Перейти к содержанию

Рекомендуемые сообщения

Доброго дня

3 компа 1 сервер 1с файловые базы, linux файл шара, пользовательский компьютер.

Как вирус попал в систему пока загадка, так как есть подозрения что был человек, на рабочем столе обчного компьютера был файл удаленного рабочего стола 2 сервер

2 сервер тоже зашифрован таким же вирусом

сетевая шара тоже все зашифрованы(ubunt linux), причем там файлы шифровались потом оригинал удалялся и записывался уже зашифрованный файл.

в имени файлов есть Mailprinceondarkhorse34@gmail_com такая строчка

чрез r-studio был найден удаленный каталог в момент взлома, в котором лежит файлик RSAdecr.keys

 

 

RSAdecr.zip ergcWlJuaOBy7N2_Mailprinceondarkhorse34@gmail_comID_0UX938931L5Y25.rar

Ссылка на комментарий
Поделиться на другие сайты

Возможно, файлы зашифрованы очередной модификацией Enmity.

 

Можно добавить логи FRST с обоих серверов. Шары были затронуты процессом с устройства, на котором был запущен шифровальщик. Уточните, пожалуйста, название удаленного каталога, где был найден RSAdecr.keys (скорее всего зашифрованный ключ, возможно будет необходим  при расшифровки файлов). Возможное название папки - keyforunlock.

 

проверьте так же наличие на зашифрованных устройствах файла с именем "nn.exe" -  вероятное тело шифровальщика.

+

проверьте ЛС.

Изменено пользователем safety
Ссылка на комментарий
Поделиться на другие сайты

keyforunlock.rarinformation.txtFRST.txtAddition.txt

 

Сделал, логи. 
нашел  nn.exe внитури этого эксешника есть текст письма вымогателя

на компьютере запущен ProcessHaker

 

Изменено пользователем safety
сэмпл шифровальщика на форум добавляем только в архиве с паролем virus или infected
Ссылка на комментарий
Поделиться на другие сайты

Судя по логу FRST шаблон зашифрованного файла отличается от файла, который вы добавили в первое сообщение:

Quote

C:\Users\Администратор\Desktop\xQfWlF1SwiXgPIC-Mail[princeondarkhorse34@gmail.com]ID-[R4QLI56Z8U8YNJ].cHnZ8Y

и это уже без сомнения является результатом шифрования Enmity.

С расшифровкой по Enmity не сможем вам помочь. Сохраните важные зашифрованные документы + папку с ключом на отдельный носитель, возможно в будущем расшифровка станет возможной.

 

По очистке системы:

 

Выполните скрипт очистки в FRST

Запускаем FRST.exe от имени Администратора (если не запущен)

Копируем скрипт из браузера в буфер обмена, браузер закрываем.

Ждем, когда будет готов к работе,

Нажимаем в FRST кнопку "исправить".

Скрипт автоматически очистит систему, и завершит работу без перезагрузки.

 

Start::
(C:\Program Files\Process Hacker 2\ProcessHacker.exe ->) (Microsoft Windows -> Microsoft Corporation) C:\Windows\System32\cmd.exe
IFEO\taskmgr.exe: [Debugger] "C:\Program Files\Process Hacker 2\ProcessHacker.exe"
Startup: C:\Users\Администратор\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\information.txt [2024-04-23] () [Файл не подписан]
Startup: C:\Users\Администратор\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\sXN6hecU51Q4Gj8-Mail[princeondarkhorse34@gmail.com]ID-[R4QLI56Z8U8YNJ].MbXeRr [2024-04-23] () [Файл не подписан]
Startup: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\information.txt [2024-04-23] () [Файл не подписан]
Startup: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\JProlyi24kZSYa9-Mail[princeondarkhorse34@gmail.com]ID-[R4QLI56Z8U8YNJ].lj501h [2024-04-23] () [Файл не подписан]
R1 KProcessHacker3; \??\C:\Program Files\Process Hacker 2\kprocesshacker.sys [X]
2024-04-23 03:59 - 2024-04-23 03:59 - 000000697 _____ C:\Windows\Tasks\information.txt
2024-04-23 03:45 - 2024-03-30 00:38 - 000871936 _____ C:\Users\Администратор\Desktop\nn.exe
2024-04-23 03:44 - 2024-04-23 03:59 - 000000000 ____D C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Process Hacker 2
2024-04-23 03:44 - 2024-04-23 03:59 - 000000000 ____D C:\Program Files\Process Hacker 2
2024-04-23 03:29 - 2024-04-23 03:59 - 000000000 ____D C:\Users\Администратор\Desktop\Netscanner
End::

Добавьте файл Fixlog.txt из папки, откуда запускали FRST в ваше сообщение.

