Перейти к содержанию

Рекомендуемые сообщения

Добрый день! Через RDP на наш сервер проник вирус-шифровальщик,  появился новый том А на диске, там 2 файла: bootsect.bak и scream.txt. В scream.txt содержание такое: 

              ~~~ Scream V1.1~~~            
>>> What happened?
    We encrypted and stolen all of your files.
    We use AES and ECC algorithms.
    Nobody can recover your files without our decryption service.

>>> How to recover?
    We are not a politically motivated group and we want nothing more than money.
    If you pay, we will provide you with decryption software and destroy the stolen data.

>>> What guarantees?
    You can send us an unimportant file less than 1 MG, We decrypt it as guarantee.
    If we do not send you the decryption software or delete stolen data, no one will pay us in future so we will keep our promise.

>>> How to contact us?
   Our email address: Scream_@tutanota.com
   In case of no answer within 24 hours, contact to this email: De_Scream@tutanota.com
   Write your personal ID in the subject of the email.

>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>
                        >>>>> SCREAM 1.1 <<<<<
>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>

>>> Warnings!
  - Do not go to recovery companies, they are just middlemen who will make money off you and cheat you.
   They secretly negotiate with us, buy decryption software and will sell it to you many times more expensive or they will simply scam you.
  - Do not hesitate for a long time. The faster you pay, the lower the price.
  - Do not delete or modify encrypted files, it will lead to problems with decryption of files.

Подскажите, пожалуйста, что делать?

Данных как-будто нет. 
Заранее спасибо!
 

Ссылка на сообщение
Поделиться на другие сайты

1. Логи анализа системы прикрепил

2. Зашифрованных файлов нет

3. Файл с требованиями прикрепил

4. Файл шифровальщика вроде не нашел

Addition.txt FRST.txt SCREAM.txt

Ссылка на сообщение
Поделиться на другие сайты
20 часов назад, Vlad21 сказал:

Данных как-будто нет.

 

19 часов назад, Vlad21 сказал:

Зашифрованных файлов нет

 

Поясните - они были и сейчас отсутствуют?

Ссылка на сообщение
Поделиться на другие сайты

Да, все было, а сейчас отсутствуют. Связался с взломщиками через эл. почту, говорят якобы данные у них на сервере, в подтверждение говорят будто бы у нас там была 1С. Но у нас 1С не было. 

Ссылка на сообщение
Поделиться на другие сайты

По одной только записке трудно определить тип вымогателя.

В текущем состоянии в системе видны несколько серьёзных уязвимостей. Если не планируете её переустановку, можем попробовать исправить.

 

