Перейти к содержанию

Заразился сервер шифровщиком-вымогателем Hercul

Apotka
 Share

Рекомендуемые сообщения

Apotka Новичок

Apotka

Опубликовано
Опубликовано (изменено)

Доброго времени суток, 08.04.24 в 00:45 по МСК (судя по дате создания файла записки вымогателей) *.exe файлы не пострадали, под удар попали различные БД 1С, сервис Забота, аудио видео файлы и MS office

Корневой файл заражения нам найти не удалось при ручном поиске, KVRT показал наличие 1 угрозы

В сервисе "крипто шериф" декприптора на наш случай не нашлось,

Следовал инструкции найденной на одном из порталов 

Спойлер

https://id-ransomware.blogspot.com/2017/03/first-steps-victim.html


Также изучил похожую тему на наш случай на этом форуме
 

Спойлер

https://forum.kasperskyclub.ru/topic/447426-pomogite-opredelit-shifrovalshhik/


и выполнил сканирование утилитой Farbar Recovery Scan Tool. а также по инструкции по созданию обращения AutoLogger внутри архива report1.log и report2.log
зашифрованные файлы не содержат конфиденциальных данных, находятся в архиве Encripted с таким же паролем, внутри также записка вымогателя

KVRT.png

Addition.txt Encripted.zip FRST.txt CollectionLog-2024.04.08-15.34.zip

Изменено пользователем Apotka
Ссылка на комментарий
Поделиться на другие сайты
Apotka Новичок

Apotka

Опубликовано
  • Автор
Опубликовано (изменено)
5 часов назад, safety сказал:

Добавьте логи из журнала обнаружения штатного антивируса.

Спасибо что ознакомились с моим обращением, ничего к сожалению найти не удалось, у нас стоит eset в котором отсутствуют журналы
единственное он предложил создать слепок системы который представляет собой xml отчёт на 18мб
в штатном защитнике тоже ничего не нашёл, в просмотре событий в разделе журналов "Журналы приложений служб>Microsoft>Windows"
надеялся найти журналы Defender или Windows Defender но увы, могу предложить только выгрузки различных журналов связанных с RDP подключениями
и раздела Firewall

Спойлер

 

Screenshot_3.png

Screenshot_4.png

 

 

 

Извиняюсь что не в одном сообщении, очень долго прогружался анализатор, вот итоговые замечания
Возможно это всё совсем не то конечно
 

Спойлер

Screenshot_1.thumb.png.56a4861d55ca498993d7d7e592a85921.png

 

CallUxxProvider.zip

Изменено пользователем Apotka
Ссылка на комментарий
Поделиться на другие сайты
safety Ветеран

safety

Опубликовано
Опубликовано (изменено)

Если вы создали ELC, тогда лучше его и загрузите, чтобы посмотреть все журналы, в частности журнал обнаружения угроз включен в общий журнал ELC. Если размер журнала будет большим, загрузите его на облачный диск, и дайте здесь ссылку на скачивание.

Изменено пользователем safety
Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Share
Перейти к списку тем

  • Похожий контент

    • Salieri
      Заразился вирусом
      От Salieri
      Наткнулся на вирус, с файлов игры ( пиратки ) , нужнаCollectionLog-2024.12.16-15.54.zipFRST.txtAddition.txt помощь, система тормозит, производительность упала. Логи ниже
    • LeoNid2024
      Поймали шифровщика
      От LeoNid2024
      Был взломан сервер по rdp, все файлы зашифрованы, NAS к сожалению не работал.
      Система просканирована kvrt.exe. Найдено вредоносное ПО. 
       
       
       
      KVRT2020_Data.zip
      Зашифрованные файлы.zip
    • Алексей Андронов
      Поймали по почте шифровальщик-вымогатель
      От Алексей Андронов
      Добрый день!
       
      Поймали шифровальщика, который работает до сих пор на отключенном от интернета ПК.
      Ничего не переустанавливали и не трогали.
      Все, что можно спасти, копируем.
      Пострадал один ПК и один резервный сменный накопитель.
      Шифровальщик затронул большинство файлов.
      Предположительно получен по почте 02.12.24 под видом акта сверки расчетов
       
      Прошу помощи в излечении и расшифровке
       
      Во вложении логи FRST, архив с документами и запиской вымогателей и, предположительно, дроппер с которого произошло заражение и резидентный модуль
      архив.zip virus.zip Addition.txt FRST.txt
    • lex-xel
      Сервер подвергся взлому
      От lex-xel
      Добрый день!
      Аналогичная ситуация  сервер подвергся взлому, база данных заархивирована с шифрованием.
      Антивирус снесли, хоть он был под паролем.
      Подскажите есть способ как то исправить ситуацию, расшифровать базу данных?
       
      Do you really want to restore your files?
      Write to email: a38261062@gmail.com
       
      Сообщение от модератора Mark D. Pearlstone перемещено из темы.
         
    • KOte
      поймали шифровщик FrankViskerson@mailfence.com
      От KOte
      Поймали шифровальщик. вымогатель юлит, не дает гарантии что все будет восстановлено. Собрал все файлы открыл тему.
      Addition.txt FRST.txt Read Instructions.txt virus.rar
×
×
  • Создать...