Перейти к содержанию

Рекомендуемые сообщения

Здравствуйте. Ночью зашифровали данные на сервере, все файлы, в т.ч. 1С, расширение *WORM

Записку от вымогателей прилагаю. Сервер был сразу отключен от сети.  Подскажите есть ли смысл проводить проверку антивирусником? И есть ли возможность расшифровать данные?

 

 

decryption_info.jpeg

Ссылка на комментарий
Поделиться на другие сайты

Если уже выполнили антивирусную проверку системы,

можете предоставить логи сканирования антивирусной программой: штатным антивирусом, утилитами KVRT или Cureit?

Ссылка на комментарий
Поделиться на другие сайты

Сделайте проверку одной из утилит, лучше в KVRT, загрузите после завершения лог сканирования.

(Если это MIMIC Ransomware, что следует из записки о выкупе), расшифровать файлы без приватного ключа будет невозможно.)

Изменено пользователем safety
Ссылка на комментарий
Поделиться на другие сайты

А в ближайшем будущем тоже не будет варианта расшифровать данные без ключа? просто очень много обращений с данным шифром.

Ссылка на комментарий
Поделиться на другие сайты

Mimic Ransomware активен уже в течение полутора лет. ЗА это время не было ни одного известного случая расшифовки файлов дешифраторами, созданными вирлабами.

 

Пока что единственным решением может быть принятие мер безопасности, против новых атак шифровальщиков.

 

Quote

1. создание бэкапов данных на отдельном устройстве, которое не должно быть постоянно доступным;
2. установка актуальных обновлений для операционной системы;
3. установка надежной актуальной антивирусной защиты с регулярным обновлением антивирусных баз;
4. установка надежных паролей для аккаунтов из группы RDP;
5. настройка нестандартного порта (вместо стандартного 3389) для сервиса RDP;
6. настройки безопасности, которые защищают пароль к аккаунту от удаленного брутфорсинга
7. если есть такая возможность, настройте двухфакторную аутентификацию для доступа к рабочему столу
8. доступ к рабочему столу из внешней сети (если необходим для работы), либо через VPN подключение, либо только с доверенных IP (белый лист);

 

Изменено пользователем safety
Ссылка на комментарий
Поделиться на другие сайты

Это может произойти если:

- злоумышленники будут пойманы правоохранительными органами, их серверы будут изъяты и ключи окажутся у антивирусных компаний,

- злоумышленники сами прекратят свою деятельность и выдадут ключи в общий доступ.

 

И то и другое случается, но, к сожалению, крайне редко.

  • Печаль 1
Ссылка на комментарий
Поделиться на другие сайты

По очистке системы:

 

Выполните скрипт очистки в FRST

Запускаем FRST.exe от имени Администратора (если не запущен)

Копируем скрипт из браузера в буфер обмена, браузер закрываем.

Ждем, когда будет готов к работе,

Нажимаем в FRST кнопку "исправить".

Скрипт автоматически очистит систему, и завершит работу без перезагрузки.

 

