Перейти к содержанию

Рекомендуемые сообщения

Добрый день.

С 9-10 утра 23.01.2023 числа обнаружен сетевой вирус шифровальщик azadi33@keemail.me

2 компа заражены. 

зашифровал все файлы, в т.ч. файловые базы данных на сервере 1С.

т.е. ПК пользователя, у пользователя зашифровал и пролез по RDP сеансу на сервер и всё зашифровал на сервере.

Огромная просьба помочь расшифровать базы данных:

Текст сообщения

How To Restore Files

ATTENTION!
At the moment, your system is not protected.
We can fix itand restore files.
To get started, send a file to decrypt trial.
You can trust us after opening the test file.
To restore the system write to both : azadi33@smime.ninja and azadi33@keemail.me
Your Decryption ID: 23868595F549B397

 

 

 

 

 

FRST.zip 1Cv7.DD.EMAIL=[azadi33@smime.ninja]ID=[23868595F549B397].zip 1SBLOB.CDX.EMAIL=[azadi33@smime.ninja]ID=[23868595F549B397].zip

Ссылка на сообщение
Поделиться на другие сайты
4 минуты назад, On-Lite сказал:

Addition.txt файла нет

Значит переделайте логи Farbar, предварительно отметив галочкой соотв. пункт.

 

Пока пробуем определить тип вымогателя.

Ссылка на сообщение
Поделиться на другие сайты
  • Отключите до перезагрузки антивирус.
  • Выделите следующий код:
    Start::
    CloseProcesses:
    SystemRestore: On
    CreateRestorePoint:
    HKLM\SOFTWARE\Microsoft\Windows Defender: [DisableAntiSpyware] Ограничение <==== ВНИМАНИЕ
    HKLM\SOFTWARE\Microsoft\Windows Defender: [DisableAntiVirus] Ограничение <==== ВНИМАНИЕ
    HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Ограничение <==== ВНИМАНИЕ
    R2 TermService; C:\Program Files\RDP Wrapper\rdpwrap.dll [116736 2022-07-05] (Stas'M Corp.) [Файл не подписан] <==== ВНИМАНИЕ (отсутствует ServiceDLL)
    2023-01-23 11:24 - 2023-01-23 11:24 - 000000303 _____ C:\Users\User\AppData\Roaming\How To Restore Files.txt
    2023-01-23 11:24 - 2023-01-23 11:24 - 000000303 _____ C:\Users\User\AppData\LocalLow\How To Restore Files.txt
    2023-01-23 11:24 - 2023-01-23 11:24 - 000000303 _____ C:\Users\User\AppData\Local\How To Restore Files.txt
    2023-01-23 11:24 - 2023-01-23 11:24 - 000000303 _____ C:\Users\Kassa\AppData\Roaming\How To Restore Files.txt
    2023-01-23 11:24 - 2023-01-23 11:24 - 000000303 _____ C:\Users\Kassa\AppData\LocalLow\How To Restore Files.txt
    2023-01-23 11:24 - 2023-01-23 11:24 - 000000303 _____ C:\Users\Kassa\AppData\Local\How To Restore Files.txt
    2023-01-23 11:24 - 2023-01-23 11:24 - 000000303 _____ C:\Users\GlavBuh\AppData\Roaming\How To Restore Files.txt
    2023-01-23 11:24 - 2023-01-23 11:24 - 000000303 _____ C:\Users\GlavBuh\AppData\LocalLow\How To Restore Files.txt
    2023-01-23 11:24 - 2023-01-23 11:24 - 000000303 _____ C:\Users\GlavBuh\AppData\Local\How To Restore Files.txt
    2023-01-23 11:23 - 2023-01-23 11:23 - 000000303 _____ C:\Users\User\How To Restore Files.txt
    2023-01-23 11:23 - 2023-01-23 11:23 - 000000303 _____ C:\Users\User\Downloads\How To Restore Files.txt
    2023-01-23 11:23 - 2023-01-23 11:23 - 000000303 _____ C:\Users\User\Documents\How To Restore Files.txt
    2023-01-23 11:23 - 2023-01-23 11:23 - 000000303 _____ C:\Users\User\Desktop\How To Restore Files.txt
    2023-01-23 11:23 - 2023-01-23 11:23 - 000000303 _____ C:\Users\User\AppData\How To Restore Files.txt
    2023-01-23 11:23 - 2023-01-23 11:23 - 000000303 _____ C:\Users\Kassa\How To Restore Files.txt
    2023-01-23 11:23 - 2023-01-23 11:23 - 000000303 _____ C:\Users\Kassa\Downloads\How To Restore Files.txt
    2023-01-23 11:23 - 2023-01-23 11:23 - 000000303 _____ C:\Users\Kassa\Documents\How To Restore Files.txt
    2023-01-23 11:23 - 2023-01-23 11:23 - 000000303 _____ C:\Users\Kassa\Desktop\How To Restore Files.txt
    2023-01-23 11:23 - 2023-01-23 11:23 - 000000303 _____ C:\Users\Kassa\AppData\How To Restore Files.txt
    2023-01-23 11:23 - 2023-01-23 11:23 - 000000303 _____ C:\Users\GlavBuh\How To Restore Files.txt
    2023-01-23 11:23 - 2023-01-23 11:23 - 000000303 _____ C:\Users\GlavBuh\Downloads\How To Restore Files.txt
    2023-01-23 11:23 - 2023-01-23 11:23 - 000000303 _____ C:\Users\GlavBuh\Documents\How To Restore Files.txt
    2023-01-23 11:23 - 2023-01-23 11:23 - 000000303 _____ C:\Users\GlavBuh\Desktop\How To Restore Files.txt
    2023-01-23 11:23 - 2023-01-23 11:23 - 000000303 _____ C:\Users\GlavBuh\AppData\How To Restore Files.txt
    2023-01-23 11:22 - 2023-01-23 15:41 - 000000031 _____ C:\WINDOWS\directx.sys
    2023-01-23 11:22 - 2023-01-23 11:22 - 000041472 _____ C:\WINDOWS\svchost.com
    2023-01-23 11:22 - 2023-01-23 11:22 - 000000303 _____ C:\Users\How To Restore Files.txt
    2023-01-23 11:22 - 2023-01-23 11:22 - 000000303 _____ C:\ProgramData\How To Restore Files.txt
    2023-01-23 11:22 - 2023-01-23 11:22 - 000000303 _____ C:\Program Files\How To Restore Files.txt
    2023-01-23 11:22 - 2023-01-23 11:22 - 000000303 _____ C:\Program Files\Common Files\How To Restore Files.txt
    2023-01-23 11:22 - 2023-01-23 11:22 - 000000303 _____ C:\Program Files (x86)\How To Restore Files.txt
    2023-01-23 11:22 - 2023-01-23 11:22 - 000000303 _____ C:\How To Restore Files.txt
    2023-01-23 11:22 - 2022-07-05 08:24 - 000000000 ____D C:\Program Files\RDP Wrapper
    HKLM\...\exefile\shell\open\command: C:\WINDOWS\svchost.com "%1" %* <==== ВНИМАНИЕ
    FirewallRules: [{70089F50-7F5D-46B6-A578-6FD140D68A58}] => (Allow) LPort=3389
    Reboot:
    End::

