Перейти к содержанию

Рекомендуемые сообщения

Опубликовано

Доброго дня

3 компа 1 сервер 1с файловые базы, linux файл шара, пользовательский компьютер.

Как вирус попал в систему пока загадка, так как есть подозрения что был человек, на рабочем столе обчного компьютера был файл удаленного рабочего стола 2 сервер

2 сервер тоже зашифрован таким же вирусом

сетевая шара тоже все зашифрованы(ubunt linux), причем там файлы шифровались потом оригинал удалялся и записывался уже зашифрованный файл.

в имени файлов есть Mailprinceondarkhorse34@gmail_com такая строчка

чрез r-studio был найден удаленный каталог в момент взлома, в котором лежит файлик RSAdecr.keys

 

 

RSAdecr.zip ergcWlJuaOBy7N2_Mailprinceondarkhorse34@gmail_comID_0UX938931L5Y25.rar

Опубликовано (изменено)

Добавьте, пожалуйста, записку о выкупе + логи FRST с одного из зашифрованных устройств.

Изменено пользователем safety
Опубликовано (изменено)

Возможно, файлы зашифрованы очередной модификацией Enmity.

 

Можно добавить логи FRST с обоих серверов. Шары были затронуты процессом с устройства, на котором был запущен шифровальщик. Уточните, пожалуйста, название удаленного каталога, где был найден RSAdecr.keys (скорее всего зашифрованный ключ, возможно будет необходим  при расшифровки файлов). Возможное название папки - keyforunlock.

 

проверьте так же наличие на зашифрованных устройствах файла с именем "nn.exe" -  вероятное тело шифровальщика.

+

проверьте ЛС.

Изменено пользователем safety
Опубликовано (изменено)

keyforunlock.rarinformation.txtFRST.txtAddition.txt

 

Сделал, логи. 
нашел  nn.exe внитури этого эксешника есть текст письма вымогателя

на компьютере запущен ProcessHaker

 

Изменено пользователем safety
сэмпл шифровальщика на форум добавляем только в архиве с паролем virus или infected
Опубликовано (изменено)

Судя по логу FRST шаблон зашифрованного файла отличается от файла, который вы добавили в первое сообщение:

Quote

C:\Users\Администратор\Desktop\xQfWlF1SwiXgPIC-Mail[princeondarkhorse34@gmail.com]ID-[R4QLI56Z8U8YNJ].cHnZ8Y

и это уже без сомнения является результатом шифрования Enmity.

С расшифровкой по Enmity не сможем вам помочь. Сохраните важные зашифрованные документы + папку с ключом на отдельный носитель, возможно в будущем расшифровка станет возможной.

 

По очистке системы:

 

Выполните скрипт очистки в FRST

Запускаем FRST.exe от имени Администратора (если не запущен)

Копируем скрипт из браузера в буфер обмена, браузер закрываем.

Ждем, когда будет готов к работе,

Нажимаем в FRST кнопку "исправить".

Скрипт автоматически очистит систему, и завершит работу без перезагрузки.

 

Start::
(C:\Program Files\Process Hacker 2\ProcessHacker.exe ->) (Microsoft Windows -> Microsoft Corporation) C:\Windows\System32\cmd.exe
IFEO\taskmgr.exe: [Debugger] "C:\Program Files\Process Hacker 2\ProcessHacker.exe"
Startup: C:\Users\Администратор\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\information.txt [2024-04-23] () [Файл не подписан]
Startup: C:\Users\Администратор\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\sXN6hecU51Q4Gj8-Mail[princeondarkhorse34@gmail.com]ID-[R4QLI56Z8U8YNJ].MbXeRr [2024-04-23] () [Файл не подписан]
Startup: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\information.txt [2024-04-23] () [Файл не подписан]
Startup: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\JProlyi24kZSYa9-Mail[princeondarkhorse34@gmail.com]ID-[R4QLI56Z8U8YNJ].lj501h [2024-04-23] () [Файл не подписан]
R1 KProcessHacker3; \??\C:\Program Files\Process Hacker 2\kprocesshacker.sys [X]
2024-04-23 03:59 - 2024-04-23 03:59 - 000000697 _____ C:\Windows\Tasks\information.txt
2024-04-23 03:45 - 2024-03-30 00:38 - 000871936 _____ C:\Users\Администратор\Desktop\nn.exe
2024-04-23 03:44 - 2024-04-23 03:59 - 000000000 ____D C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Process Hacker 2
2024-04-23 03:44 - 2024-04-23 03:59 - 000000000 ____D C:\Program Files\Process Hacker 2
2024-04-23 03:29 - 2024-04-23 03:59 - 000000000 ____D C:\Users\Администратор\Desktop\Netscanner
End::

Добавьте файл Fixlog.txt из папки, откуда запускали FRST в ваше сообщение.

Заархивируйте папку C:\FRST\Quarantine с паролем virus, загрузите архив на облачный диск, и дайте ссылку на скачивание в ЛС

 

 

Изменено пользователем safety
Опубликовано

А вообще хоть кто то помочь сможет, или это принципиально не возможно из за сложности шифрования

Опубликовано (изменено)

Enmity уже второй год шифрует, решения у вирлабов по расшифровке нет.

