Перейти к содержанию

Поймал шифровальщика E7M расширение... прошу помочь

Алексей_Кокарев
 Share

Рекомендуемые сообщения

Алексей_Кокарев Новичок

Алексей_Кокарев

Опубликовано
Опубликовано (изменено)

В ночь на 2 февраля  на сервере зашифровано почти всё
WindowsServer 2008 (64 разр)
Скорее всего через терминальный доступ кто то прорвался...  
Стандартная работа сервера, SQL,для 1С 7  и 1с-8
Почтовая программа TheBat 10 версия.  На днях ставил 11 версию но молдаване "прокатили" - оплатить не возможно пришлось откатывать на старую версию. 

Был установлен Касперский Small Office  (не помогло, но правда не помню был там или нет включен мониторинг активности..)
Сейчас появился еще один диск (А) - написано зарезервировано системой (до заражения не было)

И не зашифровал файлы архивы rar и zip.  Просто дописал к имени так же как и у зашифрованных, но убираешь эту приписку расширение. И архив рабочий открывается. Правда не всех.. на некоторых архив все таки повредил..
 

E7M_отчет.rar E7M_файлы.rar

Изменено пользователем Алексей_Кокарев
забыл дописать про архивы
Ссылка на комментарий
Поделиться на другие сайты
Алексей_Кокарев Новичок

Алексей_Кокарев

Опубликовано
  • Автор
Опубликовано

Сейчас еще нашел в планировщике Windows Задание на выполнение (Microsoft_Auto_Scheduler)

там указан запуск bat-ника , файлы сохранены в папке APP  - там 4 файла  bat  и vbs   где упоминается этот самый е-майл для выкупа

Скачал их в архив с паролем...

Ссылка на комментарий
Поделиться на другие сайты
safety Ветеран

safety

Опубликовано
Опубликовано

Выполните скрипт очистки в FRST

Запускаем FRST.exe от имени Администратора (если не запущен)

Копируем скрипт из браузера в буфер обмена, браузер закрываем.

Ждем, когда будет готов к работе,

Нажимаем в FRST кнопку "исправить".

Скрипт автоматически очистит систему, и завершит работу без перезагрузки. 

Start::
SystemRestore: On
Startup: C:\Users\Администратор\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\ReadMe.hta [2024-02-02] () [Файл не подписан]
Startup: C:\Users\Администратор\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Restore_Your_Files.txt [2024-02-02] () [Файл не подписан]
Startup: C:\Users\Администратор\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Xinfecter.exe [2024-01-21] () [Файл не подписан]
Startup: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\Restore_Your_Files.txt [2024-02-02] () [Файл не подписан]
S2 SqlBakup; C:\Users\�4<8=8AB@0B>@\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Xinfecter.exe [X]
2024-02-02 21:06 - 2024-01-21 02:49 - 001257472 _____ C:\Users\Администратор\Desktop\lohikol22@gmail.com_Fast.exe
2024-02-02 01:08 - 2024-02-02 21:12 - 000001328 _____ C:\Users\Администратор\AppData\S-6748.bat
2024-02-02 01:08 - 2024-02-02 21:12 - 000000686 _____ C:\Users\Администратор\AppData\S-8459.vbs
2024-02-02 01:08 - 2024-02-02 21:12 - 000000138 _____ C:\Users\Администратор\AppData\S-2153.bat
2024-02-02 01:08 - 2024-02-02 01:08 - 000003460 _____ C:\Users\Администратор\AppData\N-Save.sys
2024-02-02 01:08 - 2024-01-21 02:48 - 001257472 _____ C:\Users\Администратор\Desktop\lohikol22@gmail.com_Official.exe
End::

после завершения работы FRST добавьте файл Fixlog.txt из папки откуда запускали FRST

Папку C:\FRST\Quarantine заархивируйте с паролем virus или infected, архив загрузите на облачный диск, и дайте ссылку на скачивание в ЛС.

Ссылка на комментарий
Поделиться на другие сайты
Алексей_Кокарев Новичок

Алексей_Кокарев

Опубликовано
  • Автор
Опубликовано

я правильно понял что скрип ни куда из буфера обмена вставлять не надо?  

 Выполнил , файл Fixlog.txt  создался, а вот папки C:\FRST\Quarantine   нет !  