  • Не отключайте сеть.
  • Выделите следующий код:
    Start::
    HKU\S-1-5-21-1984363676-1101406014-2877031099-500\...\MountPoints2: {09f6ca52-33ac-11e6-896f-000e0c855d17} - F:\setup.exe
    Startup: C:\Users\administrator\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\360急救箱回访.lnk [2023-09-30]
    ShortcutTarget: 360急救箱回访.lnk -> C:\Program Files\360\360sd\firstaid\Fix\YuW7vZ5Y2.exe (Нет файла)
    Task: {0E6D339A-9BD7-46B8-8DF0-F6A8373FB617} - System32\Tasks\Microsoft\Windows\RAC\BackUpEvent => C:\Windows\SysWOW64\lsass.exe  (Нет файла) <==== ВНИМАНИЕ
    R3 TermService; C:\Program Files\RDP Wrapper\rdpwrap.dll [116736 2023-09-10] (Stas'M Corp.) [Файл не подписан] <==== ВНИМАНИЕ (отсутствует ServiceDLL)
    S3 dsmainsrv; "C:\Program Files\360\360sd\deepscan\dsmain.exe" /srv [X]
    2023-09-10 10:37 - 2023-09-10 10:37 - 000000000 ____D C:\Program Files\RDP Wrapper
    2023-09-10 10:35 - 2023-09-10 10:35 - 002373632 _____ (TODO: <Company name>) C:\Windows\system32\rwmmr.exe
    2023-09-10 10:35 - 2023-09-10 10:35 - 002373632 _____ (TODO: <Company name>) C:\Windows\system32\mmr.exe
    2023-09-10 10:35 - 2023-09-10 10:35 - 001460224 _____ (Stas'M Corp.) C:\Windows\system32\rwi.exe
    2023-09-10 10:30 - 2023-09-30 13:57 - 000000000 ___HD C:\Users\administrator\AppData\Roaming\svchost
    FirewallRules: [{6EBD743E-AB74-48DD-8D4C-CA7C83FED1D9}] => (Allow) C:\Windows\SysWOW64\lsass.exe => Нет файла
    FirewallRules: [{B7124485-8BF0-4C89-9FF3-ED168F42E234}] => (Allow) LPort=3389
    FirewallRules: [{88872F9A-B7A7-4DB1-A9A8-E36E46ECF3E4}] => (Allow) C:\Program Files\360\360sd\360sdupd.exe => Нет файла
    FirewallRules: [{A64F9FD9-FA5C-4602-9AD3-44678FDE7549}] => (Allow) C:\Program Files\360\360sd\360sdupd.exe => Нет файла
    cmd: DISM.exe /Online /Cleanup-image /Restorehealth
    cmd: sfc /scannow
    cmd: winmgmt /salvagerepository
    cmd: winmgmt /verifyrepository
    cmd: "%WINDIR%\SYSTEM32\lodctr.exe" /R
    cmd: "%WINDIR%\SysWOW64\lodctr.exe" /R
    cmd: "%WINDIR%\SYSTEM32\lodctr.exe" /R
    cmd: "%WINDIR%\SysWOW64\lodctr.exe" /R
    End::

     

  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.


Компьютер перезагрузите вручную. После перезагрузки соберите новые логи FRST.txt и Addition.txt

Подробнее читайте в этом руководстве.

Ссылка на сообщение
Поделиться на другие сайты

У нас было 2 сервера: один доступен извне, второй должен был быть доступен только с первого по внутренней сети, но так получилось, что почему-то 2-й сервер был доступен извне и именно его взломали, изменили пароль и зашифровали (или удалили данные). Мы всегда заходили на 1-й сервер извне по rdp, а на 2-й по rdp с первого сервера. На 2-м сервере системные администраторы нашего хостера сбросили пароль, установили новый, далее мы попросили администраторов закрыть доступ на 2-й извне, они это сделали, потом долго настраивали, чтобы 2-й сервер был доступен по rdp по внутренней сети, наконец настроили. После этого мы запустили FRST (FRST64) (исправить) с описанным выше кодом, перезагрузили сервер и все: сервер загрузился, но он недоступен по rdp и теперь администраторы нашего хостера никак не могут настроить внутреннюю сеть для доступа на 2-й сервер по rdp. Поэтому мы не можем продолжить работу на проблемном сервере, т.е. собрать новые логи FRST.txt и Addition.txt. Подскажите, пожалуйста, может из-за того кода так произошло и если да, то какой код запустить, чтобы администраторы смогли наконец настроить.

Ссылка на сообщение
Поделиться на другие сайты

На этом всё. Пароли администраторов смените для верности. Если требуется подключение по RDP, прячьте его за VPN.

Читайте Рекомендации после удаления вредоносного ПО

Ссылка на сообщение
Поделиться на другие сайты

Еще вопрос: у нас на жестком диске были тома С и D, а после взлома еще и том А появился и он по-прежнему есть, на нем текстовый файл с требованиями шифровальщиков и еще файл BOOTSECT.BAK.Scream_@tutanotacomSCREAM (я его переименовал в bootsect.txt чтобы можно было сюда прикрепить). 

Может тогда данные и не исчезли, а что-то с загрузочным сектором надо сделать? Или уже не вернуть данные? Если так, то что делать с жестким диском - переформатировать и по-новой систему поставить?

