Перейти к содержанию

Рекомендуемые сообщения

Сегодня после выходных обнаружили проблему. Два сервера - все данные зашифрованы.  основная проблема с 1С файлы зашифрованы + бэкапы тоже. DrWEB пишет, что вирус попал по RDP, "Файл шифровальщика находится по пути
C:\users\администратор.win-8anssg9mkch\appdata\local\7af1be1c-1606-8166-99e6-80b4a9786b07\BABKAALYOEBALO.exe". Так же вирус зашифровал все расшаренные файлы на других серверах, но до баз SQL не добрался.

 

BABKAALYOEBALO_DECRYPTION.txt

Ссылка на сообщение
Поделиться на другие сайты

Добавьте несколько зашифрованных файлов в архиве + заархивируйте папку с телом шифровальщика с паролем virus или infected,

загрузите архив с папкой на облачный диск, и дайте ссылку на скачивание в ЛС

+

добавьте логи FRST с обоих серверов.

Quote

Подготовьте логи анализа системы при помощи Farbar Recovery Scan Tool.

 

Ссылка на сообщение
Поделиться на другие сайты
14 часов назад, safety сказал:

Добавьте несколько зашифрованных файлов в архиве + заархивируйте папку с телом шифровальщика с паролем virus или infected,

загрузите архив с папкой на облачный диск, и дайте ссылку на скачивание в ЛС

+

добавьте логи FRST с обоих серверов.

 

Отправил в ЛС.

Ссылка на сообщение
Поделиться на другие сайты

К сожалению, по данному типу шифровальщика расшифровка файлов невозможна без приватного ключа. Сохраните важные зашифрованные документы на отдельный носитель, возможно, расшифровка в будущем станет возможной.

 

По очистке системы:

 

Выполните скрипт очистки в FRST

Запускаем FRST.exe от имени Администратора (если не запущен)

Копируем скрипт из браузера в буфер обмена, браузер закрываем.

Ждем, когда будет готов к работе,

Нажимаем в FRST кнопку "исправить".

Скрипт автоматически очистит систему, без перезагрузки и завершит работу FRST.

 

Start::
() [Файл не подписан] C:\Users\Администратор.WIN-8ANSSG9MKCH\AppData\Local\7AF1BE1C-1606-8166-99E6-80B4A9786B07\gui40.exe
HKLM\...\Policies\system: [legalnoticecaption]  
HKLM\...\Policies\system: [legalnoticetext] BABKAALYOEBALO Ransomware!!!
ATTENTION!
GroupPolicy: Ограничение ? <==== ВНИМАНИЕ
Policies: C:\ProgramData\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
C:\Users\Администратор.WIN-8ANSSG9MKCH\AppData\Local\7AF1BE1C-1606-8166-99E6-80B4A9786B07\gui40.exe
2024-01-29 11:53 - 2022-12-25 08:03 - 000000000 __SHD C:\Users\Администратор.WIN-8ANSSG9MKCH\AppData\Local\7AF1BE1C-1606-8166-99E6-80B4A9786B07
End::

Добавьте файл Fixlog.txt из папки, откуда запускали FRST в ваше сообщение.

Ссылка на сообщение
Поделиться на другие сайты

Система очищена от вирусных тел, с расшифровкой увы, не сможем помочь.

Примите к сведению рекомендации по защите серверов, чтобы избежать в будущем новых попыток шифрования.

Изменено пользователем safety
Ссылка на сообщение
Поделиться на другие сайты
47 минут назад, safety сказал:

Система очищена от вирусных тел, с расшифровкой увы, не сможем помочь.

Примите к сведению рекомендации по защите серверов, чтобы избежать в будущем новых попыток шифрования.

Да, спасибо! Уже восстанавливаем БД из старых копий, до которых не добрались. Политику учеток уже меняю. Еще вопрос: если мы все резервные копии будем складывать в расшаренную папку на Linux, а архивы при создании будут защищены паролем, это как-то поможет от таких атак? Хотя бы в плане резервного копирования БД?