Заархивируйте папку C:\FRST\Quarantine с паролем virus, загрузите архив на облачный диск, и дайте ссылку на скачивание в ЛС

 

 

Изменено пользователем safety
Ссылка на комментарий
Поделиться на другие сайты

Enmity уже второй год шифрует, решения у вирлабов по расшифровке нет.

Расшифровка возможно только при наличие приватного ключа, с помощью которого можно было бы расшифровать RSAdecr.keys

---------

теперь, когда вас шифрануло Enmity, примите серьезные меры безопасности:


1. создание бэкапов данных на отдельном устройстве, которое не должно быть постоянно доступным;
2. установка актуальных обновлений для операционной системы;
3. установка надежной актуальной антивирусной защиты с регулярным обновлением антивирусных баз;
4. установка надежных паролей для аккаунтов из группы RDP;
5. настройка нестандартного порта (вместо стандартного 3389) для сервиса RDP;
6. настройки безопасности, которые защищают пароль к аккаунту от удаленного брутфорсинга
7. если есть такая возможность, настройте двухфакторную аутентификацию для доступа к рабочему столу
8. доступ к рабочему столу из внешней сети (если необходим для работы), либо через VPN подключение, либо только с доверенных IP (белый лист);

Изменено пользователем safety
Ссылка на комментарий
Поделиться на другие сайты

1 minute ago, soronorus said:

интересно как это сделать, на windows 2008r2

если имеете ввиду установку актуальных обновлений, то рассмотреть переход на более актуальные версии W, для которых еще выпускаются обновления.

Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
  • Похожий контент

    • IrinaC
      От IrinaC
      Здравствуйте!
      Сегодня утром появился шифровальщик, при том в такое время, когда никто не работает, в 6.13 по Москве. Никто не признается, что скачал и запустил зараженный файл, допускаем, что было подключение извне.
      Базы данных, документы, архивы - все файлы получили расширение *.Bpant. При этом, зашифровано всё только на диске D. Диск С остался нетронутым. Логи, зашифрованные данные, письмо от злоумышленников прилагаю.
      Addition.txt FRST.txt Шифровки.rar
    • yarosvent
      От yarosvent
      Доброго,
      просим помочь расшифровать данные
    • LeraB
      От LeraB
      Приветствую.
      Поймали шифровальщика, который работает до сих.
      Ничего не переустанавливали и не трогали, проверяем только доступность компьютеров, их работу и ищем, где он еще может работать. Если понятно, что шифровальщик еще где-то работает, то отключаем этот сервер/компьютер.
      Все, что можно спасти, копируем.
      Пострадала почти вся сеть, не только лок.пк и сервера, но и NAS (именно smb)
      Шифровальщик затронул большинство нужных файлов, но не все.
      Логи собрали с одного сервера, примеры файлов с него же.
      Файл шифровальщика пока найти не удалось, как и выяснить все остальное, кроме того, как оно работает с ночи примерно с 00:00 12.12.2024
      FRST.txt Addition.txt архив.zip
    • Алексей Андронов
      От Алексей Андронов
      Добрый день!
       
      Поймали шифровальщика, который работает до сих пор на отключенном от интернета ПК.
      Ничего не переустанавливали и не трогали.
      Все, что можно спасти, копируем.
      Пострадал один ПК и один резервный сменный накопитель.
      Шифровальщик затронул большинство файлов.
      Предположительно получен по почте 02.12.24 под видом акта сверки расчетов
       
      Прошу помощи в излечении и расшифровке
       
      Во вложении логи FRST, архив с документами и запиской вымогателей и, предположительно, дроппер с которого произошло заражение и резидентный модуль
      архив.zip virus.zip Addition.txt FRST.txt
    • DeepX
      От DeepX
      Прилетел шифровальщик elpaco-team. Зашифровал несколько серверов. Удалил теневые копии. Бэкапы Acronis зашифровал. Сервера в основном Windows Server 2008.
      Логи и примеры зашифрованных файлов прикладываю. Требований не обнаружили пока. Спасибо за помощь!
      Addition.txt FRST.txt files.zip
×
×
  • Создать...