Перейти к содержанию

Пошифровали все файлы на нескольких компах.


Рекомендуемые сообщения

Всем добрый день, хотя кому-то он и не особо добрый.

Каким-то образом взломали сеть и пошифровали все файлы на серверах!

При том, что стоял касперский-сервер и на многих станциях был развернул Workstation - не спасло((

Теперь на десктопе, в корне каждой папки лежат файлы: 3KjQa6buA.README.txt

Помогите расшифровать, пожалуйста!!

 

Addition.txt FRST.txt

Изменено пользователем KSab
Ссылка на комментарий
Поделиться на другие сайты

Здравствуйте!

 

Образцы зашифрованных и записку прикрепите в архиве к следующему сообщению, пожалуйста

Порядок оформления запроса о помощи

+

В логах не видно следов заражения, а антивирус стоит 360 Total Security.

Если собирали логи на другом компьютере, они бесполезны.

Ссылка на комментарий
Поделиться на другие сайты

  • Sandor changed the title to Пошифровали все файлы на нескольких компах.

К сожалению, расшифровки этого типа вымогателя нет.

Помощь в очистке системы нужна или будет переустановка?

 

1 час назад, KSab сказал:

на многих станциях был развернул Workstation - не спасло((

Если был взломан пароль администратора, злоумышленнику ничего не помешало остановить антивирус.

Ссылка на комментарий
Поделиться на другие сайты

2 минуты назад, Sandor сказал:

К сожалению, расшифровки этого типа вымогателя нет.

Помощь в очистке системы нужна или будет переустановка?

 

Если был взломан пароль администратора, злоумышленнику ничего не помешало остановить антивирус.

Пароль админа взломать никак не могли. Взломали, скорее всего, через уязвимость в портале Confulence. Получили доступ и дальше пошли по сети. Я на сервере Confulence нашел логи санирования нашей сети.

  • Like (+1) 1
Ссылка на комментарий
Поделиться на другие сайты

7 часов назад, Sandor сказал:

К сожалению, расшифровки этого типа вымогателя нет.

Помощь в очистке системы нужна или будет переустановка?

 

Если был взломан пароль администратора, злоумышленнику ничего не помешало остановить антивирус.

Вопрос ещё есть: я успел "спасти" один сервак: он был в процессе шифрования (там очень много инфы на диске) и я его как раз в этот момент выключил.

Теперь вопрос: поможет ли это в расшифрове каким-то образом, или нет? Ведь там, по идее, должен остаться шифровальщик с ключом шифрования..

Ссылка на комментарий
Поделиться на другие сайты

2 minutes ago, KSab said:

поможет ли это в расшифрове каким-то образом, или нет? Ведь там, по идее, должен остаться шифровальщик с ключом шифрования..

Не поможет, так как для расшифровки необходим приватный ключ priv.key, а в шифровальщик встроен только публичный ключ pub.key. Единственно, если вы сможете вытащить из этого сервера файл шифровальщика (если он не защищен паролем), то мы сможем извлечь pub.key. Может, когда нибудь станет возможным по pub.key восстановить priv.key. Сейчас это невозможно.

Ссылка на комментарий
Поделиться на другие сайты

EARTH_2024-03-01_22-15-46_v4.15.1.7z

Это данные с сервака, который я успел выключить в процессе шифрования.

Изменено пользователем KSab
Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
  • Похожий контент

    • LeraB
      От LeraB
      Приветствую.
      Поймали шифровальщика, который работает до сих.
      Ничего не переустанавливали и не трогали, проверяем только доступность компьютеров, их работу и ищем, где он еще может работать. Если понятно, что шифровальщик еще где-то работает, то отключаем этот сервер/компьютер.
      Все, что можно спасти, копируем.
      Пострадала почти вся сеть, не только лок.пк и сервера, но и NAS (именно smb)
      Шифровальщик затронул большинство нужных файлов, но не все.
      Логи собрали с одного сервера, примеры файлов с него же.
      Файл шифровальщика пока найти не удалось, как и выяснить все остальное, кроме того, как оно работает с ночи примерно с 00:00 12.12.2024
      FRST.txt Addition.txt архив.zip
    • авыавы
      От авыавы
      комп поймал вирус, удалил что то с помощью касперского, в виндовс дефендер остались файлы в исключении, при удаление их, они появляются снова. что только не пробывал, и в реестре лазил, через безопасный режим че только не делала, увидел на форуме программу Farbar Recovery Scan Tool, помогите разобраться
    • DD654
      От DD654
      Вообщем, есть выделенный сервер с KSC-12, изначально настроил, работал без особых проблем, своих агентов видел, KeS обновлялся. 
      Прошлым летом сменил айпи на сервере, в целях упорядочения раздачи айпи. Вроде всё работало, как обычно. Потом отпуск, потом Новый год,  смотрю - а у меня три четверти компов в KSC помечены, как с отсутвующими
      агентами KSC. Вернул айпишник на старый, подождал дня 2-3 - не помогло. Снова вернул айпи на новый, "упорядоченный", сделал батник с командой:
      C:\Program Files (x86)\Kaspersky Lab\NetworkAgent\klmover.exe -address ksc.domain.local -silent  /точнее, вначале вместо полного имени сервак с KSC указал его айпи/,
      запустил задачей средствами ксц, пишет - отработало успешно в обоих случаях /с айпи и днс-именем/,  - но - не помогло. KSC все равно не видит агентов KSC на локальных компах.
      Вычитал на форуме про проблему с сертификатами,  с KSC экспортировал сертификат KeS и раздал его политикой домена на локальные компы. Подождал ночь, чтоб компы перезагрузились через
      выключение/включение - не помогло. Своих агентов КСЦ на локальных компах не видит всё равно. А они есть, как и КеС.
      В чем беда, не подскажете, уважаемые? Может, надо базу sqlexpress отрихтовать каким-то образом? Похоже, там прописалась в нескольких местах всякая инь-янь-хрень...
      Да, КСЦ Версия: 12.2.0.4376, агенты соответственно тоже, КеС версия 11.6.0.394, переустанавливал и вместе через задачу, и по-отдельности, и просто тупо удаленно с пары локальных компов с КЛ-шары из пакаджест,
      после установки/переустановки -пишет всё встало хорошо, просто замечательно, перезагружаешься - а ксц всё равно своих агентов с кес не видит...
       Может, кто-то сталкивался с аналогичным?
       
       
    • SAVXNNXH
      От SAVXNNXH
      При включении ПК запускается два файла dwm.exe, один из которых нагружает ПК на 70%, но при запуске Диспетчера задач файл снижает нагрузку до 0%. Путь двух dwm введет к оригинальному файлу. Антивирусы не видят этот файл
      CollectionLog-2025.01.15-20.17.zip
    • chernikovd
      От chernikovd
      Добрый день!
      поймали шифровальщика.. утром сотрудники не смогли запустить 1с, позвонили мне я подключился к серверу и понял, что файлы зашифрованны, зашел в папку с базами основная база весит20Г и она не была зашифрована.. я удивился и начал ее копировать на другой комп оставалось минут 10 и сервер выключился. после того как приехал и включил сервер обнаружил зашифрованный файл и не зашифрованный я скопировал не зашифрованный и его логи и базу данных удалось подключить. Так же взломали комп с бэкапами и испортили файловую систему. очень хочется расшифровать все.. на самом деле зашифровано 3 сервера прислал инфу только по одному
       
      спасибо
      ЗашифрованыеФайлы.7z Addition.txt FRST.txt
×
×
  • Создать...