Перейти к содержанию

Произошёл взлом через RDP - зашифровали сервера. Возможна ли расшифровка файлов каким-либо ПО?

I_CaR
 Share Подписчики 0

Рекомендуемые сообщения

I_CaR

I_CaR 0

Опубликовано
Опубликовано

Здравствуйте.
27.11.2023 была атака на сеть предприятия по RDP(зашли по 3389 порту на ПК администратора системы). Далее, через ПК администратора, были также по RDP заражены ещё 2 сервера предприятия.
Вложения:
"unlock-info.txt" - письмо от мошенников. Вирус немного похож на ouroboros (Так его детектировал Eset).
Внутри архива сам вирус-шифрователь *.exe (пароль к архиву 12345).
---
Заранее благодарен за внимание к проблеме.
Очень надеюсь на положительный результат.

unlock-info.txt filescoder@gmail.com(пароль_на_архив_12345).rar

Ссылка на сообщение
Поделиться на другие сайты
safety

safety 80

Опубликовано
Опубликовано (изменено)

Файлы зашифрованы VoidCrypt/Ouroboros

https://www.virustotal.com/gui/file/c6509f1366d1c03763748f91d5bab7352a51fd31730192772f584e9af6e1cd2c?nocache=1

 

К сожалению, расшифровки по VoidCrypt/Ouroboros на текущий момент нет.

 

Если необходима очистка/более тщательный анализ системы, сделайте пожалуйста, логи FRST

Quote

Подготовьте логи анализа системы при помощи Farbar Recovery Scan Tool

 

+

образ автозапуска в uVS.

Сделайте, пожалуйста, дополнительно образ автозапуска в uVS.

Quote

 

1. Скачать архив программы можно отсюда:

2. Распакуйте данный архив с программой в отдельный каталог и запустите файл Start.exe
(для Vista, Win7, Win8, Win10 запускаем с правами администратора)
3. В стартовом окне программы - нажмите "запустить под текущим пользователем"
(если текущий пользователь с правами администратора).

4. Далее, меню "Файл" / Сохранить Полный образ автозапуска.

5. дождитесь, пока процесс создания файла образа завершится.
Сохраненный файл образа автозапуска (с именем Ваш_компьютер_дата_время.txt) автоматически добавится в архив 7z или rar.
6. Файл архива с образом автозапуска прикрепите к вашему сообщению на форуме. Ждем ответ.

 

+

проверьте ЛС.

Изменено пользователем safety
Ссылка на сообщение
Поделиться на другие сайты
I_CaR

I_CaR 0

Опубликовано
  • Автор
Опубликовано (изменено)

Спасибо за внимание к жуткой проблеме.

Я знаю, что PDF-формат это некий контейнер. Выходит это шифровка происходит на контейнер, а содержимое контейнера цело.
Из этого выяснилось следующее:

Шифровка происходит на файл и на файлы-контейнеры, такие как doc, pdf, zip, rar и т.п., а содержимое контейнера иногда остаётся не тронутым.
Так я смог восстановить ВСЕ файлы в zip-формате. Архивы *.rar так не сработали.
Переименовал .MRN обратно в .zip, открыл через winRAR , вытащил содержимое архива. Всё чистенько и всё открывается прекрасно.
Может кому-то эта информация да поможет.
 

Изменено пользователем safety
дополнение
Ссылка на сообщение
Поделиться на другие сайты

Присоединяйтесь к обсуждению

Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.

Гость
Ответить в этой теме...

×   Вставлено с форматированием.   Вставить как обычный текст

  Разрешено использовать не более 75 эмодзи.

×   Ваша ссылка была автоматически встроена.   Отображать как обычную ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставлять изображения напрямую. Загружайте или вставляйте изображения по ссылке.

×
 Share
Подписчики 0
Перейти к списку тем

  • Похожий контент

    • Apdate2018
      Зашифровали сервер нужна помощь
      От Apdate2018
      День добрый! зашифровали сервер 
       
      расширение файлов тепреь .[CW-NA0835962147].(spystar1@onionmail.com).Rar 
       
      но, я на шел на сервере  файла в каталоге ProgramData
       
      pkey.txt
      IDk.txt
      RSAKEY.KEY
      а так же файл prvkey.txt..[CW-NA0835962147].(spystar1@onionmail.com).Rar 
       
      не знаю можно ли распространять эти файлы поэтому их не прилагаю да и побаиваюсь я втыкать в тот комп свою флешку 
       
      в общем есть ли возможность восстановления?

      есть так же файл оригинал большого размера и файл точно такой ж ено зашифрованный
       
      поможете?
    • Дмитрий Казакевич
      Помогите с вирусом [MJ-*](Recoverifiles@gmail.com).Recov
      От Дмитрий Казакевич
      Во вложении есть ключ присланный шифровальщиками
      Вірус.rar Addition.txt FRST.txt
    • Dimon77
      Зашифрованы файлы на сервере .RYCRYPT, просьба помочь
      От Dimon77
      Все общие папки на сервере+ все папки ползователей на терминальнике.
       
      unlock-info.txt BAD.zip
    • mr.dwz
      Шифровальщик (encoderdecryption@gmail.com).RYKCRYPT
      От mr.dwz
      Добрый день! Шифровальщик зашифровал файлы на компьютере, в том числе и рабочие базы данных от ПО и 1С.
      Расширение у зашифрованных файлов (encoderdecryption@gmail.com).RYKCRYPT
       
      В автозагрузке находится encoderdecryption@gmail.com.exe
       
      Также в ProgramData созданы файлы IDk.txt, pkey.txt, RSAKEY.key
       
      Приложил логи FRST,
      В архиве rykcrypt_files лежат зашифрованные файлы, а также текстовые файлы из ProgramData(Idk.txt, pket.txt, RSAKEY.key)
      В архиве encoderdecryption@gmail.com.zip, лежит exe файл из автозагрузки (пароль virus)
       
      FRST.txt Addition.txt rykcrypt_files.zip encoderdecryption@gmail.com.zip
    • The_Immortal
      Зашифрованные файлы
      От The_Immortal
      Приветствую!
       
      Пару дней назад получили шифрование. Можно ли что-то с этим сделать? И как активный и актуальный KES мог такое пропустить?
       
      Спасибо!
      Addition.txt FRST.txt info+.zip
×
×
  • Создать...