     

  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.


Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

Ссылка на сообщение
Поделиться на другие сайты

Сделал к говорилось. При перезагрузки сервера больше зайти не получается. 

Пингуется, но служба RDP не  поднимается.

Уже завтра будем подключать монитор к серверу и смотреть что с системой.

 

Ссылка на сообщение
Поделиться на другие сайты

Спасибо!

Прикрепите, пожалуйста, ещё пару-тройку зашифрованных образцов обычных документов, офисных, картинок или текстовых файлов.

Ссылка на сообщение
Поделиться на другие сайты

Нет, у нас такой информации нету.  Картинки тоже удалились все. 

Есть приложение LibreOffice 7.1, Microsoft Edge

есть несколько документов, таблиц, отчётов, файлов xml

прикрепил Send.zip

 

 

msedge.exe.EMAIL=[azadi33@smime.ninja]ID=[23868595F549B397].zip Send.zip soffice.exe.EMAIL=[azadi33@smime.ninja]ID=[23868595F549B397].zip

Ссылка на сообщение
Поделиться на другие сайты
Сообщение от модератора Mark D. Pearlstone
Byg, вам запрещено писать в чужих темах данного раздела.
Ссылка на сообщение
Поделиться на другие сайты

Присоединяйтесь к обсуждению

Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.

Гость
Ответить в этой теме...

×   Вставлено с форматированием.   Вставить как обычный текст

  Разрешено использовать не более 75 эмодзи.

×   Ваша ссылка была автоматически встроена.   Отображать как обычную ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставлять изображения напрямую. Загружайте или вставляйте изображения по ссылке.

  • Похожий контент

    • gts
      От gts
      Проблемная машина уже не в сети, и ее спасать не нужно.
      Задело немного файлы шары(на линуксе), есть ли спасение на данный момент от этой напасти?
       
      crypt.rar
    • upvpst
      От upvpst
      Добрый день! В сеть проник зловред подробно описанный по ссылке https://id-ransomware.blogspot.com/2023/04/dchelp-ransomware.html.
      Возможности зайти на сервер нет, так как файловые системы отображаются как нечитаемые. Пробуем вытащить файлы через R-Studio, Disk Drill и иные утилиты восстановления данных. Сталкивался ли кто-то еще с этими гадами? Есть ли выход?

    • Andreypresnetcov
      От Andreypresnetcov
      Добрый день, сервер зашифрован *QY98NM2SSD можете подсказать того кто поможет. Просят Выкуп в биткоинах.
       
      Сообщение от модератора Mark D. Pearlstone Перемещено из темы.
    • Sandynist
      От Sandynist
      Добрый вечер!
      Интернет кипит инсайдами и слухами, некоторые осведомлённые источники уверяют, что на информационных базах компании СДЭК можно поставить жирный крест.
       
      Как на ваш взгляд — это произошло от того, что руководство компании пожалело денег на защитные решения от шифровальщиков, на зарплату IT-специалистам или что-то ещё? Или может быть все три причины оказали такой оглушительный эффект?
       
      Источник:  https://3dnews.ru/1105511/virusshifrovalshchik-mog-stat-prichinoy-sboya-v-rabote-sdek
    • vldmrmail
      От vldmrmail
      Здравствуйте.
       
      В систему проник шифровальщик и испортил файлы документов. Систему сразу отключил - она неработоспособна стала. Жесткий диск с данными подключил к другому компьютеру и с него вытащил зашифрованные файлы и файл с требованием выкупа от мошенников. Прошу помочь с дешифровкой файлов.
      flash.zip
×
×
  • Создать...