Перейти к содержанию

Шифровальщик Trojan.Encoder.35534

dsever
 Share

Рекомендуемые сообщения

dsever Новичок

dsever

Опубликовано
Опубликовано

Сегодня после выходных обнаружили проблему. Два сервера - все данные зашифрованы.  основная проблема с 1С файлы зашифрованы + бэкапы тоже. DrWEB пишет, что вирус попал по RDP, "Файл шифровальщика находится по пути
C:\users\администратор.win-8anssg9mkch\appdata\local\7af1be1c-1606-8166-99e6-80b4a9786b07\BABKAALYOEBALO.exe". Так же вирус зашифровал все расшаренные файлы на других серверах, но до баз SQL не добрался.

 

BABKAALYOEBALO_DECRYPTION.txt

Ссылка на комментарий
Поделиться на другие сайты
safety Гигант мысли

safety

Опубликовано
Опубликовано

Добавьте несколько зашифрованных файлов в архиве + заархивируйте папку с телом шифровальщика с паролем virus или infected,

загрузите архив с папкой на облачный диск, и дайте ссылку на скачивание в ЛС

+

добавьте логи FRST с обоих серверов.

Quote

Подготовьте логи анализа системы при помощи Farbar Recovery Scan Tool.

 

Ссылка на комментарий
Поделиться на другие сайты
dsever Новичок

dsever

Опубликовано
  • Автор
Опубликовано
14 часов назад, safety сказал:

Добавьте несколько зашифрованных файлов в архиве + заархивируйте папку с телом шифровальщика с паролем virus или infected,

загрузите архив с папкой на облачный диск, и дайте ссылку на скачивание в ЛС

+

добавьте логи FRST с обоих серверов.

 

Отправил в ЛС.

Ссылка на комментарий
Поделиться на другие сайты
safety Гигант мысли

safety

Опубликовано
Опубликовано

К сожалению, по данному типу шифровальщика расшифровка файлов невозможна без приватного ключа. Сохраните важные зашифрованные документы на отдельный носитель, возможно, расшифровка в будущем станет возможной.

 

По очистке системы:

 

Выполните скрипт очистки в FRST

Запускаем FRST.exe от имени Администратора (если не запущен)

Копируем скрипт из браузера в буфер обмена, браузер закрываем.

Ждем, когда будет готов к работе,

Нажимаем в FRST кнопку "исправить".

Скрипт автоматически очистит систему, без перезагрузки и завершит работу FRST.

  

Start::
() [Файл не подписан] C:\Users\Администратор.WIN-8ANSSG9MKCH\AppData\Local\7AF1BE1C-1606-8166-99E6-80B4A9786B07\gui40.exe
HKLM\...\Policies\system: [legalnoticecaption]  
HKLM\...\Policies\system: [legalnoticetext] BABKAALYOEBALO Ransomware!!!
ATTENTION!
GroupPolicy: Ограничение ? <==== ВНИМАНИЕ
Policies: C:\ProgramData\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
C:\Users\Администратор.WIN-8ANSSG9MKCH\AppData\Local\7AF1BE1C-1606-8166-99E6-80B4A9786B07\gui40.exe
2024-01-29 11:53 - 2022-12-25 08:03 - 000000000 __SHD C:\Users\Администратор.WIN-8ANSSG9MKCH\AppData\Local\7AF1BE1C-1606-8166-99E6-80B4A9786B07
End::

Добавьте файл Fixlog.txt из папки, откуда запускали FRST в ваше сообщение.

Ссылка на комментарий
Поделиться на другие сайты
safety Гигант мысли

safety

Опубликовано
Опубликовано (изменено)

Система очищена от вирусных тел, с расшифровкой увы, не сможем помочь.

Примите к сведению рекомендации по защите серверов, чтобы избежать в будущем новых попыток шифрования.

Изменено пользователем safety
Ссылка на комментарий
Поделиться на другие сайты
dsever Новичок

dsever

Опубликовано
  • Автор
Опубликовано
47 минут назад, safety сказал:

Система очищена от вирусных тел, с расшифровкой увы, не сможем помочь.

Примите к сведению рекомендации по защите серверов, чтобы избежать в будущем новых попыток шифрования.

Да, спасибо! Уже восстанавливаем БД из старых копий, до которых не добрались. Политику учеток уже меняю. Еще вопрос: если мы все резервные копии будем складывать в расшаренную папку на Linux, а архивы при создании будут защищены паролем, это как-то поможет от таких атак? Хотя бы в плане резервного копирования БД?

Ссылка на комментарий
Поделиться на другие сайты
safety Гигант мысли

safety

Опубликовано
Опубликовано

Если расшаренная папка будет доступна из под системы Win, то эти меры не защитят от шифрования. Безопаснее будет, если после завершения архивации устройство будет изолировано от доступа.

