Перейти к содержанию

Заразился сервер шифровщиком-вымогателем Hercul

Apotka
 Поделиться

Рекомендуемые сообщения

Apotka

Apotka

Опубликовано
Опубликовано (изменено)

Доброго времени суток, 08.04.24 в 00:45 по МСК (судя по дате создания файла записки вымогателей) *.exe файлы не пострадали, под удар попали различные БД 1С, сервис Забота, аудио видео файлы и MS office

Корневой файл заражения нам найти не удалось при ручном поиске, KVRT показал наличие 1 угрозы

В сервисе "крипто шериф" декприптора на наш случай не нашлось,

Следовал инструкции найденной на одном из порталов 

Спойлер

https://id-ransomware.blogspot.com/2017/03/first-steps-victim.html


Также изучил похожую тему на наш случай на этом форуме
 

Спойлер

https://forum.kasperskyclub.ru/topic/447426-pomogite-opredelit-shifrovalshhik/


и выполнил сканирование утилитой Farbar Recovery Scan Tool. а также по инструкции по созданию обращения AutoLogger внутри архива report1.log и report2.log
зашифрованные файлы не содержат конфиденциальных данных, находятся в архиве Encripted с таким же паролем, внутри также записка вымогателя

KVRT.png

Addition.txt Encripted.zip FRST.txt CollectionLog-2024.04.08-15.34.zip

Изменено пользователем Apotka
safety

safety

Опубликовано
Опубликовано

Добавьте логи из журнала обнаружения штатного антивируса.

  • Like (+1) 1
Apotka

Apotka

Опубликовано
  • Автор
Опубликовано (изменено)
5 часов назад, safety сказал:

Добавьте логи из журнала обнаружения штатного антивируса.

Спасибо что ознакомились с моим обращением, ничего к сожалению найти не удалось, у нас стоит eset в котором отсутствуют журналы
единственное он предложил создать слепок системы который представляет собой xml отчёт на 18мб
в штатном защитнике тоже ничего не нашёл, в просмотре событий в разделе журналов "Журналы приложений служб>Microsoft>Windows"
надеялся найти журналы Defender или Windows Defender но увы, могу предложить только выгрузки различных журналов связанных с RDP подключениями
и раздела Firewall

Спойлер

 

Screenshot_3.png

Screenshot_4.png

 

 

 

Извиняюсь что не в одном сообщении, очень долго прогружался анализатор, вот итоговые замечания
Возможно это всё совсем не то конечно
 

Спойлер

Screenshot_1.thumb.png.56a4861d55ca498993d7d7e592a85921.png

 

CallUxxProvider.zip

Изменено пользователем Apotka
safety

safety

Опубликовано
Опубликовано (изменено)

Если вы создали ELC, тогда лучше его и загрузите, чтобы посмотреть все журналы, в частности журнал обнаружения угроз включен в общий журнал ELC. Если размер журнала будет большим, загрузите его на облачный диск, и дайте здесь ссылку на скачивание.

Изменено пользователем safety

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Поделиться
Перейти к списку тем

  • Похожий контент

    • LeoNid2024
      Поймали шифровщика
      Автор LeoNid2024
      Был взломан сервер по rdp, все файлы зашифрованы, NAS к сожалению не работал.
      Система просканирована kvrt.exe. Найдено вредоносное ПО. 
       
       
       
      KVRT2020_Data.zip
      Зашифрованные файлы.zip
    • Salieri
      Заразился вирусом
      Автор Salieri
      Наткнулся на вирус, с файлов игры ( пиратки ) , нужнаCollectionLog-2024.12.16-15.54.zipFRST.txtAddition.txt помощь, система тормозит, производительность упала. Логи ниже
    • aryanatha
      Заразились шифровальщиком
      Автор aryanatha
      Здравствуйте
      Сервер под управлением Windows Server 2012 R2
      Заходили на него используя RDP
      2 диска зашифровались BitLockerом
      Системный диск Битлокером не зашифровали, но часть файлов на нем были зашифрованы
      В идеале нужно полностью восстановить систему, но в принципе, самый важный файл на всем компьютере один - это база данных 1С.
      Она лежит на незашифрованном диске, и зашифрована отдельно. Размер порядка 10 гб
      в приложении логи анализа и да зашифрованный файла Эксель.
      файл с вирусом не нашли. требований денег не нашли
      возможно заразились после того как дней 5 назад дестоп был с помощью Хамачи подключен в одну локалку с ноутом внука, на котором куча скачанных с тореннnов поломанных игрушек. после этого на декстопе запускался drWebCureIt 
      и после этого с дестопа по RDP ходил на сервер
      прошу помощи
    • Alexandr_
      заразился ELPACO-team
      Автор Alexandr_
      Добрый день, помогите победить шифровальщик от Elpaco-team, зашифровал документы и  базу 1С (
      Надеюсь на Вашу помощь
      Addition.txt Decrypt_ELPACO-team_info.txt filespdf.rar FRST.txt
    • Бека-Алматы
      шифровальщик-вымогатель
      Автор Бека-Алматы
      Добрый день! после открытия порта на роутере, компьютер  зашифровался вирусом , прошу помощи с решение проблем
      файл приложил 
      ЛОГИ и файлы.zip
×
×
  • Создать...