Ссылка на сообщение
Поделиться на другие сайты

Если расшаренная папка будет доступна из под системы Win, то эти меры не защитят от шифрования. Безопаснее будет, если после завершения архивации устройство будет изолировано от доступа.

Ссылка на сообщение
Поделиться на другие сайты
30.01.2024 в 11:32, safety сказал:

Если расшаренная папка будет доступна из под системы Win, то эти меры не защитят от шифрования. Безопаснее будет, если после завершения архивации устройство будет изолировано от доступа.

Архивы делаются всю ночь до утра, как тут изолируешь. И как виндовый вирус может работать в среде Linux?

И еще сейчас делаются архивы на NAS - выживут ли при атаке?

Ссылка на сообщение
Поделиться на другие сайты
59 minutes ago, dsever said:

Архивы делаются всю ночь до утра, как тут изолируешь. И как виндовый вирус может работать в среде Linux?

И еще сейчас делаются архивы на NAS - выживут ли при атаке?

если папки с линукс-серверов подключаются как шары к устройствам под win. по шифровальщик, запущенный в win-системе пошифрует эти папки.

Для NAS надо смотреть рекомендации по настройкам, чтобы они были недоступны из внешней сети, или доступны только с белых адресов. Иначе могут быть взломаны и зашифрованы из внешней сети, если не устанавливаются вовремя обновления от производителя NAS.

Ссылка на сообщение
Поделиться на другие сайты

Присоединяйтесь к обсуждению

Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.

Гость
Ответить в этой теме...

×   Вставлено с форматированием.   Вставить как обычный текст

  Разрешено использовать не более 75 эмодзи.

×   Ваша ссылка была автоматически встроена.   Отображать как обычную ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставлять изображения напрямую. Загружайте или вставляйте изображения по ссылке.

  • Похожий контент

    • Ivan_f
      От Ivan_f
      Два ПК с данными обработаны шифровальщиками. 
      Письмо с вымоганием денег лежало в корневых папках. Прилагаю к запросу этот файл Instruction.txt
      Готов оплатить услуги по дешифрованию. Нашел очень похожую активность - https://virusinfo.info/showthread.php?t=227896
      Заранее благодарю. 
    • Александр Евгеньеви
      От Александр Евгеньеви
      Здравствуйте. Поймал вирус 7dyedhqu59c, установлен Касперский small office security.  Он увидел аирус попросил перезагрузить комп. После выполнил полную проверку, но файлы продолжают шифроваться. Помогите.
       
      Сообщение от модератора Mark D. Pearlstone перемещено из темы.
    • СергейБ.
      От СергейБ.
      Здравствуйте.
      Компьютер ночью был включен.
      Утром обнаружилось предупреждение о заражение и шифровании файлов. 
      В конце каждого файла добавилось 7dyedhqu59c
      Можете ли чем-нибудь помочь?
      Спасибо.
      FRST.txt Addition.txt files.zip
    • upvpst
      От upvpst
      Добрый день! В сеть проник зловред подробно описанный по ссылке https://id-ransomware.blogspot.com/2023/04/dchelp-ransomware.html.
      Возможности зайти на сервер нет, так как файловые системы отображаются как нечитаемые. Пробуем вытащить файлы через R-Studio, Disk Drill и иные утилиты восстановления данных. Сталкивался ли кто-то еще с этими гадами? Есть ли выход?

    • Николай Щипунов
      От Николай Щипунов
      Добрый день!
       
      Компьютер пользователя атакован вирусом-шифровальщиком. Предположительный канал проникновения - доступ к удаленному рабочему столу через протокол RDP.
      Образцы файлов и записка вымогателей находятся в файле samples.zip. Незашифрованные версии файлов имеются и могут быть предоставлены по запросу.
      Сам файл шифровальщика найден и может быть предоставлен дополнительно по запросу.
       
      Операционная система  была переустановлена. Farbar Recovery Scan Tool запускалась в чистой среде.
      samples.zip Addition.txt FRST.txt
×
×
  • Создать...