Перейти к содержанию

Поймал шифровальщика E7M расширение... прошу помочь


Рекомендуемые сообщения

Алексей_Кокарев
Опубликовано (изменено)

В ночь на 2 февраля  на сервере зашифровано почти всё
WindowsServer 2008 (64 разр)
Скорее всего через терминальный доступ кто то прорвался...  
Стандартная работа сервера, SQL,для 1С 7  и 1с-8
Почтовая программа TheBat 10 версия.  На днях ставил 11 версию но молдаване "прокатили" - оплатить не возможно пришлось откатывать на старую версию. 

Был установлен Касперский Small Office  (не помогло, но правда не помню был там или нет включен мониторинг активности..)
Сейчас появился еще один диск (А) - написано зарезервировано системой (до заражения не было)

И не зашифровал файлы архивы rar и zip.  Просто дописал к имени так же как и у зашифрованных, но убираешь эту приписку расширение. И архив рабочий открывается. Правда не всех.. на некоторых архив все таки повредил..
 

E7M_отчет.rar E7M_файлы.rar

Изменено пользователем Алексей_Кокарев
забыл дописать про архивы
Алексей_Кокарев
Опубликовано

Сейчас еще нашел в планировщике Windows Задание на выполнение (Microsoft_Auto_Scheduler)

там указан запуск bat-ника , файлы сохранены в папке APP  - там 4 файла  bat  и vbs   где упоминается этот самый е-майл для выкупа

Скачал их в архив с паролем...

Опубликовано

Выполните скрипт очистки в FRST

Запускаем FRST.exe от имени Администратора (если не запущен)

Копируем скрипт из браузера в буфер обмена, браузер закрываем.

Ждем, когда будет готов к работе,

Нажимаем в FRST кнопку "исправить".

Скрипт автоматически очистит систему, и завершит работу без перезагрузки.

Start::
SystemRestore: On
Startup: C:\Users\Администратор\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\ReadMe.hta [2024-02-02] () [Файл не подписан]
Startup: C:\Users\Администратор\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Restore_Your_Files.txt [2024-02-02] () [Файл не подписан]
Startup: C:\Users\Администратор\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Xinfecter.exe [2024-01-21] () [Файл не подписан]
Startup: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\Restore_Your_Files.txt [2024-02-02] () [Файл не подписан]
S2 SqlBakup; C:\Users\�4<8=8AB@0B>@\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Xinfecter.exe [X]
2024-02-02 21:06 - 2024-01-21 02:49 - 001257472 _____ C:\Users\Администратор\Desktop\lohikol22@gmail.com_Fast.exe
2024-02-02 01:08 - 2024-02-02 21:12 - 000001328 _____ C:\Users\Администратор\AppData\S-6748.bat
2024-02-02 01:08 - 2024-02-02 21:12 - 000000686 _____ C:\Users\Администратор\AppData\S-8459.vbs
2024-02-02 01:08 - 2024-02-02 21:12 - 000000138 _____ C:\Users\Администратор\AppData\S-2153.bat
2024-02-02 01:08 - 2024-02-02 01:08 - 000003460 _____ C:\Users\Администратор\AppData\N-Save.sys
2024-02-02 01:08 - 2024-01-21 02:48 - 001257472 _____ C:\Users\Администратор\Desktop\lohikol22@gmail.com_Official.exe
End::

после завершения работы FRST добавьте файл Fixlog.txt из папки откуда запускали FRST

Папку C:\FRST\Quarantine заархивируйте с паролем virus или infected, архив загрузите на облачный диск, и дайте ссылку на скачивание в ЛС.

Алексей_Кокарев
Опубликовано

я правильно понял что скрип ни куда из буфера обмена вставлять не надо?  

 Выполнил , файл Fixlog.txt  создался, а вот папки C:\FRST\Quarantine   нет !  

 

ААА... нашел папку

 

 

Ссыока на   C:\FRST\Quarantine 

Опубликовано
11 минут назад, Алексей_Кокарев сказал:

Ссыока на   C:\FRST\Quarantine 

Вам же написали

18 часов назад, safety сказал:

Папку C:\FRST\Quarantine заархивируйте с паролем virus или infected, архив загрузите на облачный диск, и дайте ссылку на скачивание в ЛС.

