Перейти к содержанию

Взломали RDP и зашифровали большую часть дисков

nsgdima
 Share

Рекомендуемые сообщения

nsgdima Новичок

nsgdima

Опубликовано
Опубликовано (изменено)

Компьютер у меня работает круглосуточно, в основном ради выделенного IP и возможности наблюдения за весьма пожилыми родственниками у меня и на другом адресе, где выделенного IP нет, камеры пробрасываются через меня на внутреннюю сеть дом.ру

На компьютере поднят OpenServer и FileZilla, а так же RDP для удобства пользования ... Компьютер двухпроцессорный на 1366, два ксеона X5650, собран по дешевке на Авито и Али ... при нынешнем интернете очень удобно с древнего ноутбука на даче подключаться к нормальному домашнему компьютеру.

Сегодня утром обнаружил что не запускаются некоторые программы, типа нет файла, начал смотреть и обнаружил запущенный параллельно сеанс, как будто дочка зашла ... закрыл его, восстановил тоталкоммандер и начал смотреть что происходит ... никаких лишних процессов запущенных не вижу, но большая часть файлов имеет вид "фото авто 001.jpg.w9lq64h4", при нажатии на такой файл открывается блокнот с текстом:

"Ваши документы, базы данных и другие файлы были зашифрованы. Но не стоит переживать! Мы все расшифруем и вернем на свои места." и т.д.

Компьютер пока не перезапускал, возможно поэтому система пока как то работает.

Никаких госсекретов и оборонных данных у меня нет, но коллекцию музыки и фильмов жалко ... если есть возможность расшифровать это дело, помогите пожалуйста ...

files.ZIP FRST.txt Addition.txt

Изменено пользователем nsgdima
добавление информации
Ссылка на комментарий
Поделиться на другие сайты
Sandor Мудрец

Sandor

Опубликовано
Опубликовано

Здравствуйте!

 

Некоторое время подождите, пробуем определить тип вымогателя.

Пока судя по логам, могу сказать, что шифрование началось сегодня ночью 2023-01-11 01:31

Ссылка на комментарий
Поделиться на другие сайты
nsgdima Новичок

nsgdima

Опубликовано
  • Автор
Опубликовано

Похоже я нашел кодировщика ... в папке пользователя, от чьего имени был вход RDP нашел папку, типа скрытую, закрытую и т.д.

Там то что в архиве и 4 зашифрованных файла

image.png.116e2aeb79e0871d858a566666d646b5.png

1.ZIP

Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Share
Перейти к списку тем

  • Похожий контент

    • madlab
      Зашифрованы диски
      От madlab
      На компьютере зашифрованы диски. В системе был установлен Kaspersky Small Office Security (сейчас он в системе не обнаруживается).
      При обращении к диску требуется ввести пароль.
      Системный диск не зашифрован. На нем встречаются файлы с расширением "ooo4ps".
      В архиве "UCPStorage.7z" есть зашифрованный (и, похоже, он же, но не зашифрованный) файл.
      Kaspersky Virus Removal Tool угроз не обнаружил.
      Есть ли возможность помочь?
      Спасибо.
      FRST.txt UCPStorage.7z
    • xx3l
      Очередной .ooo4ps по ходу через RCE/RDP
      От xx3l
      Есть шансы порасшифровать?
       
      1. Явно подключались по RDP в процессе
      2. Почистили журналы Windows
      3. Что нехарактерно - часть файлов по маске .txt не зашифровали
      4. Ключ явно зависит от имени файла, но не от пути (есть 2 идентичных файла, в разных папках, с одинаковым шифртекстом)
      5. Явное шифрование блочным шифром.
      Encoded Samples.zip FRST.zip message.zip
    • 4ikotillo
      Зашифрованы файлы на сетевом диске, расширение 4utjb34h
      От 4ikotillo
      Добрый день, обнаружил на своем сетевом хранилище зашифрованные файлы. Файлы были зашиврованы не во всех директориях, а только в тех у которых были права на вход пользователя guest. Я не нашел источник заразы, проверил все компьютеры дома, все чисто. Само шифрование длилось порядка 4 часов и не все файлы были зашиврованны. Видимо зараженное устройство только какое-то время было в моей сети. Прилагаю примеры зашиврованных файлов, мне известно только то что они все имею расширение 4utjb34h. Спасибо за любую помощь.
      4utjb34h.zip FRST.txt
    • seregalazerniy
      Выбивает пользователей, которые работают в 1С через RDP
      От seregalazerniy
      Есть ряд пользователей которые работают в 1С через RDP, на Win 10. Их периодически "выбивает" из сессии и происходит переподключение к серверу, бывает что на дню по 15 раз, а бывает и ни разу, в чем может быть причина?
      В логах пусто
      На данный момент порыскав по просторам интернета набрел на отключение в сервере автотюнинга
      netsh interface tcp set global autotuninglevel=disabled
      Не помогло
      Все компы подключены по локальной сети, и подключение происходит по ней. Впн не используем.
    • AntonZinch
      Зашифровали файлы, доступ через RDP, расширение .kasper
      От AntonZinch
      Собственно зашифровали файлы :( Сначала винда ругалась на бесконечную блокировку учетки по РДП, затем случилось это.
      Вымогатели просят 0.3 биткоина, машинка обычная домашняя. Вирусы удалил

       
      подскажите, без приватного ключа не расшифровать? 
       
      Информации в интернете по поводу .kasper не нашел совсем. Размер файлов не меняется, на всякий случай так же прикладываю оригинал файла
      111222.vDoc.EMAIL=[kasperskyrans@gmail.com]ID=[BACCC62C15243EF0].kasper.zip 111222.vDoc.zip
×
×
  • Создать...