Перейти к содержанию
Набор на стажировку в «Лабораторию Касперского»! Пробуй сам и зови друзей

Шифровальщик Trojan.Encoder.35534

dsever
 Share Подписчики 1

Рекомендуемые сообщения

dsever

dsever 0

Опубликовано
Опубликовано

Сегодня после выходных обнаружили проблему. Два сервера - все данные зашифрованы.  основная проблема с 1С файлы зашифрованы + бэкапы тоже. DrWEB пишет, что вирус попал по RDP, "Файл шифровальщика находится по пути
C:\users\администратор.win-8anssg9mkch\appdata\local\7af1be1c-1606-8166-99e6-80b4a9786b07\BABKAALYOEBALO.exe". Так же вирус зашифровал все расшаренные файлы на других серверах, но до баз SQL не добрался.

 

BABKAALYOEBALO_DECRYPTION.txt

Ссылка на сообщение
Поделиться на другие сайты
safety

safety 124

Опубликовано
Опубликовано

Добавьте несколько зашифрованных файлов в архиве + заархивируйте папку с телом шифровальщика с паролем virus или infected,

загрузите архив с папкой на облачный диск, и дайте ссылку на скачивание в ЛС

+

добавьте логи FRST с обоих серверов.

Quote

Подготовьте логи анализа системы при помощи Farbar Recovery Scan Tool.

 

Ссылка на сообщение
Поделиться на другие сайты
dsever

dsever 0

Опубликовано
  • Автор
Опубликовано
14 часов назад, safety сказал:

Добавьте несколько зашифрованных файлов в архиве + заархивируйте папку с телом шифровальщика с паролем virus или infected,

загрузите архив с папкой на облачный диск, и дайте ссылку на скачивание в ЛС

+

добавьте логи FRST с обоих серверов.

 

Отправил в ЛС.

Ссылка на сообщение
Поделиться на другие сайты
safety

safety 124

Опубликовано
Опубликовано

К сожалению, по данному типу шифровальщика расшифровка файлов невозможна без приватного ключа. Сохраните важные зашифрованные документы на отдельный носитель, возможно, расшифровка в будущем станет возможной.

 

По очистке системы:

 

Выполните скрипт очистки в FRST

Запускаем FRST.exe от имени Администратора (если не запущен)

Копируем скрипт из браузера в буфер обмена, браузер закрываем.

Ждем, когда будет готов к работе,

Нажимаем в FRST кнопку "исправить".

Скрипт автоматически очистит систему, без перезагрузки и завершит работу FRST.

  

Start::
() [Файл не подписан] C:\Users\Администратор.WIN-8ANSSG9MKCH\AppData\Local\7AF1BE1C-1606-8166-99E6-80B4A9786B07\gui40.exe
HKLM\...\Policies\system: [legalnoticecaption]  
HKLM\...\Policies\system: [legalnoticetext] BABKAALYOEBALO Ransomware!!!
ATTENTION!
GroupPolicy: Ограничение ? <==== ВНИМАНИЕ
Policies: C:\ProgramData\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
C:\Users\Администратор.WIN-8ANSSG9MKCH\AppData\Local\7AF1BE1C-1606-8166-99E6-80B4A9786B07\gui40.exe
2024-01-29 11:53 - 2022-12-25 08:03 - 000000000 __SHD C:\Users\Администратор.WIN-8ANSSG9MKCH\AppData\Local\7AF1BE1C-1606-8166-99E6-80B4A9786B07
End::

Добавьте файл Fixlog.txt из папки, откуда запускали FRST в ваше сообщение.

Ссылка на сообщение
Поделиться на другие сайты
safety

safety 124

Опубликовано
Опубликовано (изменено)

Система очищена от вирусных тел, с расшифровкой увы, не сможем помочь.

Примите к сведению рекомендации по защите серверов, чтобы избежать в будущем новых попыток шифрования.

Изменено пользователем safety
Ссылка на сообщение
Поделиться на другие сайты
dsever

dsever 0

Опубликовано
  • Автор
Опубликовано
47 минут назад, safety сказал:

Система очищена от вирусных тел, с расшифровкой увы, не сможем помочь.

Примите к сведению рекомендации по защите серверов, чтобы избежать в будущем новых попыток шифрования.

Да, спасибо! Уже восстанавливаем БД из старых копий, до которых не добрались. Политику учеток уже меняю. Еще вопрос: если мы все резервные копии будем складывать в расшаренную папку на Linux, а архивы при создании будут защищены паролем, это как-то поможет от таких атак? Хотя бы в плане резервного копирования БД?

