Перейти к содержанию

Зашифровали сервер через рдп. Obsidiancpt

Mihel
 Share

Рекомендуемые сообщения

Mihel Новичок

Mihel

Опубликовано
Опубликовано

Под утро проломились на РДП. Всё зашифровали :(
exe и dll не трогали

определить тип шифровальщика пока не получилось

на рабочем столе обнаружились 2 папки. Одна из них видимо с самим шифровальщиком и парой вирусов (кейлоггеры и отключалка антивируса) и вторая mimikatz.

Что то можно сделать для расшифровки?

Addition.txt files.zip FRST.txt

Ссылка на комментарий
Поделиться на другие сайты
mike 1 Мудрец

mike 1

Опубликовано
Опубликовано

Примите к сведению - после выполнения скрипта (возможно) все открытые вкладки браузеров будут закрыты, произойдет выход из аккаунтов, временные файлы, корзина, история браузеров, куки и кэш будут очищены.

  • Скачайте FRST отсюда
  • Отключите до перезагрузки антивирус.
  • Выделите следующий код:
      
    Start::
SystemRestore: On
CreateRestorePoint:
Task: {B6246467-BDC4-484F-935E-34B962F02F81} - System32\Tasks\{830DFC57-0F0F-4120-8FC2-B0FF8FCCCA54} => D:\TEMP\0\R7701001\DISK1\setup.exe  (Нет файла) <==== ВНИМАНИЕ
Task: {479A14F6-65F3-476C-9EDB-AFC4EB08539F} - System32\Tasks\{DEDC2A89-C271-465B-B129-8D2D651354BB} => D:\TEMP\0\R7701001\DISK1\setup.exe  (Нет файла) <==== ВНИМАНИЕ
End::


     

  • Скопируйте выделенный текст (правой кнопкой - Копировать).

  • Запустите FRST (FRST64) от имени администратора.

  • Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.


 

3 часа назад, Mihel сказал:

Что то можно сделать для расшифровки?

Заводите тикет в Kaspersky Company Account, если есть коммерческая лицензия. 

Ссылка на комментарий
Поделиться на другие сайты
Mihel Новичок

Mihel

Опубликовано
  • Автор
Опубликовано
3 часа назад, mike 1 сказал:

Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

прикладываю

Fixlog.txt

Ссылка на комментарий
Поделиться на другие сайты
safety Ветеран

safety

Опубликовано
Опубликовано (изменено)

Этот файл

2024-07-02 05:00 - 2024-06-19 00:52 - 000123392 _____ () C:\Users\Администратор\Desktop\ObsidianCpt.exe

+

Цитата

на рабочем столе обнаружились 2 папки. Одна из них видимо с самим шифровальщиком и парой вирусов (кейлоггеры и отключалка антивируса) и вторая mimikatz.

 

папки с данными файлами добавьте в архив с паролем virus, загрузите на облачный диск, и дайте ссылку на скачивание в ЛС.

 

Изменено пользователем safety
Ссылка на комментарий
Поделиться на другие сайты
Mihel Новичок

Mihel

Опубликовано
  • Автор
Опубликовано
9 часов назад, safety сказал:

папки с данными файлами добавьте в архив с паролем virus, загрузите на облачный диск, и дайте ссылку на скачивание в ЛС.

отправлено.

Ссылка на комментарий
Поделиться на другие сайты
safety Ветеран

safety

Опубликовано
Опубликовано
1 час назад, Mihel сказал:

отправлено.

Сэмпл шифровальщика:

https://www.virustotal.com/gui/file/de3b062eaac5f36141183046d83cef2cf77196489a37dfeb9061c86b4471441c?nocache=1

второй вариант шифрования *.NeonGPT

https://www.virustotal.com/gui/file/f53ac28e9b0ec8535333795ab9e0e52b17a77ad5eabc7b5172bd7e7aac41df12/behavior

остальное: вспомогательные инструменты

Ссылка на комментарий
Поделиться на другие сайты
safety Ветеран

safety

Опубликовано
Опубликовано

Дополнительно, по очистке системы в FRST:

 

Выполните скрипт очистки в FRST

Запускаем FRST.exe от имени Администратора (если не запущен)

Копируем скрипт из браузера в буфер обмена, браузер закрываем.

Ждем, когда будет готов к работе,

Нажимаем в FRST кнопку "исправить".

