Перейти к содержанию

Зашифровали сервер через рдп. Obsidiancpt


Рекомендуемые сообщения

Под утро проломились на РДП. Всё зашифровали :(
exe и dll не трогали

определить тип шифровальщика пока не получилось

на рабочем столе обнаружились 2 папки. Одна из них видимо с самим шифровальщиком и парой вирусов (кейлоггеры и отключалка антивируса) и вторая mimikatz.

Что то можно сделать для расшифровки?

Addition.txt files.zip FRST.txt

Ссылка на комментарий
Поделиться на другие сайты

Примите к сведению - после выполнения скрипта (возможно) все открытые вкладки браузеров будут закрыты, произойдет выход из аккаунтов, временные файлы, корзина, история браузеров, куки и кэш будут очищены.

  • Скачайте FRST отсюда
  • Отключите до перезагрузки антивирус.
  • Выделите следующий код:
     
    Start::
    SystemRestore: On
    CreateRestorePoint:
    Task: {B6246467-BDC4-484F-935E-34B962F02F81} - System32\Tasks\{830DFC57-0F0F-4120-8FC2-B0FF8FCCCA54} => D:\TEMP\0\R7701001\DISK1\setup.exe  (Нет файла) <==== ВНИМАНИЕ
    Task: {479A14F6-65F3-476C-9EDB-AFC4EB08539F} - System32\Tasks\{DEDC2A89-C271-465B-B129-8D2D651354BB} => D:\TEMP\0\R7701001\DISK1\setup.exe  (Нет файла) <==== ВНИМАНИЕ
    End::


     

  • Скопируйте выделенный текст (правой кнопкой - Копировать).

  • Запустите FRST (FRST64) от имени администратора.

  • Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.


 

3 часа назад, Mihel сказал:

Что то можно сделать для расшифровки?

Заводите тикет в Kaspersky Company Account, если есть коммерческая лицензия. 

Ссылка на комментарий
Поделиться на другие сайты

3 часа назад, mike 1 сказал:

Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

прикладываю

Fixlog.txt

Ссылка на комментарий
Поделиться на другие сайты

Этот файл

2024-07-02 05:00 - 2024-06-19 00:52 - 000123392 _____ () C:\Users\Администратор\Desktop\ObsidianCpt.exe

+

Цитата

на рабочем столе обнаружились 2 папки. Одна из них видимо с самим шифровальщиком и парой вирусов (кейлоггеры и отключалка антивируса) и вторая mimikatz.

 

папки с данными файлами добавьте в архив с паролем virus, загрузите на облачный диск, и дайте ссылку на скачивание в ЛС.

 

Изменено пользователем safety
Ссылка на комментарий
Поделиться на другие сайты

9 часов назад, safety сказал:

папки с данными файлами добавьте в архив с паролем virus, загрузите на облачный диск, и дайте ссылку на скачивание в ЛС.

отправлено.

Ссылка на комментарий
Поделиться на другие сайты

1 час назад, Mihel сказал:

отправлено.

Сэмпл шифровальщика:

https://www.virustotal.com/gui/file/de3b062eaac5f36141183046d83cef2cf77196489a37dfeb9061c86b4471441c?nocache=1

второй вариант шифрования *.NeonGPT

https://www.virustotal.com/gui/file/f53ac28e9b0ec8535333795ab9e0e52b17a77ad5eabc7b5172bd7e7aac41df12/behavior

остальное: вспомогательные инструменты

Ссылка на комментарий
Поделиться на другие сайты

Дополнительно, по очистке системы в FRST:

 

Выполните скрипт очистки в FRST

Запускаем FRST.exe от имени Администратора (если не запущен)

Копируем скрипт из браузера в буфер обмена, браузер закрываем.

Ждем, когда будет готов к работе,

Нажимаем в FRST кнопку "исправить".

Скрипт автоматически очистит систему, и завершит работу без перезагрузки

 

