Перейти к содержанию

Рекомендуемые сообщения

Здравствуйте. Ночью зашифровали данные на сервере, все файлы, в т.ч. 1С, расширение *WORM

Записку от вымогателей прилагаю. Сервер был сразу отключен от сети.  Подскажите есть ли смысл проводить проверку антивирусником? И есть ли возможность расшифровать данные?

 

 

decryption_info.jpeg

Ссылка на сообщение
Поделиться на другие сайты

Если уже выполнили антивирусную проверку системы,

можете предоставить логи сканирования антивирусной программой: штатным антивирусом, утилитами KVRT или Cureit?

Ссылка на сообщение
Поделиться на другие сайты

Сделайте проверку одной из утилит, лучше в KVRT, загрузите после завершения лог сканирования.

(Если это MIMIC Ransomware, что следует из записки о выкупе), расшифровать файлы без приватного ключа будет невозможно.)

Изменено пользователем safety
Ссылка на сообщение
Поделиться на другие сайты

А в ближайшем будущем тоже не будет варианта расшифровать данные без ключа? просто очень много обращений с данным шифром.

Ссылка на сообщение
Поделиться на другие сайты

Mimic Ransomware активен уже в течение полутора лет. ЗА это время не было ни одного известного случая расшифовки файлов дешифраторами, созданными вирлабами.

 

Пока что единственным решением может быть принятие мер безопасности, против новых атак шифровальщиков.

 

Quote

1. создание бэкапов данных на отдельном устройстве, которое не должно быть постоянно доступным;
2. установка актуальных обновлений для операционной системы;
3. установка надежной актуальной антивирусной защиты с регулярным обновлением антивирусных баз;
4. установка надежных паролей для аккаунтов из группы RDP;
5. настройка нестандартного порта (вместо стандартного 3389) для сервиса RDP;
6. настройки безопасности, которые защищают пароль к аккаунту от удаленного брутфорсинга
7. если есть такая возможность, настройте двухфакторную аутентификацию для доступа к рабочему столу
8. доступ к рабочему столу из внешней сети (если необходим для работы), либо через VPN подключение, либо только с доверенных IP (белый лист);

 

Изменено пользователем safety
Ссылка на сообщение
Поделиться на другие сайты

Это может произойти если:

- злоумышленники будут пойманы правоохранительными органами, их серверы будут изъяты и ключи окажутся у антивирусных компаний,

- злоумышленники сами прекратят свою деятельность и выдадут ключи в общий доступ.

 

И то и другое случается, но, к сожалению, крайне редко.

Ссылка на сообщение
Поделиться на другие сайты

По очистке системы:

 

Выполните скрипт очистки в FRST

Запускаем FRST.exe от имени Администратора (если не запущен)

Копируем скрипт из браузера в буфер обмена, браузер закрываем.

Ждем, когда будет готов к работе,

Нажимаем в FRST кнопку "исправить".

Скрипт автоматически очистит систему, и завершит работу без перезагрузки.

 

Start::
HKLM\...\Run: [TNOD UP] => "C:\Program Files (x86)\TNod\TNODUP.exe" /i (Нет файла)
HKLM\...\Run: [HORSE.exe] => C:\Users\ftp#\AppData\Local\DECRYPTION_INFO.txt [1054 2024-05-27] () [Файл не подписан]
HKLM\...\Policies\system: [legalnoticetext] Hello my dear friend (Do not scan the files with antivirus in any case. In case of data loss, the consequences
IFEO\CompatTelRunner.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\logoff.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\perfmon.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\SearchApp.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\SearchIndexer.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\SearchProtocolHost.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\shutdown.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\taskkill.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\tasklist.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\taskmgr.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\wsqmcons.exe: [Debugger] C:\Windows\System32\Systray.exe
GroupPolicy: Ограничение ? <==== ВНИМАНИЕ
Policies: C:\ProgramData\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
Policies: C:\Users\buhgalter\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
Policies: C:\Users\manager\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
Policies: C:\Users\MKT1004\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
Policies: C:\Users\opt\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
Policies: C:\Users\Администратор\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
2024-05-27 02:05 - 2024-05-27 02:05 - 000001054 _____ C:\Users\ftp#\Desktop\DECRYPTION_INFO.txt
2024-05-26 23:40 - 2024-05-27 02:05 - 000000000 ____D C:\Users\ftp#\AppData\Roaming\Process Hacker 2
2024-05-26 23:39 - 2024-05-27 02:05 - 000001054 _____ C:\Users\ftp#\AppData\Local\DECRYPTION_INFO.txt
2024-05-26 23:39 - 2024-05-27 02:05 - 000001054 _____ C:\DECRYPTION_INFO.txt
2024-05-26 23:39 - 2024-05-27 02:05 - 000000476 _____ C:\Users\ftp#\advanced_ip_scanner_MAC.bin.WORM
2024-05-26 23:39 - 2024-05-27 02:05 - 000000097 _____ C:\Users\ftp#\advanced_ip_scanner_Comments.bin.WORM
2024-05-26 23:39 - 2024-05-27 02:05 - 000000097 _____ C:\Users\ftp#\advanced_ip_scanner_Aliases.bin.WORM
2024-05-26 23:37 - 2024-05-26 23:54 - 000000000 ____D C:\Program Files\Process Hacker 2
2021-09-08 05:45 - 2024-05-27 02:05 - 000000000 __SHD C:\Users\ftp#\AppData\Local\9A64852D-CC46-0058-BE45-4BBFA1484AC9
2019-05-23 12:38 - 2024-05-26 23:53 - 000000570 _____ C:\Users\buh\advanced_ip_scanner_MAC.bin.WORM
2019-05-23 12:38 - 2024-05-26 23:53 - 000000097 _____ C:\Users\buh\advanced_ip_scanner_Comments.bin.WORM
2019-05-23 12:38 - 2024-05-26 23:53 - 000000097 _____ C:\Users\buh\advanced_ip_scanner_Aliases.bin.WORM
2019-04-05 13:04 - 2024-05-26 23:52 - 000000902 _____ C:\Users\Администратор\advanced_ip_scanner_MAC.bin.WORM
2019-04-05 13:04 - 2024-05-26 23:52 - 000000097 _____ C:\Users\Администратор\advanced_ip_scanner_Comments.bin.WORM
2019-04-05 13:04 - 2024-05-26 23:52 - 000000097 _____ C:\Users\Администратор\advanced_ip_scanner_Aliases.bin.WORM
2019-04-05 12:57 - 2024-05-26 23:53 - 000000000 ____D C:\Program Files (x86)\Advanced IP Scanner
2019-04-05 12:57 - 2019-04-05 12:57 - 000001007 _____ C:\Users\Public\Desktop\Advanced IP Scanner.lnk
2019-04-05 12:57 - 2019-04-05 12:57 - 000000000 ____D C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Advanced IP Scanner v2
2019-04-05 12:56 - 2024-05-26 23:53 - 020385202 _____ C:\Users\Администратор\Downloads\Advanced_IP_Scanner_2.5.3850.exe.WORM
End::

