Перейти к содержанию

Рекомендуемые сообщения

теневые копии спасли 2 диска, но я не помню вылили они включены на третьем, или их подчистили. шифранули в основном фоточки и видео
судя по логам пытались запускать
 

C:\Users\lwsa\Desktop\x64-Release\start.bat

C:\Users\lwsa\Desktop\x64-Release\NS.exe
пытался восстановить эти файлы с диска, неудачно

1428430161_2024-05-1408_03_41.thumb.png.1424337e1435866276e5df2e5f25c404.png

 

#SHINRA-Recovery.txt

FRST.txt

Архив 2.zip

Ссылка на сообщение
Поделиться на другие сайты

Тело шифровальщика не найдено? можете добавить логи сканирования антивирусом или сканерами?

 

Эти ограничения сами установили?

Quote

HKLM Group Policy restriction on software: C:\Program Files (x86) <==== ВНИМАНИЕ

 

 

По очистке системы:

 

Выполните скрипт очистки в FRST

Запускаем FRST.exe от имени Администратора (если не запущен)

Копируем скрипт из браузера в буфер обмена, браузер закрываем.

Ждем, когда будет готов к работе,

Нажимаем в FRST кнопку "исправить".

Скрипт автоматически очистит систему, и завершит работу без перезагрузки.

 

Start::
HKLM\SOFTWARE\Policies\Microsoft\Windows NT\SystemRestore: [DisableConfig] Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Microsoft\Windows NT\SystemRestore: [DisableSR] Ограничение <==== ВНИМАНИЕ
HKLM\...\Policies\system: [legalnoticecaption] Encrypted by Kuza
HKLM\...\Policies\system: [legalnoticetext] Email us for recovery: sp.problemsolver.sp@gmail.com
IFEO\utilman.exe: [Debugger] systray.exe
R4 KProcessHacker3; \??\C:\Program Files\Process Hacker 2\kprocesshacker.sys [X]
2024-05-07 22:26 - 2024-05-07 22:48 - 000000000 ____D C:\Program Files\Process Hacker 2
2024-05-07 22:26 - 2024-05-07 22:26 - 000000000 ____D C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Process Hacker 2
End::

Добавьте файл Fixlog.txt из папки, откуда запускали FRST, в ваше сообщение.

Ссылка на сообщение
Поделиться на другие сайты

С расшифровкой по данному типу шифровальщика не сможем вам помочь.

 

Примите серьезные меры безопасности:


1. создание бэкапов данных на отдельном устройстве, которое не должно быть постоянно доступным;
2. установка актуальных обновлений для операционной системы;
3. установка надежной актуальной антивирусной защиты с регулярным обновлением антивирусных баз;
4. установка надежных паролей для аккаунтов из группы RDP;
5. настройка нестандартного порта (вместо стандартного 3389) для сервиса RDP;
6. настройки безопасности, которые защищают пароль к аккаунту от удаленного брутфорсинга
7. если есть такая возможность, настройте двухфакторную аутентификацию для доступа к рабочему столу
8. доступ к рабочему столу из внешней сети (если необходим для работы), либо через VPN подключение, либо только с доверенных IP (белый лист);

Ссылка на сообщение
Поделиться на другие сайты

Присоединяйтесь к обсуждению

Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.

Гость
Ответить в этой теме...

×   Вставлено с форматированием.   Вставить как обычный текст

  Разрешено использовать не более 75 эмодзи.

×   Ваша ссылка была автоматически встроена.   Отображать как обычную ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставлять изображения напрямую. Загружайте или вставляйте изображения по ссылке.

  • Похожий контент

    • kda7889
      От kda7889
      Привет.
      16.05.2024 под конец рабочего дня мне сотрудник прислал скрин, что у него в сеансе RemoteApp (RDP) вместе с 1С появилось черное окно.

      Я подключился к нашему серверу RemoteApp[10-7], запустил taskmgr и обнаружил большое количество процессов от несуществующих пользователей DWM-**.

      Скачал и запустил Kaspersky Virus Removal Tool на сервер [10-7], и сразу на сервер где лежат сами базы [10-2].
      На сервере [10-2] ничего не обнаружено, на сервере [10-7] была обнаружена папка с файлами.

      Я запаковал папку 1Peer2Profit в архив, могу скинуть если будет нужно. Вот отчет vt.
      Удалил все угрозы с помощью KVRT, очистив зараженные объекты, убедился что никаких лишних процессов от лже-пользователей нет, и затем запустил более глубокое сканирование на обоих машинах и отключился, т.к. время ожидания явно превышало несколько часов.
       
      Через некоторое время мне прилетело уведомление на телефон, что виртуальная машина домена WinServ2012 которая расположена на сервере [10-7] недоступна, подключиться к нему я так-же не смог.
      Отправил его в перезагрузку, проверил сервер [10-2], все было в порядке.
      Спустя некоторое время смог получить доступ к серверу [10-7], через запасного пользователя, все основные админские были отключены. Файлы были зашифрованы расширением .OPIX
      Пропала связь с сервером [10-2], подключившись к нему, также обнаружили что все файлы зашифрованы.
       
      Подготовил логи анализа системы при помощи Farbar Recovery Scan Tool, так-же в архивах по 2 зашифрованных файла с каждого сервера и файл с контактами вредителей.
      Внутри положил зашифрованные файлы, так и файлы в оригинальном виде, надеюсь это поможет.
      Купил Касперский Office Security, поставил. Ничего не обнаружено.
      Жду Вашей помощи.
       
      p.s.
      был резервный изолированный бэкап, но мы его только начали делать, там 1/3 от того что нужно для деятельности. не повторяйте наших ошибок, это очень больно.
       
      OPIX_client_data.zip
    • MaxBarsk
      От MaxBarsk
      Доброго дня.
      Словили вирус, все файлы зашифрованы. Пользователи: Администратор и два аккаунта. Пускает только под пользователем. Хэш, куки почистили, почту почистили, телеграм почистили. Как попал вирус пока не ясно.
      Во вложении: логи, архив (2 файла с шифром), записка. FRST.txt#SHINRA-Recovery.txtDesktop.rar
×
×
  • Создать...