Перейти к содержанию

Шифровальщик Trojan.Encoder.35534

dsever
 Поделиться

Рекомендуемые сообщения

dsever

dsever

Опубликовано
Опубликовано

Сегодня после выходных обнаружили проблему. Два сервера - все данные зашифрованы.  основная проблема с 1С файлы зашифрованы + бэкапы тоже. DrWEB пишет, что вирус попал по RDP, "Файл шифровальщика находится по пути
C:\users\администратор.win-8anssg9mkch\appdata\local\7af1be1c-1606-8166-99e6-80b4a9786b07\BABKAALYOEBALO.exe". Так же вирус зашифровал все расшаренные файлы на других серверах, но до баз SQL не добрался.

 

BABKAALYOEBALO_DECRYPTION.txt

safety

safety

Опубликовано
Опубликовано

Добавьте несколько зашифрованных файлов в архиве + заархивируйте папку с телом шифровальщика с паролем virus или infected,

загрузите архив с папкой на облачный диск, и дайте ссылку на скачивание в ЛС

+

добавьте логи FRST с обоих серверов.

Quote

Подготовьте логи анализа системы при помощи Farbar Recovery Scan Tool.

 

dsever

dsever

Опубликовано
  • Автор
Опубликовано
14 часов назад, safety сказал:

Добавьте несколько зашифрованных файлов в архиве + заархивируйте папку с телом шифровальщика с паролем virus или infected,

загрузите архив с папкой на облачный диск, и дайте ссылку на скачивание в ЛС

+

добавьте логи FRST с обоих серверов.

 

Отправил в ЛС.

safety

safety

Опубликовано
Опубликовано

К сожалению, по данному типу шифровальщика расшифровка файлов невозможна без приватного ключа. Сохраните важные зашифрованные документы на отдельный носитель, возможно, расшифровка в будущем станет возможной.

 

По очистке системы:

 

Выполните скрипт очистки в FRST

Запускаем FRST.exe от имени Администратора (если не запущен)

Копируем скрипт из браузера в буфер обмена, браузер закрываем.

Ждем, когда будет готов к работе,

Нажимаем в FRST кнопку "исправить".

Скрипт автоматически очистит систему, без перезагрузки и завершит работу FRST.

  

Start::
() [Файл не подписан] C:\Users\Администратор.WIN-8ANSSG9MKCH\AppData\Local\7AF1BE1C-1606-8166-99E6-80B4A9786B07\gui40.exe
HKLM\...\Policies\system: [legalnoticecaption]  
HKLM\...\Policies\system: [legalnoticetext] BABKAALYOEBALO Ransomware!!!
ATTENTION!
GroupPolicy: Ограничение ? <==== ВНИМАНИЕ
Policies: C:\ProgramData\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
C:\Users\Администратор.WIN-8ANSSG9MKCH\AppData\Local\7AF1BE1C-1606-8166-99E6-80B4A9786B07\gui40.exe
2024-01-29 11:53 - 2022-12-25 08:03 - 000000000 __SHD C:\Users\Администратор.WIN-8ANSSG9MKCH\AppData\Local\7AF1BE1C-1606-8166-99E6-80B4A9786B07
End::

Добавьте файл Fixlog.txt из папки, откуда запускали FRST в ваше сообщение.

safety

safety

Опубликовано
Опубликовано (изменено)

Система очищена от вирусных тел, с расшифровкой увы, не сможем помочь.

Примите к сведению рекомендации по защите серверов, чтобы избежать в будущем новых попыток шифрования.

Изменено пользователем safety
dsever

dsever

Опубликовано
  • Автор
Опубликовано
47 минут назад, safety сказал:

Система очищена от вирусных тел, с расшифровкой увы, не сможем помочь.

Примите к сведению рекомендации по защите серверов, чтобы избежать в будущем новых попыток шифрования.