Start::
HKLM\SOFTWARE\Microsoft\Windows Defender: [DisableAntiSpyware] Ограничение <==== ВНИМАНИЕ
2024-07-02 05:00 - 2024-07-02 10:25 - 000000000 ____D C:\Users\Администратор\Desktop\RAN0
2024-07-02 05:00 - 2024-06-19 00:52 - 000123392 _____ () C:\Users\Администратор\Desktop\ObsidianCpt.exe
2024-07-02 04:11 - 2024-07-02 05:57 - 000000000 ____D C:\Users\Администратор\Desktop\x64
2024-07-02 05:12 - 2024-07-02 05:12 - 000001954 _____ C:\Users\Администратор\Desktop\Readme-1HCK49GItQ.txt
2024-07-02 05:12 - 2024-07-02 05:12 - 000001954 _____ C:\Readme-1HCK49GItQ.txt
2024-07-02 05:11 - 2024-07-02 05:11 - 000001954 _____ C:\Users\Администратор\Desktop\Readme-sWmr9D4hFH.txt
2024-07-02 05:11 - 2024-07-02 05:11 - 000001954 _____ C:\Readme-sWmr9D4hFH.txt
2024-07-02 05:10 - 2024-07-02 05:10 - 000001954 _____ C:\Users\Администратор\Desktop\Readme.txt
2024-07-02 05:10 - 2024-07-02 05:10 - 000001954 _____ C:\Readme.txt
2024-07-02 05:09 - 2024-07-02 05:09 - 000000000 ___HD C:\LockBIT
Task: {83A3A19D-B8A3-4AC3-9EA0-BE52DBB5988C} - System32\Tasks\RunDeleteFilesAsSystem => C:\Users\Администратор\Desktop\RAN\RA\Anti-recovery.exe  deleteFiles (Нет файла)
End::

Добавьте файл Fixlog.txt из папки, откуда запускали FRST, в ваше сообщение.

Папку C:\FRST\Quarantine добавьте в архив с паролем virus, архив загрузите на облачный диск и дайте ссылку на скачивание архива в ЛС.

+

проверьте ЛС

Ссылка на комментарий
Поделиться на другие сайты

1 час назад, safety сказал:

Добавьте файл Fixlog.txt из папки, откуда запускали FRST, в ваше сообщение.

 

1 час назад, safety сказал:

Папку C:\FRST\Quarantine добавьте в архив с паролем virus, архив загрузите на облачный диск и дайте ссылку на скачивание архива в ЛС.

отправил

Fixlog.txt

Ссылка на комментарий
Поделиться на другие сайты

С расшифровкой файлов по данному типу шифровальщика, к сожалению, не сможем помочь. Сохраните важные зашифрованные документы на отдельный носитель, возможно в будущем расшифровка станет возможной.

Изменено пользователем safety
Ссылка на комментарий
Поделиться на другие сайты

  • safety закрыл тема
Гость
Эта тема закрыта для публикации ответов.
  • Похожий контент

    • whoamis
      От whoamis
      Добрый день зашифровало сервер, предположительно кто-то скачал картинку на сервере и открыл.
      Addition.txt FRST.txt 11.rar
    • jserov96
      От jserov96
      Шифровальщик запустился скорее всего из планировщика заданий ровно в 21:00 16 ноября в субботу.  Время указано на основе найденных зашифрованных файлов. Шифровальщик нашел все скрытые диски, подключил все бекапы, зашифровал все содержимое .vhd бекапов, и сами бекапы тоже зашифровал. Сервер отключен, диск с бекапами снят, зашифрованные .vhd файлы перенесены на другой диск, чтобы попробовать вытащить файлы. Шифровальщик шифрует первый 20000h байт файла и дописывает 300h байт в огромные файлы, видимо сделано для ускорения шифрования всего диска. Особенность: выполняемые файлы не шифруются!
      vx2.rar
    • sduganov
      От sduganov
      Добрый день!
      поймали шифровальщика.. не смогли запустить 1с они еще и на sql
      Addition.txt FRST.txt файлызашиф.rar
    • lex-xel
      От lex-xel
      Добрый день!
      Аналогичная ситуация  сервер подвергся взлому, база данных заархивирована с шифрованием.
      Антивирус снесли, хоть он был под паролем.
      Подскажите есть способ как то исправить ситуацию, расшифровать базу данных?
       
      Do you really want to restore your files?
      Write to email: a38261062@gmail.com
       
      Сообщение от модератора Mark D. Pearlstone перемещено из темы.
         
    • LeraB
      От LeraB
      Приветствую.
      Поймали шифровальщика, который работает до сих.
      Ничего не переустанавливали и не трогали, проверяем только доступность компьютеров, их работу и ищем, где он еще может работать. Если понятно, что шифровальщик еще где-то работает, то отключаем этот сервер/компьютер.
      Все, что можно спасти, копируем.
      Пострадала почти вся сеть, не только лок.пк и сервера, но и NAS (именно smb)
      Шифровальщик затронул большинство нужных файлов, но не все.
      Логи собрали с одного сервера, примеры файлов с него же.
      Файл шифровальщика пока найти не удалось, как и выяснить все остальное, кроме того, как оно работает с ночи примерно с 00:00 12.12.2024
      FRST.txt Addition.txt архив.zip
×
×
  • Создать...