Ссылка на сообщение
Поделиться на другие сайты
safety

safety 124

Опубликовано
Опубликовано

Если расшаренная папка будет доступна из под системы Win, то эти меры не защитят от шифрования. Безопаснее будет, если после завершения архивации устройство будет изолировано от доступа.

Ссылка на сообщение
Поделиться на другие сайты
dsever

dsever 0

Опубликовано
  • Автор
Опубликовано
30.01.2024 в 11:32, safety сказал:

Если расшаренная папка будет доступна из под системы Win, то эти меры не защитят от шифрования. Безопаснее будет, если после завершения архивации устройство будет изолировано от доступа.

Архивы делаются всю ночь до утра, как тут изолируешь. И как виндовый вирус может работать в среде Linux?

И еще сейчас делаются архивы на NAS - выживут ли при атаке?

Ссылка на сообщение
Поделиться на другие сайты
safety

safety 124

Опубликовано
Опубликовано
59 minutes ago, dsever said:

Архивы делаются всю ночь до утра, как тут изолируешь. И как виндовый вирус может работать в среде Linux?

И еще сейчас делаются архивы на NAS - выживут ли при атаке?

если папки с линукс-серверов подключаются как шары к устройствам под win. по шифровальщик, запущенный в win-системе пошифрует эти папки.

Для NAS надо смотреть рекомендации по настройкам, чтобы они были недоступны из внешней сети, или доступны только с белых адресов. Иначе могут быть взломаны и зашифрованы из внешней сети, если не устанавливаются вовремя обновления от производителя NAS.

Ссылка на сообщение
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Share
Подписчики 1
Перейти к списку тем

  • Похожий контент

    • whoamis
      Зашифровало сервер сегодня
      От whoamis
      Добрый день зашифровало сервер, предположительно кто-то скачал картинку на сервере и открыл.
      Addition.txt FRST.txt 11.rar
    • Дмитрий С1990
      Зашифровали данные
      От Дмитрий С1990
      Был зашифрован ПК по средствам подключения по rdp  к учетной записи администратора и подобранному паролю.
      Addition.txt virus.7z FRST.txt
    • 4ikotillo
      Зашифрованы файлы на сетевом диске, расширение 4utjb34h
      От 4ikotillo
      Добрый день, обнаружил на своем сетевом хранилище зашифрованные файлы. Файлы были зашиврованы не во всех директориях, а только в тех у которых были права на вход пользователя guest. Я не нашел источник заразы, проверил все компьютеры дома, все чисто. Само шифрование длилось порядка 4 часов и не все файлы были зашиврованны. Видимо зараженное устройство только какое-то время было в моей сети. Прилагаю примеры зашиврованных файлов, мне известно только то что они все имею расширение 4utjb34h. Спасибо за любую помощь.
      4utjb34h.zip FRST.txt
    • Serg1619
      Поймал шифровальщик со странным расширением abdula.a@aol.com
      От Serg1619
      С утра на сервере все значки стали тектостовыми файлами с расширением abdula.a@aol.com,при открытии фаилой везде открывается блокном с требованием написать им на почту для того чтоб разблокировать.
      Как то можно расшифровать все файлы?или все уже безнадежно?
    • Alexey9009
      Зашифровали 1С, документы и файлы предприятия
      От Alexey9009
      Здравствуйте! Сначала зашифровали файлы и просили выкуп по электронной почте. Расширение файла было .azot, отправили им 20 тыс. рублей, и они дали нам ключ с расшифровкой файлов. Но на следующий день компьютер снова зашифровали, и на сей раз другим форматом. Пользоваться можем только браузером, все остальные файлы на компьютере зашифрованы, решения не нашли. файлы прикрепить не удается, разрешение файла напишу ниже:
      Doc1.docx.ELONMUSKISGREEDY-2H3gbZkEOJISMcgWuWJFvN9ncUYD19T3cNBnHTQIMQc
      Видео Регистратор.url.ELONMUSKISGREEDY-2H3gbZkEOJISMcgWuWJFvN9ncUYD19T3cNBnHTQIMQc
      1C Предприятие.lnk.ELONMUSKISGREEDY-2H3gbZkEOJISMcgWuWJFvN9ncUYD19T3cNBnHTQIMQc
      Также я прикрепил документ, который открывается при открытии любого файла, сейчас уже страшно переходить хоть куда-то, куда они просят. Спасибо
      Новый текстовый документ.txt
       
×
×
  • Создать...