Перейти к содержанию

Все файлы имеют непарламетское расширение


Рекомендуемые сообщения

На сервере все файлы имеют расширение pizdec. Файл вируса найти не удалось. Логи, а также примеры зашифрованных текстовых файлов прилагаю.

Также обнаружили странный тектовый файл, который точно имеет отношение к вирусу. Его также прилагаю.

Заранее спасибо за помощь.

Encrypted files, strange file, message.zip server logs.zip

Ссылка на сообщение
Поделиться на другие сайты

Здравствуйте!

 

Это GlobeImposter 2.0, к сожалению, расшифровки нет.

 

Закройте разрешения на эти порты:

Цитата

FirewallRules: [{3A868A0E-46A4-4A3A-947C-CE6062B8FDE4}] => (Allow) LPort=3390
FirewallRules: [{00C7D227-456B-497D-8B50-BCE9BCEC5FF7}] => (Allow) LPort=20
FirewallRules: [{5AA795F8-62FA-4925-B330-6CF7AD2D9EF3}] => (Allow) LPort=33034
FirewallRules: [{C83C9277-5C7A-469E-9F09-4745AE74455A}] => (Allow) LPort=33034
FirewallRules: [{0869E059-806B-48C0-A104-B0B17980D21A}] => (Allow) LPort=9419
FirewallRules: [{F2F78918-B341-493D-8C04-13C765C67CFC}] => (Allow) LPort=9419
FirewallRules: [{A3345C68-B33F-4DA3-A382-C4C9540E5C05}] => (Allow) LPort=9401
FirewallRules: [{D0E7EB34-DBD8-4F39-942E-58E6FEC4AAD2}] => (Allow) LPort=9401
FirewallRules: [{5BFCB454-C703-4F6D-A19F-C1202B0617F5}] => (Allow) LPort=9402
FirewallRules: [{01339AF7-32F4-4AA8-A687-574B098AEE3F}] => (Allow) LPort=20443
FirewallRules: [{AD2B6477-6888-4E9E-975A-A1AEE48371B2}] => (Allow) LPort=9403


 

Ссылка на сообщение
Поделиться на другие сайты

Присоединяйтесь к обсуждению

Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.

Гость
Ответить в этой теме...

×   Вставлено с форматированием.   Вставить как обычный текст

  Разрешено использовать не более 75 эмодзи.

×   Ваша ссылка была автоматически встроена.   Отображать как обычную ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставлять изображения напрямую. Загружайте или вставляйте изображения по ссылке.

  • Похожий контент

    • denis12345
      От denis12345
      Help me! сегодня взломали и подсадили шифровальщика BlackBit, файлы особо не важны, но срочно нужно восстановление базы 1С, вся работа предприятия парализована. Может кто-то уже сталкивался и расшифровывал, подскажите методы или ? Заранее спасибо!
    • ZzordNN
      От ZzordNN
      По открытому порту rdp на один серверов проник вредитель и в ручную распространил его на другие сервера и несколько машин пользователей от имени администратора. Имеется перехваченный закрытый ключ - насколько он правильный и подходит нам, мы не понимаем.
      Прикрепляем архив с двумя зараженными файлами и памятку бандита с сервера, закрытый ключ.txt, фото исполняемых файлов вируса (сами файлы куда-то затерялись из-за паники) и два отчета от FRST.
      Возможно вам поможет pdf отчет от staffcop с логами действий мошенника и данными буфера, но к сожалению не могу прикрепить сюда его, т.к он весит 13мб. Прикрепляю ссылку на облако где лежит отчет - https://drive.google.com/drive/folders/1AoXCRWR76Ffq0bjwJa7ixVevrQ_9MchK?usp=sharing 
      files shifrator.zip
    • Evgen2454
      От Evgen2454
      Добрый день. 07.07.2023 в ночь взломали все сервера и положили всю сеть. Обнаружили когда с утра не работала 1с. Ощущение будто ломали ручками потому что не до всех мест долезли и местами после подключения видны открытые окна которые оставили злоумышленники (было отрыто окно групповых политик где устанавливалось изображение рабочего стола). Файл exe который всё ломает антивирусом видится как Ransom:Win32/Lockbit.RPA!MTB. Сохранялся исполняемый файл в несколько директорий, вот которые заметил:

      C:\Windows\SYSVOL\domain\scripts
      \\domain.local\NETLOGON
      \\domain.local\SYSVOL\domain.local\scripts

      так же через время на принтеры отправили 999 копий текста вымогателей. Архив с вирусом есть. Очень нужна помощь по восстановлению данных.
      Addition.txtFRST.txtзашифрованный файл.rarbGe6JmZwv.README.txt
    • Aleksandr63
      От Aleksandr63
      Здравствуйте! зашифровало всё
      Новая папка.7z FRST.txt
    • astrakhov
      От astrakhov
      Montly_backups_-_192.168.60.40.zip Addition.txt FRST.txt
×
×
  • Создать...