Перейти к содержанию

Рекомендуемые сообщения

Опубликовано

Добрый день.
Поймали сегодня на сервере бухгалтерии неприятность.
Просим помощи в расшифровке.

 

Пострадали локальные файлы сервера и сетевые папки
Во вложении файлы FRST.txt, Addition.txt, 2 зашифрованных файла и файл с требованиями (Read Instructions.txt)

locked.rar

Опубликовано

В этих папках покажите пожалуйста, содержимое:

2024-09-02 04:34 - 2024-09-02 04:55 - 000000000 ____D C:\Users\Администратор.WIN-E8K19VQDGF1\AppData\Roaming\Big Angry Dog
2024-09-02 04:34 - 2024-09-02 04:34 - 000000000 ____D C:\Program Files\Hardwipe

известны вам эти папки?

 

Опубликовано

Нет, данные папки совершенно не знакомы, равно как и данный софт

image.png

image.png

Опубликовано

Заархивируйте данные папки с паролем virus, загрузите на облачный диск и дайте ссылку на скачивание данных архивов в личное сообщение. ЛС.

+ добавьте, пожалуйста, все логи обнаружения угроз из установленного антивируса Касперского.

Опубликовано (изменено)
18 минут назад, safety сказал:

2024-09-02 04:34 - 2024-09-02 04:34 - 000000000 ____D C:\Program Files\Hardwipe

Возможно, это инструмент безопасного удаления файлов.

https://www.securitylab.ru/software/410330.php

вот только кем был установлен и с какой целью, мог быть установлен и злоумышленниками.

Изменено пользователем safety
Опубликовано (изменено)

Архив с файлами отправил в ЛС.
+ ссылку на логи из \Windows\System32\winevt\Logs
(или они в другом месте хранятся?)

 

По софту скорее склонен ко второму варианту. Время создания файлов ночное. Никто не мог из сотрудников быть на сервере. Да еще и под администратором

Изменено пользователем ZiV
уточнение
Опубликовано (изменено)
12 минут назад, ZiV сказал:

По софту скорее склонен ко второму варианту. Время создания файлов ночное. Никто не мог из сотрудников быть на сервере. Да еще и под администраторо

HardWipe  - легальный инструмент для безопасного удаления файлов. Безопасное удаление, здесь скорее всего подразумевается, что восстановить после такого удаления невозможно.

https://www.virustotal.com/gui/file/eeb73374f9fc78ba84863cd3da635a339ca2e6b2d99a2fae4ae76817737b8ee2/details

злоумышленники часто используют подобный легальный софт.

Изменено пользователем safety
Опубликовано
1 минуту назад, safety сказал:

HardWipe  - легальный инструмент для безопасного удаления файлов. Безопасное удаление, здесь скорее всего подразумевается, что восстановить после такого удаления невозможно.

https://www.virustotal.com/gui/file/eeb73374f9fc78ba84863cd3da635a339ca2e6b2d99a2fae4ae76817737b8ee2/details

злоумышленники часто используют подобный легальный софт.

Проще говоря, "денежку не заплатишь - можем все тебе удалить, у нас и софт уже готов" ?

Опубликовано

Может быть и так. Или просто чтобы не было возможности восстановить то, что они зашифровали.

Опубликовано
1 минуту назад, safety сказал:

Может быть и так. Или просто чтобы не было возможности восстановить то, что они зашифровали.

На данный момент есть перспектива расшифровки?

Опубликовано (изменено)

Вчера, 01.09.2024 23:12:19    System Memory    Не обработано    Лечение невозможно    Trojan.Multi.Accesstr.aum    Пропущено    Файл        System Memory    Не обработано    Троянское приложение    Высокая    Точно    NT AUTHORITY\СИСТЕМА    Системный пользователь

 

Тип события: Обнаружен вредоносный объект
Пользователь: NT AUTHORITY\СИСТЕМА (Системный пользователь)
Компонент: Поиск вредоносного ПО
Описание результата: Обнаружено
Тип: Троянское приложение
Название: Trojan.Multi.Accesstr.aum
Степень угрозы: Точно
Точность: Высокая
Тип объекта: Файл
Название объекта: System Memory
Причина: Хеш
Дата выпуска баз: 27.11.2023 0:40:00

-------------------

данная угроза наблюдалась и раньше до момента шифрования.

 

Добавьте дополнительно образ автозапуска системы в uVS.

 

1. Скачать архив программы можно отсюда:

2. Распакуйте данный архив с программой в отдельный каталог и запустите файл Start.exe
(для Vista, W7, W8, W10, W11 запускаем с правами администратора)
3. В стартовом окне программы - нажмите "запустить под текущим пользователем"
(если текущий пользователь с правами администратора).

4. Далее, меню "Файл" / Сохранить Полный образ автозапуска.

5. дождитесь, пока процесс создания файла образа завершится.
Сохраненный файл образа автозапуска (с именем Ваш_компьютер_дата_время.txt) автоматически добавится в архив 7z или rar.
6. Файл архива с образом автозапуска прикрепите к вашему сообщению на форуме. Ждем ответ.

