Перейти к содержанию

Шифровальшик попал на сервер через RDP


Рекомендуемые сообщения

Остались ли в систему следы шифровальщика вируса? 

 

вот такой был текст 

 

All your data has been locked us
You want to return?
Write email adk0@keemail.me

FRST.txt Addition.txt

Ссылка на сообщение
Поделиться на другие сайты

Здравствуйте!

 

  • Отключите до перезагрузки антивирус.
  • Выделите следующий код:
    Start::
    Startup: C:\Users\adm1c\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\FILES_ENCRYPTED.txt [2022-08-02] () [File not signed]
    Startup: C:\Users\Administrator\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\FILES_ENCRYPTED.txt [2022-08-02] () [File not signed]
    Startup: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\FILES_ENCRYPTED.txt [2022-08-02] () [File not signed]
    Startup: C:\Users\USR1CV83\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\FILES_ENCRYPTED.txt [2022-08-02] () [File not signed]
    2022-12-24 06:01 - 2022-08-02 12:54 - 000000082 _____ C:\Users\USR1CV83\FILES_ENCRYPTED.txt
    2022-12-24 06:01 - 2022-08-02 12:54 - 000000082 _____ C:\Users\USR1CV83\Downloads\FILES_ENCRYPTED.txt
    2022-12-24 06:01 - 2022-08-02 12:54 - 000000082 _____ C:\Users\USR1CV83\Documents\FILES_ENCRYPTED.txt
    2022-12-24 06:01 - 2022-08-02 12:54 - 000000082 _____ C:\Users\USR1CV83\Desktop\FILES_ENCRYPTED.txt
    2022-12-24 06:01 - 2022-08-02 12:54 - 000000082 _____ C:\Users\USR1CV83\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\FILES_ENCRYPTED.txt
    2022-12-24 06:01 - 2022-08-02 12:54 - 000000082 _____ C:\Users\USR1CV83\AppData\Roaming\Microsoft\Windows\Start Menu\FILES_ENCRYPTED.txt
    2022-12-24 06:01 - 2022-08-02 12:54 - 000000082 _____ C:\Users\USR1CV83\AppData\Roaming\FILES_ENCRYPTED.txt
    2022-12-24 06:01 - 2022-08-02 12:54 - 000000082 _____ C:\Users\USR1CV83\AppData\LocalLow\FILES_ENCRYPTED.txt
    2022-12-24 06:01 - 2022-08-02 12:54 - 000000082 _____ C:\Users\sa_1c\FILES_ENCRYPTED.txt
    2022-12-24 06:01 - 2022-08-02 12:54 - 000000082 _____ C:\Users\sa_1c\Downloads\FILES_ENCRYPTED.txt
    2022-12-24 06:01 - 2022-08-02 12:54 - 000000082 _____ C:\Users\sa_1c\Documents\FILES_ENCRYPTED.txt
    2022-12-24 06:01 - 2022-08-02 12:54 - 000000082 _____ C:\Users\sa_1c\Desktop\FILES_ENCRYPTED.txt
    2022-12-24 06:01 - 2022-08-02 12:54 - 000000082 _____ C:\Users\sa_1c\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\FILES_ENCRYPTED.txt
    2022-12-24 06:01 - 2022-08-02 12:54 - 000000082 _____ C:\Users\sa_1c\AppData\Roaming\Microsoft\Windows\Start Menu\FILES_ENCRYPTED.txt
    2022-12-24 06:01 - 2022-08-02 12:54 - 000000082 _____ C:\Users\sa_1c\AppData\Roaming\FILES_ENCRYPTED.txt
    2022-12-24 06:01 - 2022-08-02 12:54 - 000000082 _____ C:\Users\sa_1c\AppData\LocalLow\FILES_ENCRYPTED.txt
    2022-12-24 06:01 - 2022-08-02 12:54 - 000000082 _____ C:\Users\sa_1c\AppData\Local\Temp\FILES_ENCRYPTED.txt
    2022-12-24 06:01 - 2022-08-02 12:54 - 000000082 _____ C:\Users\Public\FILES_ENCRYPTED.txt
    2022-12-24 06:01 - 2022-08-02 12:54 - 000000082 _____ C:\Users\Public\Downloads\FILES_ENCRYPTED.txt
    2022-12-24 06:01 - 2022-08-02 12:54 - 000000082 _____ C:\Users\Public\Documents\FILES_ENCRYPTED.txt
