rcru64 Поймал шифровальщика E7M расширение... прошу помочь

[Алексей_Кокарев]

В ночь на 2 февраля  на сервере зашифровано почти всё
WindowsServer 2008 (64 разр)
Скорее всего через терминальный доступ кто то прорвался...  
Стандартная работа сервера, SQL,для 1С 7  и 1с-8
Почтовая программа TheBat 10 версия.  На днях ставил 11 версию но молдаване "прокатили" - оплатить не возможно пришлось откатывать на старую версию. 

Был установлен Касперский Small Office  (не помогло, но правда не помню был там или нет включен мониторинг активности..)
Сейчас появился еще один диск (А) - написано зарезервировано системой (до заражения не было)

И не зашифровал файлы архивы rar и zip.  Просто дописал к имени так же как и у зашифрованных, но убираешь эту приписку расширение. И архив рабочий открывается. Правда не всех.. на некоторых архив все таки повредил..
 

E7M_отчет.rar E7M_файлы.rar

Изменено 3 февраля, 2024 пользователем Алексей_Кокарев
забыл дописать про архивы

[Алексей_Кокарев]

Сейчас еще нашел в планировщике Windows Задание на выполнение (Microsoft_Auto_Scheduler)

там указан запуск bat-ника , файлы сохранены в папке APP  - там 4 файла  bat  и vbs   где упоминается этот самый е-майл для выкупа

Скачал их в архив с паролем...

[safety]

Выполните скрипт очистки в FRST

Запускаем FRST.exe от имени Администратора (если не запущен)

Копируем скрипт из браузера в буфер обмена, браузер закрываем.

Ждем, когда будет готов к работе,

Нажимаем в FRST кнопку "исправить".

Скрипт автоматически очистит систему, и завершит работу без перезагрузки.

Start::
SystemRestore: On
Startup: C:\Users\Администратор\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\ReadMe.hta [2024-02-02] () [Файл не подписан]
Startup: C:\Users\Администратор\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Restore_Your_Files.txt [2024-02-02] () [Файл не подписан]
Startup: C:\Users\Администратор\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Xinfecter.exe [2024-01-21] () [Файл не подписан]
Startup: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\Restore_Your_Files.txt [2024-02-02] () [Файл не подписан]
S2 SqlBakup; C:\Users\�4<8=8AB@0B>@\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Xinfecter.exe [X]
2024-02-02 21:06 - 2024-01-21 02:49 - 001257472 _____ C:\Users\Администратор\Desktop\lohikol22@gmail.com_Fast.exe
2024-02-02 01:08 - 2024-02-02 21:12 - 000001328 _____ C:\Users\Администратор\AppData\S-6748.bat
2024-02-02 01:08 - 2024-02-02 21:12 - 000000686 _____ C:\Users\Администратор\AppData\S-8459.vbs
2024-02-02 01:08 - 2024-02-02 21:12 - 000000138 _____ C:\Users\Администратор\AppData\S-2153.bat
2024-02-02 01:08 - 2024-02-02 01:08 - 000003460 _____ C:\Users\Администратор\AppData\N-Save.sys
2024-02-02 01:08 - 2024-01-21 02:48 - 001257472 _____ C:\Users\Администратор\Desktop\lohikol22@gmail.com_Official.exe
End::

после завершения работы FRST добавьте файл Fixlog.txt из папки откуда запускали FRST

Папку C:\FRST\Quarantine заархивируйте с паролем virus или infected, архив загрузите на облачный диск, и дайте ссылку на скачивание в ЛС.

[Алексей_Кокарев]

я правильно понял что скрип ни куда из буфера обмена вставлять не надо?  

 Выполнил , файл Fixlog.txt  создался, а вот папки C:\FRST\Quarantine   нет !  

 

ААА... нашел папку

 

 

Ссыока на   C:\FRST\Quarantine 

[Mark D. Pearlstone]

11 минут назад, Алексей_Кокарев сказал:

Ссыока на   C:\FRST\Quarantine 

Вам же написали

18 часов назад, safety сказал:

Папку C:\FRST\Quarantine заархивируйте с паролем virus или infected, архив загрузите на облачный диск, и дайте ссылку на скачивание в ЛС.

 

[Алексей_Кокарев]

Ссыока на   C:\FRST\Quarantine 
 

Изменено 5 февраля, 2024 пользователем Sandor
Убрал ссылку

[Sandor]

Будьте внимательны, ссылку нужно отправить личным сообщением консультанту.

 

Здесь прикрепите, пожалуйста, к следующему сообщению:

04.02.2024 в 01:51, safety сказал:

после завершения работы FRST добавьте файл Fixlog.txt из папки откуда запускали FRST

 

[safety]

On 04.02.2024 at 06:51, safety said:

Startup: C:\Users\Администратор\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Xinfecter.exe [2024-01-21] () [Файл не подписан]

https://www.virustotal.com/gui/file/0ebf9d3800f5ca5ba4792c1f7df8f06dbbf49fe698e873f161fa8b21e6307207

[safety]

С расшифровкой по данному типу шифровальщика не сможем помочь без приватного ключа. Восстановление данных возможно только из архивных копий, если такие есть. Если нет, сохраните важные зашифрованные файлы на отдельный носитель, возможно в будущем расшифровка станет возможной.

Изменено 5 февраля, 2024 пользователем safety