Перейти к содержанию

Рекомендуемые сообщения

Доброго дня

3 компа 1 сервер 1с файловые базы, linux файл шара, пользовательский компьютер.

Как вирус попал в систему пока загадка, так как есть подозрения что был человек, на рабочем столе обчного компьютера был файл удаленного рабочего стола 2 сервер

2 сервер тоже зашифрован таким же вирусом

сетевая шара тоже все зашифрованы(ubunt linux), причем там файлы шифровались потом оригинал удалялся и записывался уже зашифрованный файл.

в имени файлов есть Mailprinceondarkhorse34@gmail_com такая строчка

чрез r-studio был найден удаленный каталог в момент взлома, в котором лежит файлик RSAdecr.keys

 

 

RSAdecr.zip ergcWlJuaOBy7N2_Mailprinceondarkhorse34@gmail_comID_0UX938931L5Y25.rar

Ссылка на сообщение
Поделиться на другие сайты

Добавьте, пожалуйста, записку о выкупе + логи FRST с одного из зашифрованных устройств.

Изменено пользователем safety
Ссылка на сообщение
Поделиться на другие сайты

Возможно, файлы зашифрованы очередной модификацией Enmity.

 

Можно добавить логи FRST с обоих серверов. Шары были затронуты процессом с устройства, на котором был запущен шифровальщик. Уточните, пожалуйста, название удаленного каталога, где был найден RSAdecr.keys (скорее всего зашифрованный ключ, возможно будет необходим  при расшифровки файлов). Возможное название папки - keyforunlock.

 

проверьте так же наличие на зашифрованных устройствах файла с именем "nn.exe" -  вероятное тело шифровальщика.

+

проверьте ЛС.

Изменено пользователем safety
Ссылка на сообщение
Поделиться на другие сайты

keyforunlock.rarinformation.txtFRST.txtAddition.txt

 

Сделал, логи. 
нашел  nn.exe внитури этого эксешника есть текст письма вымогателя

на компьютере запущен ProcessHaker

 

Изменено пользователем safety
сэмпл шифровальщика на форум добавляем только в архиве с паролем virus или infected
Ссылка на сообщение
Поделиться на другие сайты

Судя по логу FRST шаблон зашифрованного файла отличается от файла, который вы добавили в первое сообщение:

Quote

C:\Users\Администратор\Desktop\xQfWlF1SwiXgPIC-Mail[princeondarkhorse34@gmail.com]ID-[R4QLI56Z8U8YNJ].cHnZ8Y

и это уже без сомнения является результатом шифрования Enmity.

С расшифровкой по Enmity не сможем вам помочь. Сохраните важные зашифрованные документы + папку с ключом на отдельный носитель, возможно в будущем расшифровка станет возможной.

 

По очистке системы:

 

Выполните скрипт очистки в FRST

Запускаем FRST.exe от имени Администратора (если не запущен)

Копируем скрипт из браузера в буфер обмена, браузер закрываем.

Ждем, когда будет готов к работе,

Нажимаем в FRST кнопку "исправить".

Скрипт автоматически очистит систему, и завершит работу без перезагрузки.

 

Start::
(C:\Program Files\Process Hacker 2\ProcessHacker.exe ->) (Microsoft Windows -> Microsoft Corporation) C:\Windows\System32\cmd.exe
IFEO\taskmgr.exe: [Debugger] "C:\Program Files\Process Hacker 2\ProcessHacker.exe"
Startup: C:\Users\Администратор\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\information.txt [2024-04-23] () [Файл не подписан]
Startup: C:\Users\Администратор\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\sXN6hecU51Q4Gj8-Mail[princeondarkhorse34@gmail.com]ID-[R4QLI56Z8U8YNJ].MbXeRr [2024-04-23] () [Файл не подписан]
Startup: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\information.txt [2024-04-23] () [Файл не подписан]
Startup: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\JProlyi24kZSYa9-Mail[princeondarkhorse34@gmail.com]ID-[R4QLI56Z8U8YNJ].lj501h [2024-04-23] () [Файл не подписан]
R1 KProcessHacker3; \??\C:\Program Files\Process Hacker 2\kprocesshacker.sys [X]
2024-04-23 03:59 - 2024-04-23 03:59 - 000000697 _____ C:\Windows\Tasks\information.txt
2024-04-23 03:45 - 2024-03-30 00:38 - 000871936 _____ C:\Users\Администратор\Desktop\nn.exe
2024-04-23 03:44 - 2024-04-23 03:59 - 000000000 ____D C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Process Hacker 2
2024-04-23 03:44 - 2024-04-23 03:59 - 000000000 ____D C:\Program Files\Process Hacker 2
2024-04-23 03:29 - 2024-04-23 03:59 - 000000000 ____D C:\Users\Администратор\Desktop\Netscanner
End::

Добавьте файл Fixlog.txt из папки, откуда запускали FRST в ваше сообщение.