Start::
HKLM\...\Run: [TNOD UP] => "C:\Program Files (x86)\TNod\TNODUP.exe" /i (Нет файла)
HKLM\...\Run: [HORSE.exe] => C:\Users\ftp#\AppData\Local\DECRYPTION_INFO.txt [1054 2024-05-27] () [Файл не подписан]
HKLM\...\Policies\system: [legalnoticetext] Hello my dear friend (Do not scan the files with antivirus in any case. In case of data loss, the consequences
IFEO\CompatTelRunner.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\logoff.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\perfmon.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\SearchApp.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\SearchIndexer.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\SearchProtocolHost.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\shutdown.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\taskkill.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\tasklist.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\taskmgr.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\wsqmcons.exe: [Debugger] C:\Windows\System32\Systray.exe
GroupPolicy: Ограничение ? <==== ВНИМАНИЕ
Policies: C:\ProgramData\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
Policies: C:\Users\buhgalter\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
Policies: C:\Users\manager\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
Policies: C:\Users\MKT1004\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
Policies: C:\Users\opt\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
Policies: C:\Users\Администратор\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
2024-05-27 02:05 - 2024-05-27 02:05 - 000001054 _____ C:\Users\ftp#\Desktop\DECRYPTION_INFO.txt
2024-05-26 23:40 - 2024-05-27 02:05 - 000000000 ____D C:\Users\ftp#\AppData\Roaming\Process Hacker 2
2024-05-26 23:39 - 2024-05-27 02:05 - 000001054 _____ C:\Users\ftp#\AppData\Local\DECRYPTION_INFO.txt
2024-05-26 23:39 - 2024-05-27 02:05 - 000001054 _____ C:\DECRYPTION_INFO.txt
2024-05-26 23:39 - 2024-05-27 02:05 - 000000476 _____ C:\Users\ftp#\advanced_ip_scanner_MAC.bin.WORM
2024-05-26 23:39 - 2024-05-27 02:05 - 000000097 _____ C:\Users\ftp#\advanced_ip_scanner_Comments.bin.WORM
2024-05-26 23:39 - 2024-05-27 02:05 - 000000097 _____ C:\Users\ftp#\advanced_ip_scanner_Aliases.bin.WORM
2024-05-26 23:37 - 2024-05-26 23:54 - 000000000 ____D C:\Program Files\Process Hacker 2
2021-09-08 05:45 - 2024-05-27 02:05 - 000000000 __SHD C:\Users\ftp#\AppData\Local\9A64852D-CC46-0058-BE45-4BBFA1484AC9
2019-05-23 12:38 - 2024-05-26 23:53 - 000000570 _____ C:\Users\buh\advanced_ip_scanner_MAC.bin.WORM
2019-05-23 12:38 - 2024-05-26 23:53 - 000000097 _____ C:\Users\buh\advanced_ip_scanner_Comments.bin.WORM
2019-05-23 12:38 - 2024-05-26 23:53 - 000000097 _____ C:\Users\buh\advanced_ip_scanner_Aliases.bin.WORM
2019-04-05 13:04 - 2024-05-26 23:52 - 000000902 _____ C:\Users\Администратор\advanced_ip_scanner_MAC.bin.WORM
2019-04-05 13:04 - 2024-05-26 23:52 - 000000097 _____ C:\Users\Администратор\advanced_ip_scanner_Comments.bin.WORM
2019-04-05 13:04 - 2024-05-26 23:52 - 000000097 _____ C:\Users\Администратор\advanced_ip_scanner_Aliases.bin.WORM
2019-04-05 12:57 - 2024-05-26 23:53 - 000000000 ____D C:\Program Files (x86)\Advanced IP Scanner
2019-04-05 12:57 - 2019-04-05 12:57 - 000001007 _____ C:\Users\Public\Desktop\Advanced IP Scanner.lnk
2019-04-05 12:57 - 2019-04-05 12:57 - 000000000 ____D C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Advanced IP Scanner v2
2019-04-05 12:56 - 2024-05-26 23:53 - 020385202 _____ C:\Users\Администратор\Downloads\Advanced_IP_Scanner_2.5.3850.exe.WORM
End::

Добавьте файл Fixlog.txt из папки, откуда запускали FRST, в ваше сообщение.

Папку C:\FRST\Quarantine добавьте в архив с паролем virus, архив загрузите на облачный диск и дайте ссылку на скачивание архива в ЛС.

Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
  • Похожий контент

    • ALFGreat
      От ALFGreat
      Добрый день! Сегодня обнаружилось, что зашифрован сервер. Открылся файл, мол пишите на адрес a38261062@gmail.com 
      Какой порядок действий? Возможно ли как то восстановить? Как узнать под какой учеткой был запущен шифровальщик?
    • Шаманов_Артём
      От Шаманов_Артём
      Доброго дня. Поймали данный шедевр на компы, подскажите пожалуйста, какие действия предпринимать, куда бежать, куда писать?
       
      Сообщение от модератора thyrex Перенесено из данной темы
    • InnaC
      От InnaC
      Файлы на сервере 1С и он же файловый сервер зашифрованы. Файлы получили расширение Demetro9990@cock.li.
      Можно ли их как-то спасти?
      FRST.txt Addition.txt
    • ligiray
      От ligiray
      Добрый день
       
      Зашифровались файлы, стали с расширением .kasper
       
      И появился файл Readme с текстом:
      kasper Ransmoware
      ATTENTION!
      At the moment, your system is not protected.
      We can fix itand restore files.
      To get started, send a file to decrypt trial.
      You can trust us after opening the test file.
      2.Do not use free programs to unlock.
      To restore the system write to both : kasperskyrans@gmail.com        and      kasperskyrans@outlook.com
      Telegram id:@kasperrecovery
      Your Decryption ID: C3C29BC3926D6E30
       
      Нужна помощь, заранее спасибо
    • Тимур М
      От Тимур М
      Всем привет!

      На компе все файлы зашифровались с окончанием Demetro9990@cock.li 
      Написал письмо - просит 1400 долларов на биткоин кошелек.
       
      Можете как то помочь?
×
×
  • Создать...