Перейти к содержанию

Сервер поймал Щифровальщика

umid
 Поделиться

Рекомендуемые сообщения

safety

safety

Опубликовано
Опубликовано

По очистке в FRST:

 

Выполните скрипт очистки в FRST

Запускаем FRST.exe от имени Администратора (если не запущен)

Копируем скрипт из браузера в буфер обмена, браузер закрываем.

Ждем, когда будет готов к работе,

Нажимаем в FRST кнопку "исправить".

Скрипт очистит систему, и завершит работу без перезагрузки системы.

  

Start::
HKLM\...\Run: [systemsg.exe] => C:\Users\Зейнаб\AppData\Local\Decrypt_ELPACO-team_info.txt [967 2024-09-21] () [Файл не подписан]
HKLM-x32\...\Run: [] => [X]
HKLM\SOFTWARE\Microsoft\Windows Defender: [DisableAntiSpyware] Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate: Ограничение <==== ВНИМАНИЕ
HKLM\...\Policies\system: [legalnoticetext] Hello my dear friend (Do not scan the files with antivirus in any case. In case of data loss, the consequences
IFEO\CompatTelRunner.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\logoff.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\perfmon.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\SearchApp.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\SearchIndexer.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\SearchProtocolHost.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\sethc.exe: [Debugger] c:\windows\system32\cmd.exe
IFEO\shutdown.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\taskkill.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\tasklist.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\taskmgr.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\wsqmcons.exe: [Debugger] C:\Windows\System32\Systray.exe
GroupPolicy: Ограничение ? <==== ВНИМАНИЕ
Policies: C:\ProgramData\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
2024-09-21 09:55 - 2024-09-21 09:55 - 000000967 _____ C:\Users\Зейнаб\Desktop\Decrypt_ELPACO-team_info.txt
2024-09-21 09:50 - 2024-09-21 09:53 - 000000967 _____ C:\Users\Зейнаб\AppData\Local\Decrypt_ELPACO-team_info.txt
2024-09-21 09:49 - 2024-09-21 09:55 - 000000967 _____ C:\Decrypt_ELPACO-team_info.txt
2024-09-21 09:49 - 2024-09-21 09:49 - 000000000 ____D C:\temp
2024-09-21 10:07 - 2022-08-25 15:15 - 000000000 __SHD C:\Users\Зейнаб\AppData\Local\BFB39C3B-80E3-D2AA-3AB8-6CBE04FD21C7
End::

Добавьте файл Fixlog.txt из папки, откуда запускали FRST, в ваше сообщение

Заархивируйте папку C:\FRST\Quarantine с паролем virus, загрузите архив на облачный диск и дайте ссылку на скачивание в ЛС.

umid

umid

Опубликовано
  • Автор
Опубликовано

Скажите пожалуйста, есть ли риск заражения других компьютеров, которые подключались к данному серверу?

safety

safety

Опубликовано
Опубликовано (изменено)

Для ПК с подключением к зашифрованному серверу риска нет, так как процесс шифрования завершен. Обычно злоумышленники запускают консоль с шифрованием, где автоматически могут быть добавлены (некоторые вручную исключены) доступные по сети устройства и шары. После запуска консоли запускается общий процесс шифрования всех добавленных устройств. Либо он полностью завершается, либо останавливается по разным причинам. Другое дело, что злоумышленники если получили доступ в локальную сеть, могут еще некоторое время в ней находиться, и запустить новые процессы шифрования.

 

Уточните, пожалуйста, это легальная задача?

 

Path,Actions,Description,ID
\Hkbsse,Author   D C:\Users\Dom\19e4adb2ae\Hkbsse.exe,,{D1017410-ACEB-4159-BC00-387FE5D21F96}

 

теперь, когда были зашифрованы ваши данные, примите серьезные меры безопасности:


1. создание бэкапов данных на отдельном устройстве, которое не должно быть постоянно доступным;
2. установка актуальных обновлений для операционной системы;
3. установка надежной актуальной антивирусной защиты с регулярным обновлением антивирусных баз;
4. установка надежных паролей для аккаунтов из группы RDP;
5. настройка нестандартного порта (вместо стандартного 3389) для сервиса RDP;
6. настройки безопасности, которые защищают пароль к аккаунту от удаленного брутфорсинга
7. если есть такая возможность, настройте двухфакторную аутентификацию для доступа к рабочему столу
8. доступ к рабочему столу из внешней сети (если необходим для работы), либо через VPN подключение, либо только с доверенных IP (белый лист);

 

 

 

Изменено пользователем safety
umid

umid

Опубликовано
  • Автор
Опубликовано
28 минут назад, safety сказал:

Уточните, пожалуйста, это легальная задача?

