Перейти к содержанию

Поймал шифровальщика E7M расширение... прошу помочь

Алексей_Кокарев

Автор Алексей_Кокарев,
в Помощь в борьбе с шифровальщиками-вымогателями

 Share Подписчики 2

Рекомендуемые сообщения

Алексей_Кокарев

Алексей_Кокарев 0

Опубликовано
Опубликовано (изменено)

В ночь на 2 февраля  на сервере зашифровано почти всё
WindowsServer 2008 (64 разр)
Скорее всего через терминальный доступ кто то прорвался...  
Стандартная работа сервера, SQL,для 1С 7  и 1с-8
Почтовая программа TheBat 10 версия.  На днях ставил 11 версию но молдаване "прокатили" - оплатить не возможно пришлось откатывать на старую версию. 

Был установлен Касперский Small Office  (не помогло, но правда не помню был там или нет включен мониторинг активности..)
Сейчас появился еще один диск (А) - написано зарезервировано системой (до заражения не было)

И не зашифровал файлы архивы rar и zip.  Просто дописал к имени так же как и у зашифрованных, но убираешь эту приписку расширение. И архив рабочий открывается. Правда не всех.. на некоторых архив все таки повредил..
 

E7M_отчет.rar E7M_файлы.rar

Изменено пользователем Алексей_Кокарев
забыл дописать про архивы
Ссылка на сообщение
Поделиться на другие сайты
Алексей_Кокарев

Алексей_Кокарев 0

Опубликовано
  • Автор
Опубликовано

Сейчас еще нашел в планировщике Windows Задание на выполнение (Microsoft_Auto_Scheduler)

там указан запуск bat-ника , файлы сохранены в папке APP  - там 4 файла  bat  и vbs   где упоминается этот самый е-майл для выкупа

Скачал их в архив с паролем...

Ссылка на сообщение
Поделиться на другие сайты
safety

safety 80

Опубликовано
Опубликовано

Выполните скрипт очистки в FRST

Запускаем FRST.exe от имени Администратора (если не запущен)

Копируем скрипт из браузера в буфер обмена, браузер закрываем.

Ждем, когда будет готов к работе,

Нажимаем в FRST кнопку "исправить".

Скрипт автоматически очистит систему, и завершит работу без перезагрузки. 

Start::
SystemRestore: On
Startup: C:\Users\Администратор\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\ReadMe.hta [2024-02-02] () [Файл не подписан]
Startup: C:\Users\Администратор\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Restore_Your_Files.txt [2024-02-02] () [Файл не подписан]
Startup: C:\Users\Администратор\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Xinfecter.exe [2024-01-21] () [Файл не подписан]
Startup: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\Restore_Your_Files.txt [2024-02-02] () [Файл не подписан]
S2 SqlBakup; C:\Users\�4<8=8AB@0B>@\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Xinfecter.exe [X]
2024-02-02 21:06 - 2024-01-21 02:49 - 001257472 _____ C:\Users\Администратор\Desktop\lohikol22@gmail.com_Fast.exe
2024-02-02 01:08 - 2024-02-02 21:12 - 000001328 _____ C:\Users\Администратор\AppData\S-6748.bat
2024-02-02 01:08 - 2024-02-02 21:12 - 000000686 _____ C:\Users\Администратор\AppData\S-8459.vbs
2024-02-02 01:08 - 2024-02-02 21:12 - 000000138 _____ C:\Users\Администратор\AppData\S-2153.bat
2024-02-02 01:08 - 2024-02-02 01:08 - 000003460 _____ C:\Users\Администратор\AppData\N-Save.sys
2024-02-02 01:08 - 2024-01-21 02:48 - 001257472 _____ C:\Users\Администратор\Desktop\lohikol22@gmail.com_Official.exe
End::

после завершения работы FRST добавьте файл Fixlog.txt из папки откуда запускали FRST

Папку C:\FRST\Quarantine заархивируйте с паролем virus или infected, архив загрузите на облачный диск, и дайте ссылку на скачивание в ЛС.

Ссылка на сообщение
Поделиться на другие сайты
Алексей_Кокарев

Алексей_Кокарев 0

Опубликовано
  • Автор
Опубликовано

я правильно понял что скрип ни куда из буфера обмена вставлять не надо?  

 Выполнил , файл Fixlog.txt  создался, а вот папки C:\FRST\Quarantine   нет !  

