Перейти к содержанию

Шифровальщик datastore@cyberfear

Jermixter
 Share Подписчики 2

Рекомендуемые сообщения

Jermixter

Jermixter 0

Опубликовано
Опубликовано

Поймали вирус, когда открыли порт 3389, для удаленного подключения к компьютеру.  Сообщений никаких не выходило. Через время многие файлы стали зашифрованы. После обнаружения была произведена проверка и обнаружение утилитой Kaspersky Virus Removal Tool. Прошу помочь в расшифровке файлов.

Addition.txt FRST.txt зашифрованные файлы.rar файл с требованиями.rar файлы до шифрования.rar

Ссылка на сообщение
Поделиться на другие сайты
Sandor

Sandor 1 285

Опубликовано
Опубликовано

Здравствуйте!

 

Дополнительно, пожалуйста, папку

Цитата

C:\KVRT2020_Data\Reports

упакуйте в архив и прикрепите к следующему сообщению.

Ссылка на сообщение
Поделиться на другие сайты
Jermixter

Jermixter 0

Опубликовано
  • Автор
Опубликовано
29 минут назад, Sandor сказал:

Здравствуйте!

 

Дополнительно, пожалуйста, папку

упакуйте в архив и прикрепите к следующему сообщению.

Файл отчетов C:\KVRT2020_Data\Reports

Reports.rar

Ссылка на сообщение
Поделиться на другие сайты
safety

safety 123

Опубликовано
Опубликовано (изменено)
3 часа назад, Jermixter сказал:

После обнаружения была произведена проверка и обнаружение утилитой Kaspersky Virus Removal Tool. Прошу помочь в расшифровке файлов.

Object="D:\DISTR\backups\ortaserv\PUBLIC\base_db_1c\1C_Bases_v8_01082019\1cv82\8.2.13.219\bin\1cv8.exe" Info="Virus.Win32.Neshta.a" />

Исполняемые файлы были заражены Neshta.

П этой причине лучше пролечить систему из под загрузочного диска KRD

После лечения собрать новые логи FRST.

Прежний FRST удалите, возможно тоже был заражен. Скачайте заново по ссылке FRST.

Изменено пользователем safety
Ссылка на сообщение
Поделиться на другие сайты
Jermixter

Jermixter 0

Опубликовано
  • Автор
Опубликовано
25 минут назад, safety сказал:

Object="D:\DISTR\backups\ortaserv\PUBLIC\base_db_1c\1C_Bases_v8_01082019\1cv82\8.2.13.219\bin\1cv8.exe" Info="Virus.Win32.Neshta.a" />

Исполняемые файлы были заражены Neshta.

П этой причине лучше пролечить систему из под загрузочного диска KRD

После лечения собрать новые логи FRST.

Прежний FRST удалите, возможно тоже был заражен. Скачайте заново по ссылке FRST.

 

Поиск и лечение сделал изначально. После уже скачал FRST и собрал логи.

Ссылка на сообщение
Поделиться на другие сайты
safety

safety 123

Опубликовано
Опубликовано
3 минуты назад, Jermixter сказал:

Поиск и лечение сделал изначально. После уже скачал FRST и собрал логи.

Лечение выполняли из под загрузочного KRD или с помощью утилиты KVRT? KVRT мог сам заразиться при запуске, если в системе был активный Neshta,

Ссылка на сообщение
Поделиться на другие сайты
safety

safety 123

Опубликовано
Опубликовано

По очистке системы в FRST:

 

Выполните скрипт очистки в FRST

Запускаем FRST.exe от имени Администратора (если не запущен)

Копируем скрипт из браузера в буфер обмена, браузер закрываем.

Ждем, когда будет готов к работе,

Нажимаем в FRST кнопку "исправить".

Скрипт очистит систему, и завершит работу без перезагрузки.

  

Start::
2024-09-17 13:04 - 2024-09-17 13:04 - 000000000 ____D C:\temp
2024-09-08 20:21 - 2024-09-08 20:21 - 000000413 _____ C:\Users\User\README kasper.txt
2024-09-08 20:21 - 2024-09-08 20:21 - 000000413 _____ C:\Users\User\Downloads\README kasper.txt
2024-09-08 20:21 - 2024-09-08 20:21 - 000000413 _____ C:\Users\User\Documents\README kasper.txt
2024-09-08 20:21 - 2024-09-08 20:21 - 000000413 _____ C:\Users\User\AppData\Roaming\README kasper.txt
2024-09-08 20:21 - 2024-09-08 20:21 - 000000413 _____ C:\Users\User\AppData\README kasper.txt
2024-09-08 20:21 - 2024-09-08 20:21 - 000000413 _____ C:\Users\User\AppData\LocalLow\README kasper.txt
2024-09-08 20:21 - 2024-09-08 20:21 - 000000413 _____ C:\Users\User\AppData\Local\README kasper.txt
2024-09-08 20:21 - 2024-09-08 20:21 - 000000413 _____ C:\ProgramData\README kasper.txt
End::

Добавьте файл Fixlog.txt из папки, откуда запускали FRST, в ваше сообщение

Папку C:\FRST\Quarantine заархивируйте с паролем virus. загрузите на облачный диск и дайте ссылку на скачивание в ЛС.

Ссылка на сообщение
Поделиться на другие сайты
Jermixter

Jermixter 0

Опубликовано
  • Автор
Опубликовано
4 минуты назад, safety сказал:

Лечение выполняли из под загрузочного KRD или с помощью утилиты KVRT? KVRT мог сам заразиться при запуске, если в системе был активный Neshta,

Лечил с помощью утилиты. Сами файлы с Neshta просто лежали и никак не использовались и уже по ходу довольно долгое время. В любом случае просканирую с загрузочного диска.

