Перейти к содержанию

Взломали RDP и зашифровали большую часть дисков

nsgdima
 Share Подписчики 2

Рекомендуемые сообщения

nsgdima

nsgdima 0

Опубликовано
Опубликовано (изменено)

Компьютер у меня работает круглосуточно, в основном ради выделенного IP и возможности наблюдения за весьма пожилыми родственниками у меня и на другом адресе, где выделенного IP нет, камеры пробрасываются через меня на внутреннюю сеть дом.ру

На компьютере поднят OpenServer и FileZilla, а так же RDP для удобства пользования ... Компьютер двухпроцессорный на 1366, два ксеона X5650, собран по дешевке на Авито и Али ... при нынешнем интернете очень удобно с древнего ноутбука на даче подключаться к нормальному домашнему компьютеру.

Сегодня утром обнаружил что не запускаются некоторые программы, типа нет файла, начал смотреть и обнаружил запущенный параллельно сеанс, как будто дочка зашла ... закрыл его, восстановил тоталкоммандер и начал смотреть что происходит ... никаких лишних процессов запущенных не вижу, но большая часть файлов имеет вид "фото авто 001.jpg.w9lq64h4", при нажатии на такой файл открывается блокнот с текстом:

"Ваши документы, базы данных и другие файлы были зашифрованы. Но не стоит переживать! Мы все расшифруем и вернем на свои места." и т.д.

Компьютер пока не перезапускал, возможно поэтому система пока как то работает.

Никаких госсекретов и оборонных данных у меня нет, но коллекцию музыки и фильмов жалко ... если есть возможность расшифровать это дело, помогите пожалуйста ...

files.ZIP FRST.txt Addition.txt

Изменено пользователем nsgdima
добавление информации
Ссылка на сообщение
Поделиться на другие сайты
Sandor

Sandor 1098

Опубликовано
Опубликовано

Здравствуйте!

 

Некоторое время подождите, пробуем определить тип вымогателя.

Пока судя по логам, могу сказать, что шифрование началось сегодня ночью 2023-01-11 01:31

Ссылка на сообщение
Поделиться на другие сайты
nsgdima

nsgdima 0

Опубликовано
  • Автор
Опубликовано

Похоже я нашел кодировщика ... в папке пользователя, от чьего имени был вход RDP нашел папку, типа скрытую, закрытую и т.д.

Там то что в архиве и 4 зашифрованных файла

image.png.116e2aeb79e0871d858a566666d646b5.png

1.ZIP

Ссылка на сообщение
Поделиться на другие сайты

Присоединяйтесь к обсуждению

Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.

Гость
Ответить в этой теме...

×   Вставлено с форматированием.   Вставить как обычный текст

  Разрешено использовать не более 75 эмодзи.

×   Ваша ссылка была автоматически встроена.   Отображать как обычную ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставлять изображения напрямую. Загружайте или вставляйте изображения по ссылке.

×
 Share
Подписчики 2
Перейти к списку тем

  • Похожий контент

    • Usoff
      Шифровальшик 8s1lujv4rq
      От Usoff
      Здравствуйте! Сегодня тоже подцепил шифровальщика, добавившего эти расширения. Требования содержаться в файле Instruction.txt:
      https://www.dropbox.com/s/h74n5yl9lcjkz6u/Instruction.PNG?dl=0
       
      Сообщение от модератора Mark D. Pearlstone Перемещено из темы.
    • Oleg_sour
      Шифровальщик bigspermhorseball
      От Oleg_sour
      Доброго дня. Подскажите есть ли возможность расшифровать файлы после шифровальщика? Системный диск остался цел, зашифрованы файлы только на диске с общим доступом. А также подскажите пожалуйста алгоритм действий. Не совсем понятно имеется сам вирус на данном диске или он только зашифровал эти файлы? В архиве лог и два текстовых зашифрованный файла. Файлы с требованием выкупа и прочее не обнаружено. Пароль virus
      bighorseball.zip
    • Воробьёв Максим
      Шифровальщик Trojan.encoder.35534
      От Воробьёв Максим
      Имеем 2 сервера физический и виртуальный.
      С виртуального примерно осенью переезжали на физический.
      Сегодня обнаружили что данные на физическом и виртуальном сервере зашифрованы. шифровальщик меняет расширение файлов.
      Прислали образец файлов в доктор вэб там определили его как Trojan.encoder.35534 и дешифратора нет.
      Прошлись KVRT по физическому серверу обнаруженные вирусы поместили в карантин и там нейтрализовали. На виртуальном KVRT  не отработал.
      в вложении логи с виртуального сервера и архив с примерами заражённых файлов. Есть еще архив с файлов вируса но он не влезает в сообщение по весу.
       
      Addition.txt FRST.txt Профсоюзная.zip
    • Apael
      Просьба помочь с шифровальщиком
      От Apael
      Добрый день. Предполагаем проникновение через RDP. Просьба помочь.
       
      1_8_CH1_20220514053309.avi
      Instruction.txt start cron1.txt
    • Павел_вл
      Trojan-Ransom.Win32.Mimic.gen
      От Павел_вл
      Шифровальщик залетел, предположительно, через RDP второго января. На момент обнаружения 4 января KIS был отключен, стояло множевсто ограничений на текущего пользователя.
      Я exe-шник вируса нашёл, антивирус и windows восстановил.
      Помогите, пожалуйста, с дешифратором
      Сприсок файлов:
      kaspersky.rar  вирус Trojan-Ransom.Win32.Mimic.gen пароль на архив 321
      Kaspersky_Decryption требования
      пример.rar один и тот же файл зашифрован и нет
      Kaspersky_Decryption.txt пример.rar
×
×
  • Создать...