Скрипт автоматически очистит систему, и завершит работу без перезагрузки

  

Start::
HKLM\SOFTWARE\Microsoft\Windows Defender: [DisableAntiSpyware] Ограничение <==== ВНИМАНИЕ
2024-07-02 05:00 - 2024-07-02 10:25 - 000000000 ____D C:\Users\Администратор\Desktop\RAN0
2024-07-02 05:00 - 2024-06-19 00:52 - 000123392 _____ () C:\Users\Администратор\Desktop\ObsidianCpt.exe
2024-07-02 04:11 - 2024-07-02 05:57 - 000000000 ____D C:\Users\Администратор\Desktop\x64
2024-07-02 05:12 - 2024-07-02 05:12 - 000001954 _____ C:\Users\Администратор\Desktop\Readme-1HCK49GItQ.txt
2024-07-02 05:12 - 2024-07-02 05:12 - 000001954 _____ C:\Readme-1HCK49GItQ.txt
2024-07-02 05:11 - 2024-07-02 05:11 - 000001954 _____ C:\Users\Администратор\Desktop\Readme-sWmr9D4hFH.txt
2024-07-02 05:11 - 2024-07-02 05:11 - 000001954 _____ C:\Readme-sWmr9D4hFH.txt
2024-07-02 05:10 - 2024-07-02 05:10 - 000001954 _____ C:\Users\Администратор\Desktop\Readme.txt
2024-07-02 05:10 - 2024-07-02 05:10 - 000001954 _____ C:\Readme.txt
2024-07-02 05:09 - 2024-07-02 05:09 - 000000000 ___HD C:\LockBIT
Task: {83A3A19D-B8A3-4AC3-9EA0-BE52DBB5988C} - System32\Tasks\RunDeleteFilesAsSystem => C:\Users\Администратор\Desktop\RAN\RA\Anti-recovery.exe  deleteFiles (Нет файла)
End::

Добавьте файл Fixlog.txt из папки, откуда запускали FRST, в ваше сообщение.

Папку C:\FRST\Quarantine добавьте в архив с паролем virus, архив загрузите на облачный диск и дайте ссылку на скачивание архива в ЛС.

+

проверьте ЛС

Ссылка на комментарий
Поделиться на другие сайты
Mihel Новичок

Mihel

Опубликовано
  • Автор
Опубликовано
1 час назад, safety сказал:

Добавьте файл Fixlog.txt из папки, откуда запускали FRST, в ваше сообщение.

 

1 час назад, safety сказал:

Папку C:\FRST\Quarantine добавьте в архив с паролем virus, архив загрузите на облачный диск и дайте ссылку на скачивание архива в ЛС.

отправил

Fixlog.txt

Ссылка на комментарий
Поделиться на другие сайты
safety Ветеран

safety

Опубликовано
Опубликовано (изменено)

С расшифровкой файлов по данному типу шифровальщика, к сожалению, не сможем помочь. Сохраните важные зашифрованные документы на отдельный носитель, возможно в будущем расшифровка станет возможной.

Изменено пользователем safety
Ссылка на комментарий
Поделиться на другие сайты
  • safety закрыл тема
Гость
Эта тема закрыта для публикации ответов.
 Share
Перейти к списку тем

  • Похожий контент

    • whoamis
      Зашифровало сервер сегодня
      От whoamis
      Добрый день зашифровало сервер, предположительно кто-то скачал картинку на сервере и открыл.
      Addition.txt FRST.txt 11.rar
    • sduganov
      зашифровали сервер 1С
      От sduganov
      Добрый день!
      поймали шифровальщика.. не смогли запустить 1с они еще и на sql
      Addition.txt FRST.txt файлызашиф.rar
    • jserov96
      Зашифровали сервер файлами с расширением .vx2
      От jserov96
      Шифровальщик запустился скорее всего из планировщика заданий ровно в 21:00 16 ноября в субботу.  Время указано на основе найденных зашифрованных файлов. Шифровальщик нашел все скрытые диски, подключил все бекапы, зашифровал все содержимое .vhd бекапов, и сами бекапы тоже зашифровал. Сервер отключен, диск с бекапами снят, зашифрованные .vhd файлы перенесены на другой диск, чтобы попробовать вытащить файлы. Шифровальщик шифрует первый 20000h байт файла и дописывает 300h байт в огромные файлы, видимо сделано для ускорения шифрования всего диска. Особенность: выполняемые файлы не шифруются!
      vx2.rar
    • website9527633
      Переобращение агента на сервер KSC
      От website9527633
      Добрый день! Возник вопрос при обращении агентов удаленно посредством запуска скрипта на рабочих станциях, вопрос: как в Агенте администрирования 15 на рабочих станциях, в скрипте указать пароль от удаления Агента администрирования?
      К примеру у меня скрипт отрабатывал таким образом, но в случае версии Агента администрирования 15, он запрашивает дополнительно пароль от удаления
      @echo off
      start "" "C:\Program Files (x86)\Kaspersky Lab\NetworkAgent\klmover.exe" -address 192.168.1.1 -silent
    • Denissav
      Зашифровали файлы на сервере
      От Denissav
      Подключились к серверу 30.07 в 4 часа примерно и зашифровали файлы.  Файлы получили расширение .yLizaQzKX . Самое обидное что накопитель с архивом был на этом же сервере.
      file.zip report.zip
×
×
  • Создать...