    2022-12-24 06:01 - 2022-08-02 12:54 - 000000082 _____ C:\Users\Default\Downloads\FILES_ENCRYPTED.txt
    2022-12-24 06:01 - 2022-08-02 12:54 - 000000082 _____ C:\Users\Default\Documents\FILES_ENCRYPTED.txt
    2022-12-24 06:01 - 2022-08-02 12:54 - 000000082 _____ C:\Users\Default\Desktop\FILES_ENCRYPTED.txt
    2022-12-24 06:01 - 2022-08-02 12:54 - 000000082 _____ C:\Users\Default\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\FILES_ENCRYPTED.txt
    2022-12-24 06:01 - 2022-08-02 12:54 - 000000082 _____ C:\Users\Default\AppData\Roaming\Microsoft\Windows\Start Menu\FILES_ENCRYPTED.txt
    2022-12-24 06:01 - 2022-08-02 12:54 - 000000082 _____ C:\Users\Default\AppData\Roaming\FILES_ENCRYPTED.txt
    2022-12-24 06:01 - 2022-08-02 12:54 - 000000082 _____ C:\Users\Default\AppData\Local\Temp\FILES_ENCRYPTED.txt
    2022-12-24 06:01 - 2022-08-02 12:54 - 000000082 _____ C:\Users\Administrator\FILES_ENCRYPTED.txt
    2022-12-24 06:01 - 2022-08-02 12:54 - 000000082 _____ C:\Users\Administrator\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\FILES_ENCRYPTED.txt
    2022-12-24 06:01 - 2022-08-02 12:54 - 000000082 _____ C:\Users\Administrator\AppData\Roaming\Microsoft\Windows\Start Menu\FILES_ENCRYPTED.txt
    2022-12-24 06:01 - 2022-08-02 12:54 - 000000082 _____ C:\Users\Administrator\AppData\Roaming\FILES_ENCRYPTED.txt
    2022-12-24 06:01 - 2022-08-02 12:54 - 000000082 _____ C:\Users\Administrator\AppData\LocalLow\FILES_ENCRYPTED.txt
    2022-12-24 06:01 - 2022-08-02 12:54 - 000000082 _____ C:\Users\Administrator\AppData\Local\Temp\FILES_ENCRYPTED.txt
    2022-12-24 06:01 - 2022-08-02 12:54 - 000000082 _____ C:\Users\adm1c\FILES_ENCRYPTED.txt
    2022-12-24 06:01 - 2022-08-02 12:54 - 000000082 _____ C:\Users\adm1c\Downloads\FILES_ENCRYPTED.txt
    2022-12-24 06:01 - 2022-08-02 12:54 - 000000082 _____ C:\Users\adm1c\Documents\FILES_ENCRYPTED.txt
    2022-12-24 06:01 - 2022-08-02 12:54 - 000000082 _____ C:\Users\adm1c\Desktop\FILES_ENCRYPTED.txt
    2022-12-24 06:01 - 2022-08-02 12:54 - 000000082 _____ C:\Users\adm1c\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\FILES_ENCRYPTED.txt
    2022-12-24 06:01 - 2022-08-02 12:54 - 000000082 _____ C:\Users\adm1c\AppData\Roaming\Microsoft\Windows\Start Menu\FILES_ENCRYPTED.txt
    2022-12-24 06:01 - 2022-08-02 12:54 - 000000082 _____ C:\Users\adm1c\AppData\Roaming\FILES_ENCRYPTED.txt
    2022-12-24 06:01 - 2022-08-02 12:54 - 000000082 _____ C:\Users\adm1c\AppData\LocalLow\FILES_ENCRYPTED.txt
    2022-12-24 06:01 - 2022-08-02 12:54 - 000000082 _____ C:\Users\adm1c\AppData\Local\Temp\FILES_ENCRYPTED.txt
    2022-12-24 06:01 - 2022-08-02 12:54 - 000000082 _____ C:\ProgramData\Microsoft\Windows\Start Menu\Programs\FILES_ENCRYPTED.txt
    2022-12-24 06:01 - 2022-08-02 12:54 - 000000082 _____ C:\ProgramData\Microsoft\Windows\Start Menu\FILES_ENCRYPTED.txt
    FirewallRules: [{D6F6082C-4B5F-4BB4-A3BB-51860394FA73}] => (Allow) LPort=5985
    FirewallRules: [{2D4C4EF8-DBEF-4213-A562-32F71619949A}] => (Allow) LPort=22
    FirewallRules: [{943E44FB-DA0D-4FB1-BA30-3FC325870D1E}] => (Allow) LPort=123
    End::

     

  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.