Добавьте файл Fixlog.txt из папки, откуда запускали FRST, в ваше сообщение.

Папку C:\FRST\Quarantine добавьте в архив с паролем virus, архив загрузите на облачный диск и дайте ссылку на скачивание архива в ЛС.

Ссылка на сообщение
Поделиться на другие сайты

Присоединяйтесь к обсуждению

Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.

Гость
Ответить в этой теме...

×   Вставлено с форматированием.   Вставить как обычный текст

  Разрешено использовать не более 75 эмодзи.

×   Ваша ссылка была автоматически встроена.   Отображать как обычную ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставлять изображения напрямую. Загружайте или вставляйте изображения по ссылке.

  • Похожий контент

    • Ivan_f
      От Ivan_f
      Два ПК с данными обработаны шифровальщиками. 
      Письмо с вымоганием денег лежало в корневых папках. Прилагаю к запросу этот файл Instruction.txt
      Готов оплатить услуги по дешифрованию. Нашел очень похожую активность - https://virusinfo.info/showthread.php?t=227896
      Заранее благодарю. 
    • Александр Евгеньеви
      От Александр Евгеньеви
      Здравствуйте. Поймал вирус 7dyedhqu59c, установлен Касперский small office security.  Он увидел аирус попросил перезагрузить комп. После выполнил полную проверку, но файлы продолжают шифроваться. Помогите.
       
      Сообщение от модератора Mark D. Pearlstone перемещено из темы.
    • СергейБ.
      От СергейБ.
      Здравствуйте.
      Компьютер ночью был включен.
      Утром обнаружилось предупреждение о заражение и шифровании файлов. 
      В конце каждого файла добавилось 7dyedhqu59c
      Можете ли чем-нибудь помочь?
      Спасибо.
      FRST.txt Addition.txt files.zip
    • Николай Щипунов
      От Николай Щипунов
      Добрый день!
       
      Компьютер пользователя атакован вирусом-шифровальщиком. Предположительный канал проникновения - доступ к удаленному рабочему столу через протокол RDP.
      Образцы файлов и записка вымогателей находятся в файле samples.zip. Незашифрованные версии файлов имеются и могут быть предоставлены по запросу.
      Сам файл шифровальщика найден и может быть предоставлен дополнительно по запросу.
       
      Операционная система  была переустановлена. Farbar Recovery Scan Tool запускалась в чистой среде.
      samples.zip Addition.txt FRST.txt
    • Сергей_00
      От Сергей_00
      Добрый день!
      Сегодня шифровальщик зашифровал большую часть нужных файлов, благо выключили компьютер из розетки...
      В результате остались файлы в папке запуска подозрительного файла   svhostss.exe, а именно в папке c:\users\пользователь\BD3FDDDF-6CAF-3EBC-D9CF-C8DF72D8F78A\svhostss.exe
      следующие файлы:
      Everything.db
      Everything32.dll
      Everything64.dll
      session.tmp
      svhostss.exe
       
      быть может есть возможность дешифровать данные? 
×
×
  • Создать...

Важная информация

Мы разместили cookie-файлы на ваше устройство, чтобы помочь сделать этот сайт лучше. Вы можете изменить свои настройки cookie-файлов, или продолжить без изменения настроек.