-
Похожий контент
-
Автор mkozlenko
Добрый день!
У знакомых проникли на сервер 1С через подбор учетки по RDP.
Файлы (.doc, .xls, .pdf, .jpeg и т.д., а самое важное все базы 1С) зашифрованы. К названию и расширению файла добавлены "!_____GEKSOGEN911@GMAIL.COM____.c300".
Сделала проверку Dr.Web CureIT, Kaspersky Virus Removal Tools и Malwarebytes Anti-Malware. Нашлось 3 трояна, одно подозрение на вирус и еще что-то, в том числе файл, который скорее всего является либо шифратором, либо меткой для вредителей (принтскрин найденного Dr.Web во вложении).
Попробовала все существующие программы по раскодированию.
На этот момент знакомые успели списаться с теми. кто собственно проник (текст письма во вложении).
Аналогичный запрос уже есть на форуме.
Помогите. пожалуйста.
ps попробовала восстановить через qphotorec - восстановилась лишь часть pdf и очень малая часть doc и xls.
Все осложняется тем, что backup(ы) не делались, учетки не контролировались. Касперский стоял, но сейчас он "таинственно" исчез (ключ есть), и когда он "исчез", никто сказать не может (администратор в отпуске и недоступен).
CollectionLog-2016.11.17-13.16.zip
переписка.txt
Пример файла с вирусом.rar
-
Автор vadimvadim
Добрый день, взломали по rdp, два раза ПК блокировался, после входа уже все было зашифровано, антивирус отключен, восстановление файлов отключено, диск на 100 % грузил процесс Stub.exe из папки на рабочем столе 3165CCC2798D9F4D, помимо этого была установлена программа advanced_ip_scaner(в день взлома, до этого не было ее). Что было сделано на панике: процесс Stub.exe прерван, восстановлен антивирус, удалена папка 3165CCC2798D9F4D с рабочего стола, антивирус позже нашел вирус Trojan:Win32/CriptInject в папке C:\Users\user\Pictures\24122024\5-NS new.exe и ещё один Trojan:Win32/Fragtor!AMTB в папках C:\Users\user\Pictures\24122024\3165CCC2798D9F4D\Win32-Release\Stub.exe и C:\Users\user\Pictures\24122024\3165CCC2798D9F4D\x64-Release\Stub.exe , папки 24122024 и 3165CCC2798D9F4D удалены. Полная проверка антивируса(стандартный win10) не дала больше результатов, архивы делались через "Архивация и восстановление"(Windows 7), при открытии папки всё оказалось тоже зашифровано. Во вложении логи анализа системы при помощи Farbar Recovery Scan Tool, два небольших файла зашифрованных, текстовый файл о выкупе который был во всех папках. Пароль virus
Шифровали именно зайдя по RDP, первый раз какая то папка была открыта, второй раз службы - самостоятельно их не открывали), почему так случилось понятно, главный вопрос можно ли расшифровать за вменяемые деньги? Из критичных данных базы 1с и немного файлов ворд/эксель. С шифраторами еще не связывался.
Desktop.zip
-
Автор QQxR
15.03.2026 при загрузке системы начало появляться окно PowerShell.
Мои аккаунты Discord, Steam и Telegram были взломаны, но на данный момент я восстановил к ним доступ. Kaspersky удаляет трояны, но уведомления об угрозах продолжают появляться до сих пор.
(Примечание: русский язык не является моим родным).
Application name: powershell.exe
Application path: C:\Windows\System32\WindowsPowerShell\v1.0
Component: AMSI Protection
Result description: Detected
Type: Trojan
Name: HEUR:Trojan-Downloader.BAT.Agent.gen
Precision: Heuristic analysis
Threat level: High
Object type: File
Object name: amsi_stream_1991
Object path: uid://
MD5 of an object: B3127F27D52B5A4B709C5ABD09B52141
Reason: Expert analysis
Я следую инструкциям, но не очень хорошо читаю по-русски. Посмотрите, пожалуйста, скачал ли я правильную программу?
-
Автор nazarrich
Столкнулся с проблемой что словил походу майнер установил dr.web cureit и он нашёл две угрозы DPC:PowerShell.AVKill.10 NET:MINERS.URL и вылечить он не может пытался как то решить не получается
отчёт.rar
-
Автор tr01
Добрый день
Подскажите, пожалуйста, сможете ли вы помочь в ситуации, если сервер в зломали и упаковали файлы в архив rar?После этого был Backdoor, но вроде бы уже удален антивирусом, восстановить файлы с диска не получается (затерты архивами).
Addition.txt FRST.txt отчет.txt пароль к архиву - копия (72) — копия — копия.txt
-
Рекомендуемые сообщения
Пожалуйста, войдите, чтобы комментировать
Вы сможете оставить комментарий после входа в
Войти