 

Алексей_Кокарев
Опубликовано (изменено)

Ссыока на   C:\FRST\Quarantine 
 

Изменено пользователем Sandor
Убрал ссылку
  • Sandor изменил название на Поймал шифровальщика E7M расширение... прошу помочь
Опубликовано

Будьте внимательны, ссылку нужно отправить личным сообщением консультанту.

 

Здесь прикрепите, пожалуйста, к следующему сообщению:

04.02.2024 в 01:51, safety сказал:

после завершения работы FRST добавьте файл Fixlog.txt из папки откуда запускали FRST

 

Опубликовано (изменено)

С расшифровкой по данному типу шифровальщика не сможем помочь без приватного ключа. Восстановление данных возможно только из архивных копий, если такие есть. Если нет, сохраните важные зашифрованные файлы на отдельный носитель, возможно в будущем расшифровка станет возможной.

Изменено пользователем safety

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
  • Похожий контент

    • gregy
      Автор gregy
      Система 2008r2, установлен Kaspersky Small Office Security лицензионный. Как я понимаю поймали RCRU64 Ransomware. При сканирование был найден rcru_64.exe.
      Часть файлов зашифрована. Сбиты настройки системы.Помогите пожалуйста дешифровать файлы.
      В приложение логи c AutoLogger, письмо, которое лежит во всех папках.
      rcru_64.exe в карантине.
       
      CollectionLog-2021.07.12-00.56.zip Read_Me!_.txt
    • o089901
      Автор o089901
      после вынужденной перезагрузки сервера перестали работать базы 1с, как оказалось файлы на сервере зашифрованы вирусом
      FRST.txt virus.7z
      AppData.7z N-Save-XJOZE.7z
    • Дмитрий Борисович
      Автор Дмитрий Борисович
      Приветствую!
      8 декабря, примерно в 20 часов была замечена активность шифровальщика.
      Выявлено шифрование файлов на всех активных компьютерах сети.
      Зашифрованные файлы с расширением - .loq
      В корне диска C:\ найден файл с раширением .txt следующего содержания:
       
      All Your Files Are Locked And Important Data Downloaded !

      Your Files Are No Longer Accessible Don't Waste Your Time, Without Our Decryption Program Nobody Can't Help You .
      If Payment Isn't Made After A While We Will Sell OR Publish Some Of Your Data . You Don't Have Much Time!

      Your ID : HFXGT
      If You Want To Restore Them Email Us : Evo.team1992@gmail.com
      If You Do Not Receive A Response Within 24 Hours, Send A Message To Our Second Email : Qqq113168@gmail.com
      To Decrypt Your Files You Need Buy Our Special Decrypter In Bitcoin .
      Every Day The Delay Increases The Price !! The Decryption Price Depends On How Fast You Write To Us Email.
      We Deliver The Decryptor Immediately After Payment , Please Write Your System ID In The Subject Of Your E-mail.
      What is the guarantee !
      Before Payment You Can Send Some Files For Decryption Test.
      If We Do Not Fulfill Our Obligations, No One Does Business With Us , Our Reputation Is Important To Us 
      It's Just Business To Get Benefits.
      ===============================================================================
      Attention !
      Do Not Rename,Modify Encrypted Files .
      Do Not Try To Recover Files With Free Decryptors Or Third-Party Programs And Antivirus Solutions Because 
      It May Make Decryption Harder Or Destroy Your Files Forever !
      ===============================================================================
      Buy Bitcoin !
      https://www.kraken.com/learn/buy-bitcoin-btc
      https://www.coinbase.com/how-to-buy/bitcoin
       
       
      Архив.zip
    • hafer
      Автор hafer
      Windows Server 2012 Standart
      Зашифрованы документы, базы 1с на диске С и D
      FRST.zip
    • denis_01r
      Автор denis_01r
      Добрый день!
      На сервер 1С попал вирус. 1С серверная, УТ11. Стоит на mssql. Вирус - шифровальщик. Зашифровал все файлы mdf и ldf. Теперь к концу файла после расширения приписано _[ID-CTIKC_mail-Veryic@Tuta.io].haa
      Ничем не открывается естественно
      На текущий момент система переустановлена. Но есть бекап.
      Addition (1).txt FRST (1).txt
×
×
  • Создать...