BOOTSECT.txt

Ссылка на сообщение
Поделиться на другие сайты
18 часов назад, Vlad21 сказал:

Или уже не вернуть данные?

Скорее всего так.

 

18 часов назад, Vlad21 сказал:

переформатировать и по-новой систему поставить?

Да, это будет правильное решение.

Ссылка на сообщение
Поделиться на другие сайты

Присоединяйтесь к обсуждению

Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.

Гость
Ответить в этой теме...

×   Вставлено с форматированием.   Вставить как обычный текст

  Разрешено использовать не более 75 эмодзи.

×   Ваша ссылка была автоматически встроена.   Отображать как обычную ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставлять изображения напрямую. Загружайте или вставляйте изображения по ссылке.

  • Похожий контент

    • WyneX
      От WyneX
      Здраствуйте, столкнулся с такой проблемой, когда запускаю браузер, игру или какую-либо другую программу, вирус запускает много их копий - это  я заметил открыв диспетчер задач. Я попытался решить проблему сам, сначала я скачал Dr.web, просканировал - не помогло, сделал тоже самое, но в безопасном режиме - не помогло, снёс полностью виндовс - не помогло. Хочу уточнить, что копии открываются и в безопасном режиме. 
      CollectionLog-2024.06.11-05.26.zip
    • anonim7
      От anonim7
      Здравствуйте, вот который день мучаюсь и не знаю что делать.
      Как вирусы пробрались на компьютер понятия не имею, использовал много программ, ни одно из них не справляется. 
      Использовал следующие: RogueKiller, Dr.Web, Hitman Pro, AVZ, Kaspersky. Все запускались отлично, но некоторые из данных программ вовсе не видят вирусы, RogueKiller в свою очередь видит их все прекрасно, но искоренить их он не может.
      Долго думал переустановить Windows в связи с тем, что на компьютере нет ни каких важных файлов и т.д. На нем находятся исключительно игры.
      Помогите пожалуйста, буду признателен.
      !!! https://imgur.com/a/N6hkK1q !!!
    • safo
      От safo
      вообщем.
      история началась с того, что мне понадобилось скачать впн. решил остановить свой выбор на впн касперского и перешел на первый сайт при запросе впн касперский. домен был .ru и я решил проверить точно ли там ру, а не ком. при запросе в яндексе "официальный сайт касперский", я обнаружил что когда я перехожу на сайт, на долю секунду появляется 5015.xg4ken.com. проверился полностью касперским, нашло 3 трояна, но не это. скинул свою десятку и с полным форматированием перешел на 11 винду. настроил все, скачал нужные программы, поставил драйвера и все такое. решил глянуть, осталась ли эта проблема до сих пор. и о какое разочарование, а проблема то осталась даже с новенькой, чистенькой виндой. перерыл весь интернет, прочитал все ответы на этом форуме(был в 2020 вопрос с такой же темой), но ничего не помогло. можете помочь с этой проблемой? я уже боюсь браузером пользоваться.
      а и в дополнение скажу, что такое только с сайтом касперский. остальные вроде как загружаются без 5015.xg4ken.com
    • Nikita31Il
      От Nikita31Il
      Сканировал DrWeb вчера вируса не было, сегодня что то скачал и показывает что вирус, не лечит, пишет ошибку лечения, помогите пожалуйста.
    • Maximer2024
      От Maximer2024
      Здравствуйте!
       
       
      К сожалению, я узнал о торрент-игрухе слишком поздно. Я пользовался сайтом очень долго, и, к счастью, мои аккаунты и т.п. не были украдены. Однако в моих браузерах — Яндекс и Google Chrome — появились расширения Fnet и Mvpn.
       
      Я пытался удалить их с помощью Kaspersky Virus Removal Tool, но после перезагрузки компьютера они снова появляются в браузерах.
       
      К сожалению, из-за работы я не могу заняться переустановкой операционной системы. Пожалуйста, помогите мне полностью удалить все вирусы.
×
×
  • Создать...