Компьютер перезагрузите вручную.

Подробнее читайте в этом руководстве.

Ссылка на сообщение
Поделиться на другие сайты

Присоединяйтесь к обсуждению

Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.

Гость
Ответить в этой теме...

×   Вставлено с форматированием.   Вставить как обычный текст

  Разрешено использовать не более 75 эмодзи.

×   Ваша ссылка была автоматически встроена.   Отображать как обычную ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставлять изображения напрямую. Загружайте или вставляйте изображения по ссылке.

  • Похожий контент

    • Alexander1308
      От Alexander1308
      Добрый день, якобы из налоговой пришло письмо на почту о задолженности (отправитель ФССП РОССИИ <fssp.ru.gov@mail.ru>), с текстом: "
      ФССП РОССИИ Автоматической системой мониторинга задолженностей управления ФССП была обнаружена задолженность по налогам и сборам (в том числе по транспортному, земельному или подоходному налогу) за расчетный период: 2022 г. Сумма задолженностей за 2022 год: 29 278 рублей 91 коп. Во избежание блокировки ваших счетов и банковских карт, согласно п. 1 ст. 395 гк рф и ч. 1 ст. 70, а также, руководствуясь федеральным законом № 229 «об исполнительном производстве» передачи вашего долга в производство принудительного взыскания в отдел судебных приставов по вашему региону, вам необходимо погасить задолженность до 25 апреля 2023 г. Подробная информация в прикрепленных документах." Скачали прикрепленный архив и все файлы зашифровались - огромное количество семейных фото, видео, документов. Прошу помощи специалистов! Логи Farbar.rar Поврежденные файлы и файл запроса.rar
       
      У всех файлов на конце расширение ".YQxJ912aP"
    • asuples
      От asuples
      Все, кроме системы зашифровано. К названиям файлов добавлен [PayDecryption@gmail.com][249AB82E].pay  На сайтах не нашел дешифровщика на мой случай. Никто не сталкивался с такой гадостью?
    • wd75
      От wd75
      День добрый! Гляньте пожалуйста, похоже у меня такой-же зверь завелся.  Ситуация точно такая же, зашифровано все подряд (документы, архивы, образы).  У зашифрованных файлов расширение .RUSSIA. Концов никаких нет. 
      То что удалось выяснить самому: за выходные были заражены три рабочих станции в сети (машины в домене). При этом файловый сервер как будто уцелел (еще проверяю).  
      По моим образцам интернет говорит что моя зараза похоже на "CrySIS". 
      Desktop.rar FRST.txt Addition.txt
    • Runeolf
      От Runeolf
      Добрый день. Нет возможности узнать с чего началось заражение, т.к. шифровальщик объявился в локальной сети, утром уже всё было порушено. Многие файлы exe, txt, exlsx, xml и прочее зашифрованы и переименованы в filename.RUSSIA Cам вирус найти не удалось. Прикладываю логи и пример файлов.
      Архив для Касперского.rar Addition.txt FRST.txt Search.txt
    • On-Lite
      От On-Lite
      Добрый день.
      С 9-10 утра 23.01.2023 числа обнаружен сетевой вирус шифровальщик azadi33@keemail.me
      2 компа заражены. 
      зашифровал все файлы, в т.ч. файловые базы данных на сервере 1С.
      т.е. ПК пользователя, у пользователя зашифровал и пролез по RDP сеансу на сервер и всё зашифровал на сервере.
      Огромная просьба помочь расшифровать базы данных:
      Текст сообщения
      How To Restore Files
      ATTENTION!
      At the moment, your system is not protected.
      We can fix itand restore files.
      To get started, send a file to decrypt trial.
      You can trust us after opening the test file.
      To restore the system write to both : azadi33@smime.ninja and azadi33@keemail.me
      Your Decryption ID: 23868595F549B397
       
       
       
       
       
      FRST.zip 1Cv7.DD.EMAIL=[azadi33@smime.ninja]ID=[23868595F549B397].zip 1SBLOB.CDX.EMAIL=[azadi33@smime.ninja]ID=[23868595F549B397].zip
×
×
  • Создать...