Перейти к содержанию

Зашифрованы файлы на нескольких машинах в сети

Zakhar Sergeich
 Поделиться

Рекомендуемые сообщения

safety

safety

Опубликовано
Опубликовано (изменено)

Добрый день,

 

Логи FRST необходимо переделать из под учетной записи Администратора.

Quote

Запущено с помощью Отдел Кадров (ВНИМАНИЕ: Пользователь не является Администратором) на ОТДЕЛКАДРОВ-HP (Hewlett-Packard HP3520 Aio) (13-11-2023 18:23:17)

 

Судя по записки о выкупе файлы зашифрованы Mimic/N3wwv43 ransomware, на текущий момент, к сожалению, без расшифровки.

 

Если нужна будет помощь в очистке системы, напишите об этом.

Изменено пользователем safety
safety

safety

Опубликовано
Опубликовано (изменено)

Сделайте, пожалуйста, дополнительно образ автозапуска в uVS.

 

1. Скачать архив программы можно отсюда:

2. Распакуйте данный архив с программой в отдельный каталог и запустите файл Start.exe
(для Vista, Win7, Win8, Win10 запускаем с правами администратора)
3. В стартовом окне программы - нажмите "запустить под текущим пользователем"
(если текущий пользователь с правами администратора).

4. Далее, меню "Файл" / Сохранить Полный образ автозапуска.

5. дождитесь, пока процесс создания файла образа завершится.
Сохраненный файл образа автозапуска (с именем Ваш_компьютер_дата_время.txt) автоматически добавится в архив 7z или rar.
6. Файл архива с образом автозапуска прикрепите к вашему сообщению на форуме. Ждем ответ.

Изменено пользователем safety
safety

safety

Опубликовано
Опубликовано

Спасибо,

Судя по логам в системе нет активных файлов шифровальщика. С расшифровкой, к сожалению не сможем помочь.

Сохраните важные зашифрованные файлы на отдельный носитель, возможно в будущем, расшифровка станет возможной.

Обратите внимание, чтобы удаленное подключение к данному ПК по RDP было разрешено из Интернета только с безопасных(белых) адресов.

Zakhar Sergeich

Zakhar Sergeich

Опубликовано
  • Автор
Опубликовано

Спасибо в любом случае, узнал про две новые полезные утилиты! :)

safety

safety

Опубликовано
Опубликовано

по предыдущим примерам с данным типом файлы шифровальщика могут размещаться примерно в таких папках:

{9B24D914-D8F5-5C43-5F18-C6758674D7BB}

Используются легальные файлы

Everything32.dll, Everything.exe, sdel.exe, sdel64.exe, 7za.exe

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Поделиться
Перейти к списку тем

  • Похожий контент

    • B_KACKE
      зашифровало сервер 1с и несколько машин в сети
      Автор B_KACKE
      Здравствуйте!
      Зашифровало сервер 1с и распространилось дальше по сети
      Сервер 1с был просканирован загрузочной флешкой Kaspersky Rescue Tool 24 (скрин и отчет прикрепил)
      Помогите восстановить файлы. Бэкапы тоже зашифровало. Спасибо
      Addition.txt FRST.txt Files.zip Reports_KRT24.zip
    • Сергей Кобызев
      Зашифрованы все файлы. На нескольких компьютерах сети.
      Автор Сергей Кобызев
      Зашифрованы все файлы. На нескольких компьютерах сети. На всех дисках.
      прилагаю сканы программой FarBar, и в архиве инструкцию злоумышленников и пару зашифрованных файлов.
       
       
      FRST.txt Z.zip Addition.txt
    • Артем Воробей
      Зашифрованы файлы в Windows и файлы виртуальных машин на esxi
      Автор Артем Воробей
      Wp6iMy3CQ.README.txt kasper.zip
    • Grig
      несколько серверов зашифрованы blackbit
      Автор Grig
      Не очень добрый день
      сегодня с утра перестало работать несколько служб. Обнаружили на серверах файлы Cpriv.BlackBit. Серверы были выключены. Файлы зашифрованные пока выслать не могу. Подскажите как правильно действовать далее.
    • Vova333
      Зашифровали Файлы в локальной сети (общей папке) на нескольких компьютерах и поменяли данные создания папок
      Автор Vova333
      Зашифровали Файлы в локальной сети (общей папке) на нескольких компьютерах и поменяли данные создания папок. заметили сегодня утром . данные папок были изменены примерно 21.05.2024 в 1 час 22 минуты (это данные измененных папок). Компьютеры подключены общей локальной сетью, работы происходят на них в общей рабочей папке и данная Папка была полностью зашифрована (включая все продукты оффис ). шифр на всех документах один
       id-9439B95D.[anticrypto@tutanota.com]
      Что делать? как быть?
       
      Сообщение от модератора kmscom Тема перемещена из раздела Компьютерная помощь  
×
×
  • Создать...