Перейти к содержанию

Рекомендуемые сообщения

Опубликовано

Здравствуйте!

Компьютер был поражен шифровальщиком Trojan.Encoder.31074 (cureit определил как https://vms.drweb.com/virus/?i=19565964)

Архив приложил

LB3.rar - пароль 123, исполняемый файл шифровальщик внутри

Сервер на windows.
Взломали, судя по всему, через дыру в безопасности в Coldfusion, т.к. устаревшая версия, которая не получает обновления безопасности.

Также каким-то образом смогли добавить правила в firewall (rdp закрыт по ip был), создали своего администратора в windows.

На данный момент процесс, который шифрует файлы - удален. Сам файл оставили, но переименовали.
Поражены файлы ПО на диске C, часть файлов веб сайтов.

Windows боюсь перезапускать на случай, если повреждены файлы системы.

Были бы признательны, если получилось бы помочь в данном вопросе.

t.zip Addition.txt FRST.txt

Опубликовано
16 часов назад, thyrex сказал:

Увы, порадовать нечем

В любом случае - спасибо за попытку. Систему восстановили из бэкапов в итоге

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
  • Похожий контент

    • WhiteWizard
      Автор WhiteWizard
      Вечером случилась атака сразу на три хоста. Тащемта они и слегли. DrWeb сказал что они помочь не могут. Обращаемся к вам с последней надеждой так сказать
      FRST.RAR DATA.RAR
    • Soft619
      Автор Soft619
      Добрый день. На ПК, без установленного на момент шифрования антивируса, попал Trojan.Encoder.31074 (Lockbit 3). Все документы зашифрованы, в расширениях файлов содержится Hf7GtyFVI. Требования были размещены текстовым файлом во всех папках, где были документы. После обнаружения система сразу была просканирована через загрузочный диск Касперского, всё подозрительное удалено. Прошу помочь с расшифровкой. 
      Files.zip
    • Мимохожий
      Автор Мимохожий
      Поймали Trojan.Encoder.31074 (Lockbit 3).
      Просим помощи в расшифровке
      Файл вируса в архиве имеется.
      Убиты все сервера компании.
       
      Mimo.rar
    • Andrew Vi Ch
      Автор Andrew Vi Ch
      Добрый день.
      Поймали указанный шифровальщик, в системных логах были ошибки службы ngrok, перехватили AD, остановили KES, зашифрованы все виртуальные машины (Hyper-V), базы данных... в общем - 99% инфраструктуры. Вычищены теневые копии.
      Приложены архивы: 
      encrypted.zip - 2 зашифрованных файла + текстовик с единственной строкой "message us for decrypt" (расширение зашифрованных файлов .X1g2d2vbb)
      frst.zip - логи FRST
      lock.zip - запароленный в соответствии с инструкцией архив с исполняемым файлом шифровальщика.
      Прошу оказать содействие в расшифровке.
      Спасибо.
    • shilovart
      Автор shilovart
      Поймали шифровальщик, после каких событий произошло тяжело сказать, все началось ночью, перехватили AD, зашифровали все рабочие станции которые были в сети. У файлов добавилось окончание S8fyxRJUX, файл с требованиями не нашли.
      Addition.txt FRST.txt 29-02-2024_10-28-04.zip go_to_G.rar
×
×
  • Создать...