Перейти к содержанию

Рекомендуемые сообщения

Воробьёв Максим
Опубликовано

Имеем 2 сервера физический и виртуальный.
С виртуального примерно осенью переезжали на физический.
Сегодня обнаружили что данные на физическом и виртуальном сервере зашифрованы. шифровальщик меняет расширение файлов.
Прислали образец файлов в доктор вэб там определили его как Trojan.encoder.35534 и дешифратора нет.
Прошлись KVRT по физическому серверу обнаруженные вирусы поместили в карантин и там нейтрализовали. На виртуальном KVRT  не отработал.
в вложении логи с виртуального сервера и архив с примерами заражённых файлов. Есть еще архив с файлов вируса но он не влезает в сообщение по весу.
 

Addition.txt FRST.txt Профсоюзная.zip

Опубликовано

Здравствуйте!

 

Боюсь, что и мы ничем не поможем.

Один из файлов с именем Bigspermhorseballs_Decryption.txt прикрепите к следующему сообщению. Попробуем определить тип вымогателя.

Воробьёв Максим
Опубликовано

Понятно. Завтра с физического сервера снимать логи будем и поищем этот  файл.
Спасибо.

Опубликовано

Хочу уточнить, на большинстве подобных этому форумов помогают одни и те же энтузиасты. Поэтому определитесь, где будете продолжать - здесь или на virusinfo?

 

Записку скиньте (для коллекции), но уже ясно. Это N3ww4v3

Воробьёв Максим
Опубликовано

Добрый день.
Да мы написали везде где помогают.
Решения в принципе пока нет ни тут ни там.
Файлик TXT добавляю

Bigspermhorseballs_Decryption.txt

 

При помощи пользователей с virus.info выполнили скрипт по в AVZ  по очистке виртуального сервера.
Дальше по их рекомендации будем обитать тут.

  • Like (+1) 1
Опубликовано

После скрипта и перезагрузки соберите логи FRST.txt и Addition.txt

Воробьёв Максим
Опубликовано

После прогона скрипта и перезагрузки виртуалки система перестала грузиться вообще.
Восстановили их бэкапа на 2 дня до, ТАм файлы не зашрфрованы были. 
Уже прогнали KVRT и AVZ удалили всё что нашли.
На физ сервере пока все осталось зашифрованным можем попробовать там, но клиент уже поджимает на восстановление работы.
 

Опубликовано
6 минут назад, Воробьёв Максим сказал:

клиент уже поджимает на восстановление работы

Если планируете переустановку системы, то выполнять скрипт не нужно. Это только очистка, к восстановлению файлов отношения не имеет.

  • 3 недели спустя...
  • Sandor закрыл тема
Гость
Эта тема закрыта для публикации ответов.
  • Похожий контент

    • Andrew Vi Ch
      Автор Andrew Vi Ch
      Добрый день.
      Поймали указанный шифровальщик, в системных логах были ошибки службы ngrok, перехватили AD, остановили KES, зашифрованы все виртуальные машины (Hyper-V), базы данных... в общем - 99% инфраструктуры. Вычищены теневые копии.
      Приложены архивы: 
      encrypted.zip - 2 зашифрованных файла + текстовик с единственной строкой "message us for decrypt" (расширение зашифрованных файлов .X1g2d2vbb)
      frst.zip - логи FRST
      lock.zip - запароленный в соответствии с инструкцией архив с исполняемым файлом шифровальщика.
      Прошу оказать содействие в расшифровке.
      Спасибо.
    • dsever
      Автор dsever
      Сегодня после выходных обнаружили проблему. Два сервера - все данные зашифрованы.  основная проблема с 1С файлы зашифрованы + бэкапы тоже. DrWEB пишет, что вирус попал по RDP, "Файл шифровальщика находится по пути
      C:\users\администратор.win-8anssg9mkch\appdata\local\7af1be1c-1606-8166-99e6-80b4a9786b07\BABKAALYOEBALO.exe". Так же вирус зашифровал все расшаренные файлы на других серверах, но до баз SQL не добрался.
       
      BABKAALYOEBALO_DECRYPTION.txt
    • Raain
      Автор Raain
      Добрый день.
       
      2 дня назад столкнулся с шифровальщиком Trojan.Encoder.35621 (так он идентифицируется онлайн сканерами), атаку заметили и успели выключить часть оборудования, но троян успел зашифровать определенное множество файлов, все они имеют расширение .S8fyxRJUX
       
      На серверах и рабочих станциях стоял kaspersky endpoint security, но злоумышленнику удалось его отключить и запустить троян в сеть.
       
      Вероятно, из-за того, что троян до конца не доработал, записка с текстом о выкупе нигде не обнаружена.
      Попытки дешифровать через все известные мне сервисы успехом не увенчались.
       
      В архиве sample.rar пример зашифрованных файлов
      В архиве virus.rar (пароль infected) тело вируса и батник, который был к нему в комплекте
      В архиве diag.rar файлы, полученные из Farbar Recovery Scan Too
       
      Прошу помочь в решение вопроса, или подсказать где можно найти рабочие инструменты для дешифровки , может у кого-то есть дешифраторы для этой категории троянов?
      virus.rar Diag.rar sample.rar
    • shilovart
      Автор shilovart
      Поймали шифровальщик, после каких событий произошло тяжело сказать, все началось ночью, перехватили AD, зашифровали все рабочие станции которые были в сети. У файлов добавилось окончание S8fyxRJUX, файл с требованиями не нашли.
      Addition.txt FRST.txt 29-02-2024_10-28-04.zip go_to_G.rar
    • Ч_Александр
      Автор Ч_Александр
      Добрый день.
      Шифровальщик Trojan.Encoder.37448. Каспер у юзера был старый и не активный.
      Зашифрован HDD, "exe" файлы не зашифрованы. Зашифрованы документы и базы 1С.
      Есть скрин "Резервного хранилища", к сожалению очищено.
      Пример имени зашифрованного файла "д о г о в о р №30 04.doc.elpaco-team-54idcqynrhwlpsxf_krvfq_dgtrabof-vdlmydcjdxy.[Rdpdik6@gmail.com].lockedfile".
      Скрин и файл с требованием во вложении.
      Могу предоставить зашифрованные файлы.
      Есть ли шанс на расшифровку?
       
      П.С.
      Ответ DRWEB
       Файлы зашифрованы Trojan.Encoder.37448 Расшифровка нашими силами невозможна.

      #Read-for-recovery.txt
×
×
  • Создать...