Ссылка на комментарий
Поделиться на другие сайты
dsever Новичок

dsever

Опубликовано
  • Автор
Опубликовано
30.01.2024 в 11:32, safety сказал:

Если расшаренная папка будет доступна из под системы Win, то эти меры не защитят от шифрования. Безопаснее будет, если после завершения архивации устройство будет изолировано от доступа.

Архивы делаются всю ночь до утра, как тут изолируешь. И как виндовый вирус может работать в среде Linux?

И еще сейчас делаются архивы на NAS - выживут ли при атаке?

Ссылка на комментарий
Поделиться на другие сайты
safety Гигант мысли

safety

Опубликовано
Опубликовано
59 minutes ago, dsever said:

Архивы делаются всю ночь до утра, как тут изолируешь. И как виндовый вирус может работать в среде Linux?

И еще сейчас делаются архивы на NAS - выживут ли при атаке?

если папки с линукс-серверов подключаются как шары к устройствам под win. по шифровальщик, запущенный в win-системе пошифрует эти папки.

Для NAS надо смотреть рекомендации по настройкам, чтобы они были недоступны из внешней сети, или доступны только с белых адресов. Иначе могут быть взломаны и зашифрованы из внешней сети, если не устанавливаются вовремя обновления от производителя NAS.

Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Share
Перейти к списку тем

  • Похожий контент

    • Ч_Александр
      Поймал шифровальщик Trojan.Encoder.37448
      От Ч_Александр
      Добрый день.
      Шифровальщик Trojan.Encoder.37448. Каспер у юзера был старый и не активный.
      Зашифрован HDD, "exe" файлы не зашифрованы. Зашифрованы документы и базы 1С.
      Есть скрин "Резервного хранилища", к сожалению очищено.
      Пример имени зашифрованного файла "д о г о в о р №30 04.doc.elpaco-team-54idcqynrhwlpsxf_krvfq_dgtrabof-vdlmydcjdxy.[Rdpdik6@gmail.com].lockedfile".
      Скрин и файл с требованием во вложении.
      Могу предоставить зашифрованные файлы.
      Есть ли шанс на расшифровку?
       
      П.С.
      Ответ DRWEB
       Файлы зашифрованы Trojan.Encoder.37448 Расшифровка нашими силами невозможна.

      #Read-for-recovery.txt
    • trambler3
      Поймал шифровальщика (предположительно Trojan.Encoder.37448)
      От trambler3
      1. ОС переустановлена т.к. необходимо рабочее место.
      2. Атака произошла ночью в выходной день через компьютер пользователя. Сервер 1С не смогли зашифровать, только общедоступные папки (шару). Однако на сервере касперский нашел ransomware (к сожалению в панике удалил даже не записав точное название), так же почти на всех пользовательских компах был файл , определяющийся как вирус "AA_v3". При попытке восстановления с помощью, например, recuva видно удаленный файл, но он повреждён. Теневых копий нет. 
      F.7z
    • DmitriyDy
      Зашифрованы файлы *.goodluck.k ; mattersjack768@gmail.com ; Trojan.Encoder.37506
      От DmitriyDy
      ПК на Windows11, Windows 10, Windows 7
      Примерная дата шифрования с 17.01.2025
      На некоторых ПК на которых установлен Dr.Web, вирус удали практически все, даже сам Dr.Web.
      На некоторых ПК на которых установлен Dr.Web, вирус зашифровал часть файлов.
      На некоторых ПК на которых установлен Dr.Web, при загрузке Windows автоматом загружается пользователь HIguys
      На некоторых ПК на которых установлен Dr.Web, Dr.Web сработал и остановил вирус (отчеты прилагаю)
       
      Ответ поддержки Dr.Web: 
      В данном случае файл зашифрован Trojan.Encoder.37506.
      Расшифровка нашими силами невозможна
       
      Во вложеных файлах: 1. Zip архив в котором: Скрин письма о выкупе, скрин загрузки пользователя HIguys, отчеты Dr.Web, Зашиврованные файлы. 2. логи, собранные Farbar Recovery Scan
      Зашифрованные файлы+скрины+отчеты Dr.Web.zip Addition.txt FRST.txt
    • Thunderer
      Шифровальщик
      От Thunderer
      Зашифровали файлы на компьютере и все общие папки 
      Подключились к компьютеру по RDP 
      В архиве логи frst, зашифрованный и расшифрованный файлы
      -Файлы.zip
    • Пользователь 1551
      Шифровальщик
      От Пользователь 1551
      Добрый день! У нас аналогичная ситуация? Удалось расшифровать?
       
      Сообщение от модератора Mark D. Pearlstone Перемещено из темы.
×
×
  • Создать...