 

ААА... нашел папку

 

 

Ссыока на   C:\FRST\Quarantine 

Ссылка на сообщение
Поделиться на другие сайты
Mark D. Pearlstone

Mark D. Pearlstone 1 704

Опубликовано
Опубликовано
11 минут назад, Алексей_Кокарев сказал:

Ссыока на   C:\FRST\Quarantine 

Вам же написали

18 часов назад, safety сказал:

Папку C:\FRST\Quarantine заархивируйте с паролем virus или infected, архив загрузите на облачный диск, и дайте ссылку на скачивание в ЛС.

 

Ссылка на сообщение
Поделиться на другие сайты
  • Sandor changed the title to Поймал шифровальщика E7M расширение... прошу помочь
Sandor

Sandor 1 253

Опубликовано
Опубликовано

Будьте внимательны, ссылку нужно отправить личным сообщением консультанту.

 

Здесь прикрепите, пожалуйста, к следующему сообщению:

04.02.2024 в 01:51, safety сказал:

после завершения работы FRST добавьте файл Fixlog.txt из папки откуда запускали FRST

 

Ссылка на сообщение
Поделиться на другие сайты
safety

safety 80

Опубликовано
Опубликовано
On 04.02.2024 at 06:51, safety said:

Startup: C:\Users\Администратор\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Xinfecter.exe [2024-01-21] () [Файл не подписан]

https://www.virustotal.com/gui/file/0ebf9d3800f5ca5ba4792c1f7df8f06dbbf49fe698e873f161fa8b21e6307207

Ссылка на сообщение
Поделиться на другие сайты
safety

safety 80

Опубликовано
Опубликовано (изменено)

С расшифровкой по данному типу шифровальщика не сможем помочь без приватного ключа. Восстановление данных возможно только из архивных копий, если такие есть. Если нет, сохраните важные зашифрованные файлы на отдельный носитель, возможно в будущем расшифровка станет возможной.

Изменено пользователем safety
Ссылка на сообщение
Поделиться на другие сайты

Присоединяйтесь к обсуждению

Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.

Гость
Ответить в этой теме...

×   Вставлено с форматированием.   Вставить как обычный текст

  Разрешено использовать не более 75 эмодзи.

×   Ваша ссылка была автоматически встроена.   Отображать как обычную ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставлять изображения напрямую. Загружайте или вставляйте изображения по ссылке.

×
 Share
Подписчики 2
Перейти к списку тем

  • Похожий контент

    • Алексей Шулепов
      Шифровальщик
      От Алексей Шулепов
      Добрый вечер, с 7 на 8 июля 2023 взломали рабочую станцию с win 11 заразили ее и те ПК с общими папками которые были включены, был заражен сервер через RDP c этой станции, на сервере был заражен диск Д кроме баз MS SQL, в папке пользователя AppData осталось 5 файлов и 1 один в автозагрузке Desktopini.exe который определялся как  вирус вымогатель. по крайне мере так его опознал Kaspersky Anti-Ransomware Tool for Business 5 (PDM: Trojan.Win32.Bazon.a) шифрует с расширением .OjuC на другом ПК с рас ширением .OpsO , на эти два зашифрованных файла есть оригиналы нешифрованные.


      Addition.txt FRST.txt Read_Me!_1.txt зашифрованные файлы.rar
    • d_kid
      Шифранули файлы [ID=v05dAH-Mail=decrypt_.files@mailfence.com].0kK3
      От d_kid
      Шифранули файлы. Вид файлов такой. WhatsApp.html[ID=v05dAH-Mail=decrypt_.files@mailfence.com].0kK3
      Есть, похоже, exe файл который висел в автозагрузке.
      Есть ли шансы на восстановление? В архиве прилагаю сами зашифрованные файлы и текст сообщения от вымогателя
      files.zip Read_Me!_.txt
    • Не0пытный
      Помогите расшифровать файлы. RCRU_64
      От Не0пытный
      Помогите расшифровать файлы. RCRU_64
      ОС переустановлена.
      В корне диска и некоторых папок присутствовал rcru_64.exe
      В автозапуске desktopini.exe
      Файлы зашифрованы.
      File.zip Read_Me!_.txt
    • gregy
      Поймали шифровальщика, как вернуть файлы?
      От gregy
      Система 2008r2, установлен Kaspersky Small Office Security лицензионный. Как я понимаю поймали RCRU64 Ransomware. При сканирование был найден rcru_64.exe.
      Часть файлов зашифрована. Сбиты настройки системы.Помогите пожалуйста дешифровать файлы.
      В приложение логи c AutoLogger, письмо, которое лежит во всех папках.
      rcru_64.exe в карантине.
       
      CollectionLog-2021.07.12-00.56.zip Read_Me!_.txt
×
×
  • Создать...