Изменено пользователем safety
Опубликовано
5 минут назад, safety сказал:

Вчера, 01.09.2024 23:12:19    System Memory    Не обработано    Лечение невозможно    Trojan.Multi.Accesstr.aum    Пропущено    Файл        System Memory    Не обработано    Троянское приложение    Высокая    Точно    NT AUTHORITY\СИСТЕМА    Системный пользователь

 

Тип события: Обнаружен вредоносный объект
Пользователь: NT AUTHORITY\СИСТЕМА (Системный пользователь)
Компонент: Поиск вредоносного ПО
Описание результата: Обнаружено
Тип: Троянское приложение
Название: Trojan.Multi.Accesstr.aum
Степень угрозы: Точно
Точность: Высокая
Тип объекта: Файл
Название объекта: System Memory
Причина: Хеш
Дата выпуска баз: 27.11.2023 0:40:00

-------------------

данная угроза наблюдалась и раньше до момента шифрования.

 

Добавьте дополнительно образ автозапуска системы в uVS.

 

1. Скачать архив программы можно отсюда:

2. Распакуйте данный архив с программой в отдельный каталог и запустите файл Start.exe
(для Vista, W7, W8, W10, W11 запускаем с правами администратора)
3. В стартовом окне программы - нажмите "запустить под текущим пользователем"
(если текущий пользователь с правами администратора).

4. Далее, меню "Файл" / Сохранить Полный образ автозапуска.

5. дождитесь, пока процесс создания файла образа завершится.
Сохраненный файл образа автозапуска (с именем Ваш_компьютер_дата_время.txt) автоматически добавится в архив 7z или rar.
6. Файл архива с образом автозапуска прикрепите к вашему сообщению на форуме. Ждем ответ.

 

WIN-E8K19VQDGF1_2024-09-02_13-15-15_v4.99.1v x64.7z

Опубликовано (изменено)

Этот файл заархивируйте с паролем virus, загрузите на облачный диск и дайте ссылку на скачивание в ЛС.

C:\WINDOWS\VSS\WRITERS\APPLICATION\PES.EXE

 

он еще активен, в процессах:

время и  дата запуска: 01:43:26 [2024.09.02]

на VT не был еще проверен.

Изменено пользователем safety
Опубликовано
6 минут назад, safety сказал:

Этот файл заархивируйте с паролем virus, загрузите на облачный диск и дайте ссылку на скачивание в ЛС.

C:\WINDOWS\VSS\WRITERS\APPLICATION\PES.EXE

Отправил в ЛС

Опубликовано

ок, ответил вам.

 

По очистке в uVS

 

Выполните в uVS скрипт из буфера обмена.

ЗАпускаем start,exe от имени Администратора (если не запущен)

текущий пользователь,

Копируем скрипт ниже из браузера в буфер обмена. Закрываем браузер.

В главном меню выбираем "Скрипт - выполнить скрипт из буфера обмена"

Скрипт автоматически очистит систему и завершит работу без перезагрузки.


 

;uVS v4.99.1v x64 [http://dsrt.dyndns.org:8888]
;Target OS: NTv10.0
v400c
OFFSGNSAVE
zoo %SystemRoot%\VSS\WRITERS\APPLICATION\PES.EXE
;---------command-block---------
delall %SystemRoot%\VSS\WRITERS\APPLICATION\PES.EXE
apply

czoo
QUIT

Добавьте файл дата_времяlog.txt из папки откуда запускали uVS

программу:

Hardwipe 5.1.4 (HKLM\...\{F8DDA2D6-F375-440C-B1D5-41479F167758}) (Version: 5.1.4 - Big Angry Dog)

деинсталлируйте через установку/удаление программ.

Гость
Эта тема закрыта для публикации ответов.
  • Похожий контент

    • Vklass
      Автор Vklass
      Зашифровали сервер, пропала недельная работа, прощу помощи  логи FRST в архиве 
      Вирус 2.zip
    • zsvnet
      Автор zsvnet
      obrazec.zipAddition.txtShortcut.txtFRST.txtДобрый день! Зашифровали файлы.
      Скорее всего проникли через RDP. Исходный ПК неработоспособен. Диск подключен к другому ПК и на нем запускали FRST.
    • dmg
      Автор dmg
      FRST.rarДобрый день! Прошу помочь по мере возможности. Все файлы зашифрованы на сервере 1С. 
      Read Instructions.txt
    • zupostal
      Автор zupostal
      Собственно поймали на сервер шифровальщик, не понятно каким макаром
      Файл вируса найти не удалось,, просканирована система kvrt.exe. В ручном режиме была найдена программа hardwipe и была удаленна, все что есть на сервере попало под шифрование, надеюсь на помощь :c
      Почитав предыдущие темы, у меня не было обнаружено  C:\WINDOWS\VSS\WRITERS\APPLICATION\PES.EXE, папка есть, файла нет
      Addition.txt FRST.txt Read Instructions.txt Новая папка.7z
    • KOte
      Автор KOte
      Поймали шифровальщик. вымогатель юлит, не дает гарантии что все будет восстановлено. Собрал все файлы открыл тему.
      Addition.txt FRST.txt Read Instructions.txt virus.rar
×
×
  • Создать...