Да, спасибо! Уже восстанавливаем БД из старых копий, до которых не добрались. Политику учеток уже меняю. Еще вопрос: если мы все резервные копии будем складывать в расшаренную папку на Linux, а архивы при создании будут защищены паролем, это как-то поможет от таких атак? Хотя бы в плане резервного копирования БД?

safety

safety

Опубликовано
Опубликовано

Если расшаренная папка будет доступна из под системы Win, то эти меры не защитят от шифрования. Безопаснее будет, если после завершения архивации устройство будет изолировано от доступа.

dsever

dsever

Опубликовано
  • Автор
Опубликовано
30.01.2024 в 11:32, safety сказал:

Если расшаренная папка будет доступна из под системы Win, то эти меры не защитят от шифрования. Безопаснее будет, если после завершения архивации устройство будет изолировано от доступа.

Архивы делаются всю ночь до утра, как тут изолируешь. И как виндовый вирус может работать в среде Linux?

И еще сейчас делаются архивы на NAS - выживут ли при атаке?

safety

safety

Опубликовано
Опубликовано
59 minutes ago, dsever said:

Архивы делаются всю ночь до утра, как тут изолируешь. И как виндовый вирус может работать в среде Linux?

И еще сейчас делаются архивы на NAS - выживут ли при атаке?

если папки с линукс-серверов подключаются как шары к устройствам под win. по шифровальщик, запущенный в win-системе пошифрует эти папки.

Для NAS надо смотреть рекомендации по настройкам, чтобы они были недоступны из внешней сети, или доступны только с белых адресов. Иначе могут быть взломаны и зашифрованы из внешней сети, если не устанавливаются вовремя обновления от производителя NAS.

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Поделиться
Перейти к списку тем

  • Похожий контент

    • sashakrug
      Шифровальщик zimmer 1488
      Автор sashakrug
      Здравствуйте!
      ПОдцепили на сервер шифровальщик zimmer. Зашифровал 1С, Альту ГТД и много других файлов. Есть решение данной проблеме?
    • tr3ton51
      Шифровальщик поработал над компьютером бухгалтера
      Автор tr3ton51
      Добрый день, сегодня поймали шифровальщик вот с таким содержимым,
       
      Hello my dear friend (Do not scan the files with antivirus in any case. In case of data loss, the consequences are yours)
      Your data is encrypted
      Your decryption ID is ****gk*WWWWW-***gk
      Unfortunately for you, a major IT security weakness left you open to attack, your files have been encrypted
      The only method of recovering files is to purchase decrypt tool and unique key for you.
      If you want to recover your files, write us
      1) eMail - victor_ia@tuta.io
      2) Telegram - @DataSupport911 or https://t.me/DataSupport911
      Attention!
      Do not rename encrypted files. 
      Do not try to decrypt your data using third party software - it may cause permanent data loss. 
      We are always ready to cooperate and find the best way to solve your problem. 
      The faster you write - the more favorable conditions will be for you. 
      Our company values its reputation. We give all guarantees of your files decryption.
       
      возможно ли спасти данные? прикрепил зашифрованные картинки
      How-to-decrypt.txt картинки.zip
    • Gulzat
      Вирус шифровальщик, помогите расшифровать файлы. Расширение WwaNPUAD5F4uG5ySBCut6Zug6ICEkhGSUcX_eK8Nlk
      Автор Gulzat
      Скорее всего вирус проник через RDP, распространился по доступным сетевым папкам, затронул только диск D, диск С не трогал. В готовых на сайте дешифровщиках не виден. Спасибо.
      Addition.txt FRST.txt virus.7z
    • neo2005
      Шифровальщик Zimmer
      Автор neo2005
      Добрый день! Нужна помощь в борьбе с шифровальщиком Zimmer. Много важных файлов на компьютере и теперь все зашифровано( Файлы и логи приложены.
      Addition.txt FRST.txt INFO_TO_DECRYPT_ZIMMER1488.txt
    • Ired
      Шифровальщик forumkasperskyclubru@msg.ws
      Автор Ired
      Здравствуйте.
      Поймали эту заразу.
      К сожалению, перед обращением на форум прошелся утилитами Kaspersky Rescue Disk и DrWeb LiveDisk.
      Письма от злоумышленников не обнаружил, возможно, найдется на еще одной, попавшей под удар, машине.
      Логи FRST прилагаю. Также во вложении архив с парой зашифрованных файлов под паролем virus2025
      Прошу посильной помощи.
      FRST_logs.7z EncryptedFiles.7z
×
×
  • Создать...