 

ААА... нашел папку

 

 

Ссыока на   C:\FRST\Quarantine 

Ссылка на комментарий
Поделиться на другие сайты
Mark D. Pearlstone Мудрец

Mark D. Pearlstone

Опубликовано
Опубликовано
11 минут назад, Алексей_Кокарев сказал:

Ссыока на   C:\FRST\Quarantine 

Вам же написали

18 часов назад, safety сказал:

Папку C:\FRST\Quarantine заархивируйте с паролем virus или infected, архив загрузите на облачный диск, и дайте ссылку на скачивание в ЛС.

 

Ссылка на комментарий
Поделиться на другие сайты
  • Sandor changed the title to Поймал шифровальщика E7M расширение... прошу помочь
Sandor Мудрец

Sandor

Опубликовано
Опубликовано

Будьте внимательны, ссылку нужно отправить личным сообщением консультанту.

 

Здесь прикрепите, пожалуйста, к следующему сообщению:

04.02.2024 в 01:51, safety сказал:

после завершения работы FRST добавьте файл Fixlog.txt из папки откуда запускали FRST

 

Ссылка на комментарий
Поделиться на другие сайты
safety Ветеран

safety

Опубликовано
Опубликовано
On 04.02.2024 at 06:51, safety said:

Startup: C:\Users\Администратор\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Xinfecter.exe [2024-01-21] () [Файл не подписан]

https://www.virustotal.com/gui/file/0ebf9d3800f5ca5ba4792c1f7df8f06dbbf49fe698e873f161fa8b21e6307207

Ссылка на комментарий
Поделиться на другие сайты
safety Ветеран

safety

Опубликовано
Опубликовано (изменено)

С расшифровкой по данному типу шифровальщика не сможем помочь без приватного ключа. Восстановление данных возможно только из архивных копий, если такие есть. Если нет, сохраните важные зашифрованные файлы на отдельный носитель, возможно в будущем расшифровка станет возможной.

Изменено пользователем safety
Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Share
Перейти к списку тем

  • Похожий контент

    • Сергей Комаров
      Поймали шифровальщика, прошу помощи в определении и расшифровке
      От Сергей Комаров
      Добрый день! Сегодня в 3 ночи были зашифрованы все виртуальные машины (hyper-v) и файлы бэкапов на серверах компании.
      Пример зашифрованных файлов и readme прилагаю.
       
      Прошу помощи в определении типа шифровальщика и расшифровке.
      db2a95f2436fe2bc3ce6f2-README.txt Files.zip
    • Serg1619
      Поймал шифровальщик со странным расширением abdula.a@aol.com
      От Serg1619
      С утра на сервере все значки стали тектостовыми файлами с расширением abdula.a@aol.com,при открытии фаилой везде открывается блокном с требованием написать им на почту для того чтоб разблокировать.
      Как то можно расшифровать все файлы?или все уже безнадежно?
    • Saul
      Шифровальщик. Расширение aiLuw2ie
      От Saul
      Добрый день!
      Вот такое поймали, зашифрованы все файлы на сетевой шаре.
      Есть способы для расшифровки?
       
      Все ваши файлы были зашифрованы!
          Все ваши файлы были зашифрованы из -за проблемы безопасности с вашим ПК.
          Если вы хотите их восстановить
          Установите программу для общения https://tox.chat/clients.html
      https://github.com/uTox/uTox/releases/
      https://github.com/uTox/uTox/releases/download/v0.18.1/utox_x86_64.exe
      и добавьте нас
       
      2C6D0C2F49F19EAE34A558AC646E5C75230928DA64B46DBD6087B036ED651146575435EFEFFC
      ВНИМАНИЕ!
          !!!Не трогайте зашифрованные файлы.!!!
          !!!Не пытайтесь расшифровать ваши данные, используя стороннее программное обеспечение, это может вызвать потерю данных.!!!
      1.zip
    • Freeman80S
      Поймал вирус-шифровальщик, переименовал все расширения файлов на *.Sauron
      От Freeman80S
      Пока катался по городу, сотрудница умудрилась поймать вирус, после этого слились данные "подключение к удаленному рабочему столу", я так понял далее тело из-за бугра залезо на сервер и переименовал все расширения файлов на окончание *.Sauron.
      Запустил все известные анти-вирусы, как итог ничего не находят. В файле требований два адреса: почта adm.helproot@gmail.com, телеграмм канал @adm_helproot, и предложение обменять деньги на биткоины и связаться с этими телами! Во вложении оценка системы и зашифрованные файлы. Буду благодарен! (пароль от архива virus)
      FRST.txt шифр файлы и требование.rar
    • pZjQ
      [РЕШЕНО] NET.MALWARE.URL не удаляется прошу помочь
      От pZjQ
      Проверял через cureit, вирус не удаляется прошу помочь.cureit.zip
×
×
  • Создать...