Спасибо. Позже отпишусь

Ссылка на сообщение
Поделиться на другие сайты
safety

safety 123

Опубликовано
Опубликовано
1 минуту назад, Jermixter сказал:

Сами файлы с Neshta просто лежали и никак не использовались и уже по ходу довольно долгое время

Возможно, что и так. В любом случае необходимо проверить еще раз, тем же KVRT.

Mimic не был замечен в заражении Neshta.

 

С расшифровкой по данному типу шифровальщика не сможем помочь.

Ссылка на сообщение
Поделиться на другие сайты
Jermixter

Jermixter 0

Опубликовано
  • Автор
Опубликовано
19 минут назад, safety сказал:

Возможно, что и так. В любом случае необходимо проверить еще раз, тем же KVRT.

Mimic не был замечен в заражении Neshta.

 

С расшифровкой по данному типу шифровальщика не сможем помочь.

Благодарю за участие и помощь

Ссылка на сообщение
Поделиться на другие сайты
safety

safety 123

Опубликовано
Опубликовано
теперь, когда ваши файлы были зашифрованы, примите серьезные меры безопасности:


1. создание бэкапов данных на отдельном устройстве, которое не должно быть постоянно доступным;
2. установка актуальных обновлений для операционной системы;
3. установка надежной актуальной антивирусной защиты с регулярным обновлением антивирусных баз;
4. установка надежных паролей для аккаунтов из группы RDP;
5. настройка нестандартного порта (вместо стандартного 3389) для сервиса RDP;
6. настройки безопасности, которые защищают пароль к аккаунту от удаленного брутфорсинга
7. если есть такая возможность, настройте двухфакторную аутентификацию для доступа к рабочему столу
8. доступ к рабочему столу из внешней сети (если необходим для работы), либо через VPN подключение, либо только с доверенных IP (белый лист);

Ссылка на сообщение
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Share
Подписчики 2
Перейти к списку тем

  • Похожий контент

    • Insaff
      Поймали Шифровальщика
      От Insaff
      Во всех расшареных папках зашифрованы файлы.
      Файлы имеют расширение ELPACO-team-***gCG***
      в некоторых папках лежит письмо с текстом
       
      Hello my dear friend (Do not scan the files with antivirus in any case. In case of data loss, the consequences are yours)
      Your data is encrypted by ELPACO-team
      Your decryption ID is *****QR14*ELPACO-team-gCG****
      Unfortunately for you, a major IT security weakness left you open to attack, your files have been encrypted
      The only method of recovering files is to purchase decrypt tool and unique key for you.
      If you want to recover your files, write us
      1) eMail - el_kurva@tuta.io
      2) Telegram - @DataSupport911
      Attention!
      Do not rename encrypted files. 
      Do not try to decrypt your data using third party software - it may cause permanent data loss. 
      We are always ready to cooperate and find the best way to solve your problem. 
      The faster you write - the more favorable conditions will be for you. 
      Our company values its reputation. We give all guarantees of your files decryption.
       
      Написал я им на почту, пришел ответ, что надо заплатить 0,25 биткоина (получается около 1,5 млн)
      Есть ли Возможность у ко-нить за вознаграждение, чуть меньшее)) помочь с этим шифровальщиком.
       
       
      Молотки Можайск.pdf.zip
    • arx
      Шифровальщик ELPACO-team el_kurva@tuta.io
      От arx
      Доброго времени суток. Поймали шифровальщика, зашифрованы документы, архивы, базы 1с. Система стала работать не корректно, не открываются приложения обычным способом, только от имени администратора. Взлом произошел путем подбора пароля к RDP, затем применили эксплоит, запустили CMD от админа и создали новую учетку с которой произошло шифрование. Есть скриншоты действий злоумышленников так же прилагаю. Прошу помощи по восстановлению работы системы и по возможности расшифровки файлов.
      Addition.txt FRST.txt Требования.txt Скрины.rar
    • umid
      Сервер поймал Щифровальщика
      От umid
      Добрый день!
      Поймали шифровальщика. Прошу помощи.
      Даже нет предположений откуда его схватили.
      Desktop.rar 1Desktop.rar
    • Malsim
      Шифровальщик ELPACO-team
      От Malsim
      Добрый день!
       
      Прошу помощи с шифровальщиком-вымогателем ELPACO.
       
      Логи FRST/Additional + зашифрованные файлы + записка вымогателей во вложении. 
       
      Заранее спасибо!
       
      Virus.rar
    • Timur Swimmer
      ШИФРОВАЛЬШИК datastore@cyberfear.com
      От Timur Swimmer
      Здравствуйте.
      Наш компьютер, где был установлен сервер 1C, заразился вирусом шифровальщиком-вымогателем. Первое что сделал вирус – сменил пароль для учётной записи администратора. Так же он зашифровал все файлы ключом RSA4096 (как сказано в послании от вымогателя), которые больше 8,5 мб. У всех файлов больше 8,5 мб изменили расширение на datastore@cyberfear.com-WuqqAQ9reBWcAtfXZgxTUsAfCnUmDrqmJgKmH-4JJ0g .
      По ссылке можно скачать несколько зашифрованных файлов для примера, в папке Original файлы, как они выглядели до шифрования и письмо от мошенников.
      ссылка на диск
      Очень надеемся, что сможете помочь решить нашу проблему.
×
×
  • Создать...