Заархивируйте папку C:\FRST\Quarantine с паролем virus, загрузите архив на облачный диск, и дайте ссылку на скачивание в ЛС

 

 

Изменено пользователем safety
Ссылка на сообщение
Поделиться на другие сайты

Enmity уже второй год шифрует, решения у вирлабов по расшифровке нет.

Расшифровка возможно только при наличие приватного ключа, с помощью которого можно было бы расшифровать RSAdecr.keys

---------

теперь, когда вас шифрануло Enmity, примите серьезные меры безопасности:


1. создание бэкапов данных на отдельном устройстве, которое не должно быть постоянно доступным;
2. установка актуальных обновлений для операционной системы;
3. установка надежной актуальной антивирусной защиты с регулярным обновлением антивирусных баз;
4. установка надежных паролей для аккаунтов из группы RDP;
5. настройка нестандартного порта (вместо стандартного 3389) для сервиса RDP;
6. настройки безопасности, которые защищают пароль к аккаунту от удаленного брутфорсинга
7. если есть такая возможность, настройте двухфакторную аутентификацию для доступа к рабочему столу
8. доступ к рабочему столу из внешней сети (если необходим для работы), либо через VPN подключение, либо только с доверенных IP (белый лист);

Изменено пользователем safety
Ссылка на сообщение
Поделиться на другие сайты
1 minute ago, soronorus said:

интересно как это сделать, на windows 2008r2

если имеете ввиду установку актуальных обновлений, то рассмотреть переход на более актуальные версии W, для которых еще выпускаются обновления.

Ссылка на сообщение
Поделиться на другие сайты

Присоединяйтесь к обсуждению

Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.

Гость
Ответить в этой теме...

×   Вставлено с форматированием.   Вставить как обычный текст

  Разрешено использовать не более 75 эмодзи.

×   Ваша ссылка была автоматически встроена.   Отображать как обычную ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставлять изображения напрямую. Загружайте или вставляйте изображения по ссылке.

  • Похожий контент

    • ruzome
      От ruzome
      YGXcPNLfKVnWvtb-Mail[Gilbertdecsupp@gmail.com]ID-[09241377651329].FLNDEA
      YGXcPNLfKVnWvtb-Mail[Gilbertdecsupp@gmail.com]ID-[09241377651329].zip
    • garon84
      От garon84
      Добрый день Сегодня ночью зашифровали все файлы на двух дисках. Сам файл вируса найти не смогли. Сейчас идет восстановление диска С: из архива, но архив старый. Прикрепляю файл с письмом и зашифрованными файлами
      !.rar
    • in-digp
      От in-digp
      Добрый день!

      Прошу помощи с расшифровкой документов.

      На компьютере не запускается Autologger, ошибка - "Приложение не найдено", видимо повреждены системные файлы. Вытащил системный диск, проверил на другом компьютере Kaspersky Virus removal tool - нашёлся один файл с вирусом Trojan-Ransom.Win32.Limbozar.gen

      В архиве примеры зашифрованных файлов и сообщение о выкупе.
      Files.zip
    • Marmaz
      От Marmaz
      Помогите расшифровать.
      Шифровальщик оставил после себя папку KeyForFiles.
      И nonote.exe. Антивирус определил его какTrojan-Ransom.Win32.Limbozar.gen. Пароль к архиву nonet  1111
      Addition.txt ADRestore.7z Enmity-Unlock-Guide.txt FRST.txt KeyForFiles.7z nonet.7z
    • waywel
      От waywel
      All my pictures changed name, please help me ,how to unlock my pictures.
      sorry for my poor ENGLISH
      Thank you very much
       
       
      MD5 b704e923938a9c6fc3fe83cabc49974b SHA-1 4c0f968b41bac0d8eaf8fe282558cb37c0dec5c5 SHA-256 c91968b4a1eb04ac79c8d735b99c84d8ea87c4485c939be6a68af3b9055f397d Vhash 095046655d556078z8crz4bz Authentihash 90441c0a5a087d258759c2c90711dbe670bfc0faaecf7b8e12cba87ba07bfc0e Imphash ce84ed78c2762757f70e2e7427e36724 Rich PE header hash 1a84e95ce9db1290c840de466a7ca57f SSDEEP 24576:Il4EVSLnWnGctaeAwT+3Il2s9fAT3+Yv4NqwET:vEVUMalwzlHe3tv4NqwET TLSH T126158C207542E137D46205B14E7CEBAB506DFD290B705EDFB3D82B3E99711C21E32A6A File type Win32 EXE  executablewindowswin32pepeexe Magic PE32 executable (console) Intel 80386, for MS Windows TrID Win64 Executable (generic) (37.3%)   Win16 NE executable (generic) (17.8%)   Win32 Executable (generic) (16%)   Windows Icons Library (generic) (7.3%)   OS/2 Executable (generic) (7.2%) DetectItEasy PE32   Compiler: EP:Microsoft Visual C/C++ (2017 v.15.5-6) [EXE32]   Compiler: Microsoft Visual C/C++ (2017 v.15.9)   Linker: Microsoft Linker (14.16, Visual Studio 2017 15.9*) [Console32,console] File size 925.50 KB (947712 bytes)


×
×
  • Создать...