass 12abeef955e1c76cce1c360ddd6de103
2.4 задачи немедленного исполнения по запуску скрипта PS и чистка логов
Немедленная задача (Windows 7 и выше) (имя: 1)
powershell.exe
Аргументы -ex bypass -f \\o*сетевая папка домена*e\netlogon\1.ps1
Немедленная задача (Windows 7 и выше) (имя: log)
cmd.exe
Аргументы /c for /F "tokens=*" %1 in ('wevtutil.exe el') DO wevtutil.exe cl "%1"
после этого на зашифрованных машинах появился файл с содержимым ( весь файл приложу во вложениях)
Утилиты Касперского определили как HEUR:Trojan-Ransom
ESET Определил как - Filecoder.BlackMatter.K
Просьба помочь в расшифровке файлов. может получится подобрать дешифратор
Во вложении включил файлы зашифрованные и оригиналы файлов (уцелевшие) отдельным архивом
Так же есть исполняемый файл ds.exe (пока не прикладывал)
decode.zip Addition.txt FRST.txt
От Tim0n007
От ООО КИП
Рекомендуемые сообщения
Пожалуйста, войдите, чтобы комментировать
Вы сможете оставить комментарий после входа в
Войти