Расшифровка возможно только при наличие приватного ключа, с помощью которого можно было бы расшифровать RSAdecr.keys

---------

теперь, когда вас шифрануло Enmity, примите серьезные меры безопасности:


1. создание бэкапов данных на отдельном устройстве, которое не должно быть постоянно доступным;
2. установка актуальных обновлений для операционной системы;
3. установка надежной актуальной антивирусной защиты с регулярным обновлением антивирусных баз;
4. установка надежных паролей для аккаунтов из группы RDP;
5. настройка нестандартного порта (вместо стандартного 3389) для сервиса RDP;
6. настройки безопасности, которые защищают пароль к аккаунту от удаленного брутфорсинга
7. если есть такая возможность, настройте двухфакторную аутентификацию для доступа к рабочему столу
8. доступ к рабочему столу из внешней сети (если необходим для работы), либо через VPN подключение, либо только с доверенных IP (белый лист);

Изменено пользователем safety
Опубликовано

интересно как это сделать, на windows 2008r2

Опубликовано
1 minute ago, soronorus said:

интересно как это сделать, на windows 2008r2

если имеете ввиду установку актуальных обновлений, то рассмотреть переход на более актуальные версии W, для которых еще выпускаются обновления.

Опубликовано

нет я имею ввиду двухфакторную аутентификацию, без радиуса.

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
  • Похожий контент

    • alexlaev
      Автор alexlaev
      Доброго бодрого, придя на работу в понедельник пришло осознание того что на сервере происходит что-то неладное, появились файлы с расширением .[nullhex@2mail.co].0C8D0E91
      Ничего не поняв, начал искать что могло произойти, один из компьютеров был подвержен атаке, в ночь с пятницы на субботу по местному времени в 3:30 утра 28.06.2025 было совершено подключение по RDP к данному компьютеру. После анализа действий программы Clipdiary (благо была установлена на компьютере) было выявлено что злоумышленник владеет всей информацией о паролях от сервера, пользователей, список пользователей в сети, и начал свою атаку глубже. Этот компьютер имел админку к серверу, поэтому злоумышленник без труда добрался до него и начал шифровать данные как и на двух других компьютерах. По итогу то ли то что злоумышленнику стало скучно, то ли из-за того что компьютер завис в этот момент (на часах было 10:03 29.06.2025 (я смотрел на время на экране уже на следующий день в понедельник 30.06.2025 в 11:30, поэтому обратил внимание сразу что время не совпадает и комп заблокирован и завис)) у злоумышленника доступ к серверу пропал, потому как по RDP только из локалки можно к нему цепляться. Файлы незначительные повреждены, но уже восстановлены из бэкапа(благо делается каждый день)
      А вот с компьютерами меньше повезло, три компа полностью зашифрованы. Прилагаю файлы и проверку в программе указанной в теме правил.
      vse tut.rar
    • IrinaC
      Автор IrinaC
      Здравствуйте!
      Сегодня утром появился шифровальщик, при том в такое время, когда никто не работает, в 6.13 по Москве. Никто не признается, что скачал и запустил зараженный файл, допускаем, что было подключение извне.
      Базы данных, документы, архивы - все файлы получили расширение *.Bpant. При этом, зашифровано всё только на диске D. Диск С остался нетронутым. Логи, зашифрованные данные, письмо от злоумышленников прилагаю.
      Addition.txt FRST.txt Шифровки.rar
    • Insaff
      Автор Insaff
      Во всех расшареных папках зашифрованы файлы.
      Файлы имеют расширение ELPACO-team-***gCG***
      в некоторых папках лежит письмо с текстом
       
      Hello my dear friend (Do not scan the files with antivirus in any case. In case of data loss, the consequences are yours)
      Your data is encrypted by ELPACO-team
      Your decryption ID is *****QR14*ELPACO-team-gCG****
      Unfortunately for you, a major IT security weakness left you open to attack, your files have been encrypted
      The only method of recovering files is to purchase decrypt tool and unique key for you.
      If you want to recover your files, write us
      1) eMail - el_kurva@tuta.io
      2) Telegram - @DataSupport911
      Attention!
      Do not rename encrypted files. 
      Do not try to decrypt your data using third party software - it may cause permanent data loss. 
      We are always ready to cooperate and find the best way to solve your problem. 
      The faster you write - the more favorable conditions will be for you. 
      Our company values its reputation. We give all guarantees of your files decryption.
       
      Написал я им на почту, пришел ответ, что надо заплатить 0,25 биткоина (получается около 1,5 млн)
      Есть ли Возможность у ко-нить за вознаграждение, чуть меньшее)) помочь с этим шифровальщиком.
       
       
      Молотки Можайск.pdf.zip
    • figabra
      Автор figabra
      Добрый день!
       
      Поймал шифровальщик Trojan-Ransom.Win32.Phobos.vho
      Все файлы имеют расширение .deep
      Помогите пожалуйста с расшифровкой.
       
      Заранее спасибо!
       
      Сообщение от модератора kmscom Тема перемещена из раздела Компьютерная помощь  
    • yarosvent
      Автор yarosvent
      Доброго,
      просим помочь расшифровать данные
×
×
  • Создать...