Перейти к содержанию

Рекомендуемые сообщения

Доброго дня.

Словили вирус, все файлы зашифрованы. Пользователи: Администратор и два аккаунта. Пускает только под пользователем. Хэш, куки почистили, почту почистили, телеграм почистили. Как попал вирус пока не ясно.

Во вложении: логи, архив (2 файла с шифром), записка. FRST.txt#SHINRA-Recovery.txtDesktop.rar

Ссылка на сообщение
Поделиться на другие сайты

Файл шифровальщика нашли? можете предоставить логи сканирования, если чистили систему Kvrt или Cureit?

Ссылка на сообщение
Поделиться на другие сайты

Проверьте системный диск с помощью KVRT или Cureit, добавьте логи сканирования (если файл большой, поместите в архив без пароля) в ваше сообщение. +проверьте ЛС.

Изменено пользователем safety
Ссылка на сообщение
Поделиться на другие сайты

Возможно, файлы зашифрованы PROTON Ransomware.

Если был доступ извне по RDP, возможно получили доступ к одной из учетных записей.

SHINRA Ransomware - Decryption, removal, and lost files recovery (pcrisk.com)

https://github.com/rivitna/Malware/tree/main/Proton

Quote

Shinra

31eec61ed6866e0b4b3d6b26a3a7d65fed040df61062dd468a1f5be8cc709de7   2024-04-23 11:10:25    SHINRA2
941a95c85a4b37bff4571d49eb918a5094a032ac1416bded3a3cd3427ecf984c    2024-04-28 18:37:12    SHINRA3

Proton Ransomware (..c77L; #Restore-files.txt) Support Topic - Ransomware Help & Tech Support (bleepingcomputer.com)

Изменено пользователем safety
Ссылка на сообщение
Поделиться на другие сайты

По очистке системы:

 

Выполните скрипт очистки в FRST

Запускаем FRST.exe от имени Администратора (если не запущен)

Копируем скрипт из браузера в буфер обмена, браузер закрываем.

Ждем, когда будет готов к работе,

Нажимаем в FRST кнопку "исправить".

Скрипт автоматически очистит систему, и завершит работу без перезагрузки.

 

Start::
HKLM-x32\...\Run: [] => [X]
HKLM\SOFTWARE\Policies\Microsoft\Windows NT\SystemRestore: [DisableConfig] Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Microsoft\Windows NT\SystemRestore: [DisableSR] Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate: Ограничение <==== ВНИМАНИЕ
HKLM\...\Policies\system: [legalnoticecaption] Encrypted by Kuza
HKLM\...\Policies\system: [legalnoticetext] Email us for recovery: sp.problemsolver.sp@gmail.com
HKU\S-1-5-21-3931805650-2299557408-3917352732-500\...\Policies\system: [DisableTaskMgr] 1
IFEO\sethc.exe: [Debugger] C:\windows\system32\cmd.exe
IFEO\utilman.exe: [Debugger] systray.exe
GroupPolicy: Ограничение ? <==== ВНИМАНИЕ
Policies: C:\ProgramData\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
End::

Добавьте файл Fixlog.txt из папки, откуда запускали FRST, в ваше сообщение.

 

С расшифровкой по данному типу шифровальщика не сможем помочь.

Ссылка на сообщение
Поделиться на другие сайты
7 minutes ago, chasey said:

у меня тоже самое( но теневые копии спасли 2 диска 

Создайте, пожалуйста, отдельную тему в данном разделе, и добавьте все необходимые файлы и логи: несколько зашифрованных файлов, записка о выкупе, логи FRST.

Ссылка на сообщение
Поделиться на другие сайты
  • safety закрыл тема
Гость
Эта тема закрыта для публикации ответов.
  • Похожий контент

    • kda7889
      От kda7889
      Привет.
      16.05.2024 под конец рабочего дня мне сотрудник прислал скрин, что у него в сеансе RemoteApp (RDP) вместе с 1С появилось черное окно.

      Я подключился к нашему серверу RemoteApp[10-7], запустил taskmgr и обнаружил большое количество процессов от несуществующих пользователей DWM-**.

      Скачал и запустил Kaspersky Virus Removal Tool на сервер [10-7], и сразу на сервер где лежат сами базы [10-2].
      На сервере [10-2] ничего не обнаружено, на сервере [10-7] была обнаружена папка с файлами.

      Я запаковал папку 1Peer2Profit в архив, могу скинуть если будет нужно. Вот отчет vt.
      Удалил все угрозы с помощью KVRT, очистив зараженные объекты, убедился что никаких лишних процессов от лже-пользователей нет, и затем запустил более глубокое сканирование на обоих машинах и отключился, т.к. время ожидания явно превышало несколько часов.
       
      Через некоторое время мне прилетело уведомление на телефон, что виртуальная машина домена WinServ2012 которая расположена на сервере [10-7] недоступна, подключиться к нему я так-же не смог.
      Отправил его в перезагрузку, проверил сервер [10-2], все было в порядке.
      Спустя некоторое время смог получить доступ к серверу [10-7], через запасного пользователя, все основные админские были отключены. Файлы были зашифрованы расширением .OPIX
      Пропала связь с сервером [10-2], подключившись к нему, также обнаружили что все файлы зашифрованы.
       
      Подготовил логи анализа системы при помощи Farbar Recovery Scan Tool, так-же в архивах по 2 зашифрованных файла с каждого сервера и файл с контактами вредителей.
      Внутри положил зашифрованные файлы, так и файлы в оригинальном виде, надеюсь это поможет.
      Купил Касперский Office Security, поставил. Ничего не обнаружено.
      Жду Вашей помощи.
       
      p.s.
      был резервный изолированный бэкап, но мы его только начали делать, там 1/3 от того что нужно для деятельности. не повторяйте наших ошибок, это очень больно.
       
      OPIX_client_data.zip
    • chasey
      От chasey
      теневые копии спасли 2 диска, но я не помню вылили они включены на третьем, или их подчистили. шифранули в основном фоточки и видео
      судя по логам пытались запускать
       
      C:\Users\lwsa\Desktop\x64-Release\start.bat
      C:\Users\lwsa\Desktop\x64-Release\NS.exe
      пытался восстановить эти файлы с диска, неудачно

       
      #SHINRA-Recovery.txt
      FRST.txt
      Архив 2.zip
×
×
  • Создать...