Перейти к содержанию

Произошёл взлом через RDP - зашифровали сервера. Возможна ли расшифровка файлов каким-либо ПО?


Рекомендуемые сообщения

Здравствуйте.
27.11.2023 была атака на сеть предприятия по RDP(зашли по 3389 порту на ПК администратора системы). Далее, через ПК администратора, были также по RDP заражены ещё 2 сервера предприятия.
Вложения:
"unlock-info.txt" - письмо от мошенников. Вирус немного похож на ouroboros (Так его детектировал Eset).
Внутри архива сам вирус-шифрователь *.exe (пароль к архиву 12345).
---
Заранее благодарен за внимание к проблеме.
Очень надеюсь на положительный результат.

unlock-info.txt filescoder@gmail.com(пароль_на_архив_12345).rar

Ссылка на комментарий
Поделиться на другие сайты

Файлы зашифрованы VoidCrypt/Ouroboros

https://www.virustotal.com/gui/file/c6509f1366d1c03763748f91d5bab7352a51fd31730192772f584e9af6e1cd2c?nocache=1

 

К сожалению, расшифровки по VoidCrypt/Ouroboros на текущий момент нет.

 

Если необходима очистка/более тщательный анализ системы, сделайте пожалуйста, логи FRST

Quote

Подготовьте логи анализа системы при помощи Farbar Recovery Scan Tool

 

+

образ автозапуска в uVS.

Сделайте, пожалуйста, дополнительно образ автозапуска в uVS.

Quote

 

1. Скачать архив программы можно отсюда:

2. Распакуйте данный архив с программой в отдельный каталог и запустите файл Start.exe
(для Vista, Win7, Win8, Win10 запускаем с правами администратора)
3. В стартовом окне программы - нажмите "запустить под текущим пользователем"
(если текущий пользователь с правами администратора).

4. Далее, меню "Файл" / Сохранить Полный образ автозапуска.

5. дождитесь, пока процесс создания файла образа завершится.
Сохраненный файл образа автозапуска (с именем Ваш_компьютер_дата_время.txt) автоматически добавится в архив 7z или rar.
6. Файл архива с образом автозапуска прикрепите к вашему сообщению на форуме. Ждем ответ.

 

+

проверьте ЛС.

Изменено пользователем safety
Ссылка на комментарий
Поделиться на другие сайты

Спасибо за внимание к жуткой проблеме.

Я знаю, что PDF-формат это некий контейнер. Выходит это шифровка происходит на контейнер, а содержимое контейнера цело.
Из этого выяснилось следующее:

Шифровка происходит на файл и на файлы-контейнеры, такие как doc, pdf, zip, rar и т.п., а содержимое контейнера иногда остаётся не тронутым.
Так я смог восстановить ВСЕ файлы в zip-формате. Архивы *.rar так не сработали.
Переименовал .MRN обратно в .zip, открыл через winRAR , вытащил содержимое архива. Всё чистенько и всё открывается прекрасно.
Может кому-то эта информация да поможет.
 

Изменено пользователем safety
дополнение
Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
  • Похожий контент

    • lex-xel
      От lex-xel
      Добрый день!
      Аналогичная ситуация  сервер подвергся взлому, база данных заархивирована с шифрованием.
      Антивирус снесли, хоть он был под паролем.
      Подскажите есть способ как то исправить ситуацию, расшифровать базу данных?
       
      Do you really want to restore your files?
      Write to email: a38261062@gmail.com
       
      Сообщение от модератора Mark D. Pearlstone перемещено из темы.
         
    • jserov96
      От jserov96
      Шифровальщик запустился скорее всего из планировщика заданий ровно в 21:00 16 ноября в субботу.  Время указано на основе найденных зашифрованных файлов. Шифровальщик нашел все скрытые диски, подключил все бекапы, зашифровал все содержимое .vhd бекапов, и сами бекапы тоже зашифровал. Сервер отключен, диск с бекапами снят, зашифрованные .vhd файлы перенесены на другой диск, чтобы попробовать вытащить файлы. Шифровальщик шифрует первый 20000h байт файла и дописывает 300h байт в огромные файлы, видимо сделано для ускорения шифрования всего диска. Особенность: выполняемые файлы не шифруются!
      vx2.rar
    • whoamis
      От whoamis
      Добрый день зашифровало сервер, предположительно кто-то скачал картинку на сервере и открыл.
      Addition.txt FRST.txt 11.rar
    • iLuminate
      От iLuminate
      Есть подозрение на взлом, так как при переходе C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Administrative Tools\Администрирование - Ярлык появляется ярлык которые указан на скриншоте.

      FRST.txt Addition.txt
    • sduganov
      От sduganov
      Добрый день!
      поймали шифровальщика.. не смогли запустить 1с они еще и на sql
      Addition.txt FRST.txt файлызашиф.rar
×
×
  • Создать...