Перейти к содержанию
Набор на стажировку в «Лабораторию Касперского»! Пробуй сам и зови друзей

Произошёл взлом через RDP - зашифровали сервера. Возможна ли расшифровка файлов каким-либо ПО?

I_CaR
 Поделиться

Рекомендуемые сообщения

I_CaR Новичок

I_CaR

Опубликовано
Опубликовано

Здравствуйте.
27.11.2023 была атака на сеть предприятия по RDP(зашли по 3389 порту на ПК администратора системы). Далее, через ПК администратора, были также по RDP заражены ещё 2 сервера предприятия.
Вложения:
"unlock-info.txt" - письмо от мошенников. Вирус немного похож на ouroboros (Так его детектировал Eset).
Внутри архива сам вирус-шифрователь *.exe (пароль к архиву 12345).
---
Заранее благодарен за внимание к проблеме.
Очень надеюсь на положительный результат.

unlock-info.txt filescoder@gmail.com(пароль_на_архив_12345).rar

Ссылка на комментарий
Поделиться на другие сайты
safety Гигант мысли

safety

Опубликовано
Опубликовано (изменено)

Файлы зашифрованы VoidCrypt/Ouroboros

https://www.virustotal.com/gui/file/c6509f1366d1c03763748f91d5bab7352a51fd31730192772f584e9af6e1cd2c?nocache=1

 

К сожалению, расшифровки по VoidCrypt/Ouroboros на текущий момент нет.

 

Если необходима очистка/более тщательный анализ системы, сделайте пожалуйста, логи FRST

Quote

Подготовьте логи анализа системы при помощи Farbar Recovery Scan Tool

 

+

образ автозапуска в uVS.

Сделайте, пожалуйста, дополнительно образ автозапуска в uVS.

Quote

 

1. Скачать архив программы можно отсюда:

2. Распакуйте данный архив с программой в отдельный каталог и запустите файл Start.exe
(для Vista, Win7, Win8, Win10 запускаем с правами администратора)
3. В стартовом окне программы - нажмите "запустить под текущим пользователем"
(если текущий пользователь с правами администратора).

4. Далее, меню "Файл" / Сохранить Полный образ автозапуска.

5. дождитесь, пока процесс создания файла образа завершится.
Сохраненный файл образа автозапуска (с именем Ваш_компьютер_дата_время.txt) автоматически добавится в архив 7z или rar.
6. Файл архива с образом автозапуска прикрепите к вашему сообщению на форуме. Ждем ответ.

 

+

проверьте ЛС.

Изменено пользователем safety
Ссылка на комментарий
Поделиться на другие сайты
I_CaR Новичок

I_CaR

Опубликовано
  • Автор
Опубликовано (изменено)

Спасибо за внимание к жуткой проблеме.

Я знаю, что PDF-формат это некий контейнер. Выходит это шифровка происходит на контейнер, а содержимое контейнера цело.
Из этого выяснилось следующее:

Шифровка происходит на файл и на файлы-контейнеры, такие как doc, pdf, zip, rar и т.п., а содержимое контейнера иногда остаётся не тронутым.
Так я смог восстановить ВСЕ файлы в zip-формате. Архивы *.rar так не сработали.
Переименовал .MRN обратно в .zip, открыл через winRAR , вытащил содержимое архива. Всё чистенько и всё открывается прекрасно.
Может кому-то эта информация да поможет.
 

Изменено пользователем safety
дополнение
Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Поделиться
Перейти к списку тем

  • Похожий контент

    • primely
      Взлом RDP сервера с 1С вирусом-шифровальщиком .PE32S
      Автор primely
      Добрый день. У меня сегодня взломали сервер  с 1С.  Все файлы зашифровались в .PE32S. Огромная просьба помочь с решением данной проблемы. Прикрепляю скрины с зашифрованными файлами. Во вложении несколько зашифрованных файлов и записка о выкупе в архиве без пароля, а также логи FRST.

      PE32S.rar
    • MikoTMN
      Взлом RDP сервера с 1С вирусом-шифровальщиком datastore@cyberfair
      Автор MikoTMN
      Здравствуйте. Сегодня мой сервер, где лежит 1С заразился вирусом шифровальщиком, в итоге все файлы зашифровалить в тхт, ну и как полагается требуют выкуп за файлы. Прикрепил скрины с типом файлов и текстом вымогателя. Просьба, кто сталкивался с подобным (а на форуме их много) помочь с решением проблемы 
       


    • Valeriy_Chirchik
      Зашифровали файлы на сервере *.red
      Автор Valeriy_Chirchik
      В понедельник, 17.02.2025, все файлы на сервере зашифрованы.
      Прилагаю файлы сканирования и требование оплаты дешифрования...
      Очень надеюсь на Вашу помощь!!!
      Спасибо!!!Virus.rarFRST.txtAddition.txt
    • paradox197755
      Зашифрованы диски на сервере.
      Автор paradox197755
      Зашифрованы диски на сервере.

    • Lex89
      Взломали по RDP и зашифровали все файлы с расширением .pe32s
      Автор Lex89
      Сегодня произошел взлом по RDP и запуск шифратора 
      Примеры зашифрованных файлов, письмо о переводе денег, данные FRST во вложении
      Пароль от архива с вирусом - 12345
      Addition.txt FRST.txt Pe32-v4.1.1.rar README.txt Пример зашифрованных файлов.rar
×
×
  • Создать...