Перейти к содержанию

Зашифровали виртуализацию и все файлы


Рекомендуемые сообщения

В правилах не сказало устанавливать пароль на архив с логами. Какой пароль?

 

В правилах сказано прислать примеры зашифрованных файлов и сообщение вымогателей для связи с ними. Приступайте.

Ссылка на комментарий
Поделиться на другие сайты

1. Файл

2024-07-22 00:27 - 2024-07-21 22:34 - 000145408 _____ () C:\ProgramData\ds.exe

заархивируйте с паролем virus, загрузите на облачный диск, и дайте ссылку на скачивание в ЛС.

 

С большой вероятностью файлы зашифрованы Lockbit v3 Black

 

Возможна атака выполняется через политики с контроллера домена.

Пока DC не очищены, лучше не включать ПК(которые возможно еще не заражены), которые авторизуются в домене при загрузке системы.

------------

 

 

Изменено пользователем safety
Ссылка на комментарий
Поделиться на другие сайты

по очистке текущей системы:

 

Выполните скрипт очистки в FRST

Запускаем FRST.exe от имени Администратора (если не запущен)

Копируем скрипт из браузера в буфер обмена, браузер закрываем.

Ждем, когда будет готов к работе,

Нажимаем в FRST кнопку "исправить".

Скрипт очистит систему, и перезагрузит ее

 

Start::
(cmd.exe ->) () [Файл не подписан] C:\ProgramData\ds.exe <2>
2024-07-22 00:27 - 2024-07-21 22:34 - 000145408 _____ C:\ProgramData\ds.exe
2024-07-22 00:27 - 2024-07-21 22:34 - 000145408 _____ () C:\ProgramData\ds.exe
Policies: C:\ProgramData\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
HKU\S-1-5-21-4270648735-1747256919-4016143198-1990\SOFTWARE\Policies\Google: Ограничение <==== ВНИМАНИЕ
Task: {F7EFA5C9-3058-4B8A-A522-59FF8E658425} - System32\Tasks\1 => C:\Windows\system32\WindowsPowerShell\v1.0\POWERSHELL.EXE [448000 2018-09-15] (Microsoft Windows -> Microsoft Corporation) -> Copy-Item "\\int.***.ru\netlogon\ds.exe" -Destination "C:\ProgramData"
Task: {340A36F1-1432-4C5E-9EB7-1F0353749E93} - System32\Tasks\2 => C:\Windows\system32\cmd.exe [278528 2021-01-09] (Microsoft Windows -> Microsoft Corporation) -> /c c:\programdata\ds.exe -pass 7d3f3fde525328ab6a96ec7bdf604b87
Task: {6D7B213E-EE64-4BBC-8DE2-6BA123777231} - System32\Tasks\3 => C:\Windows\system32\cmd.exe [278528 2021-01-09] (Microsoft Windows -> Microsoft Corporation) -> /c \\int.***.ru\netlogon\ds.exe -pass 7d3f3fde525328ab6a96ec7bdf604b87
2024-07-22 00:32 - 2024-07-22 00:32 - 000020266 __RSH C:\ProgramData\ntuser.pol
2024-07-22 00:32 - 2024-07-22 00:32 - 000003544 _____ C:\Windows\system32\Tasks\3
2024-07-22 00:32 - 2024-07-22 00:32 - 000003518 _____ C:\Windows\system32\Tasks\2
2024-07-25 23:24 - 2024-07-25 23:24 - 000003782 _____ C:\Windows\system32\Tasks\1
2024-07-22 00:46 - 2024-07-22 00:46 - 000000972 _____ C:\Users\Администратор\kh9ll6Cxy.README.txt
End::

После перезагрузки системы:

Добавьте файл Fixlog.txt из папки, откуда запускали FRST, в ваше сообщение.

Папку C:\FRST\Quarantine заархивируйте с паролем virus, загрузите на облачный диск, и дайте ссылку на скачивание в ЛС.

+

добавьте новые логи FRST для контроля.

=

Изменено пользователем safety
Ссылка на комментарий
Поделиться на другие сайты

скрипт выполнился успешно, в новом логе FRST сэмпла шифровальщика и задач запуска нет.

(Но файл FRST.txt в архиве усечен, нет первой половины лога.)

Ждем архив с карантином после выполнения скрипта FRST

Цитата

Папку C:\FRST\Quarantine заархивируйте с паролем virus, загрузите на облачный диск, и дайте ссылку на скачивание в ЛС.

 

Изменено пользователем safety
Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
  • Похожий контент

    • ALFGreat
      От ALFGreat
      Добрый день! Сегодня обнаружилось, что зашифрован сервер. Открылся файл, мол пишите на адрес a38261062@gmail.com 
      Какой порядок действий? Возможно ли как то восстановить? Как узнать под какой учеткой был запущен шифровальщик?
    • Шаманов_Артём
      От Шаманов_Артём
      Доброго дня. Поймали данный шедевр на компы, подскажите пожалуйста, какие действия предпринимать, куда бежать, куда писать?
       
      Сообщение от модератора thyrex Перенесено из данной темы
    • InnaC
      От InnaC
      Файлы на сервере 1С и он же файловый сервер зашифрованы. Файлы получили расширение Demetro9990@cock.li.
      Можно ли их как-то спасти?
      FRST.txt Addition.txt
    • ligiray
      От ligiray
      Добрый день
       
      Зашифровались файлы, стали с расширением .kasper
       
      И появился файл Readme с текстом:
      kasper Ransmoware
      ATTENTION!
      At the moment, your system is not protected.
      We can fix itand restore files.
      To get started, send a file to decrypt trial.
      You can trust us after opening the test file.
      2.Do not use free programs to unlock.
      To restore the system write to both : kasperskyrans@gmail.com        and      kasperskyrans@outlook.com
      Telegram id:@kasperrecovery
      Your Decryption ID: C3C29BC3926D6E30
       
      Нужна помощь, заранее спасибо
    • Тимур М
      От Тимур М
      Всем привет!

      На компе все файлы зашифровались с окончанием Demetro9990@cock.li 
      Написал письмо - просит 1400 долларов на биткоин кошелек.
       
      Можете как то помочь?
×
×
  • Создать...