 

Path,Actions,Description,ID
\Hkbsse,Author   D C:\Users\Dom\19e4adb2ae\Hkbsse.exe,,{D1017410-ACEB-4159-BC00-387FE5D21F96}

Если честно даже не в курсе, что это за задача.

safety

safety

Опубликовано
Опубликовано

Сделайте, пожалуйста, проверку этого файла на virustotal.com

C:\Users\Dom\19e4adb2ae\Hkbsse.exe

и дайте ссылку здесь на результат проверки

Возможно, что файл является вредоносным

safety

safety

Опубликовано
Опубликовано

 

Цитата

https://www.virustotal.com/gui/file/e2cb933739c3114c32dbf2c32a4579c01eebaa52b73005fecf7c5f336cd261a2?nocache=1

 

Если это стилер, значит  пароли с подключением к серверу могли утечь.

 

ESET-NOD32 A Variant Of Win32/TrojanDownloader.Ama

Kaspersky HEUR:Trojan-Spy.Win32.Stealer.gen

---------------

Выполните скрипт очистки в FRST

Запускаем FRST.exe от имени Администратора (если не запущен)

Копируем скрипт из браузера в буфер обмена, браузер закрываем.

Ждем, когда будет готов к работе,

Нажимаем в FRST кнопку "исправить".

Скрипт очистит систему, и завершит работу без перезагрузки системы.

  

Start::
Task: {D1017410-ACEB-4159-BC00-387FE5D21F96} - System32\Tasks\Hkbsse => C:\Users\Dom\19e4adb2ae\Hkbsse.exe [444928 2024-08-15] () [Файл не подписан]
2024-08-31 04:42 - 2024-09-21 05:10 - 000000240 _____ C:\Windows\Tasks\Hkbsse.job
2024-08-31 04:42 - 2024-08-31 04:42 - 000002924 _____ C:\Windows\system32\Tasks\Hkbsse
2024-08-31 04:42 - 2024-08-31 04:42 - 000000000 ____D C:\Users\Dom\AppData\Roaming\8cadd6e0860cae
2024-08-31 04:42 - 2024-08-31 04:42 - 000000000 ____D C:\Users\Dom\AppData\Local\PeerDistRepub
2024-08-31 04:42 - 2024-08-31 04:42 - 000000000 ____D C:\Users\Dom\19e4adb2ae
End::

 

Добавьте файл Fixlog.txt из папки, откуда запускали FRST, в ваше сообщение

Заархивируйте папку C:\FRST\Quarantine с паролем virus, загрузите архив на облачный диск и дайте ссылку на скачивание в ЛС.

 

safety

safety

Опубликовано
Опубликовано (изменено)

Hkbsse.exe - A Variant Of Win32/TrojanDownloader.Amadey/HEUR:Trojan-Spy.Win32.Stealer.gen

clip64.vdll - A Variant Of Win32/ClipBanker.SJ

cred64.dll - A Variant Of Win64/PSW.Agent.CW/HEUR:Trojan-PSW.Win32.Convagent.gen

 

Очистка завершена.

Изменено пользователем safety

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Поделиться
Перейти к списку тем

  • Похожий контент

    • zshurik
      Поймали щифровальщик j8mzhi9uZ
      Автор zshurik
      Доброго дня.
      Постигла неприятная участь в виде шифровальщика decrutor 1.0
      Утилита Farbar Recovery Scan Tool не отрабатывает на целевом компьютере, при запуске просто зависает. Проверили систему AVZ, сам вирус отловить не удалось. Зато нашлись файлы от его работы в профиле пользователя, под которым видимо все и началось. Шифрованные файлы и файл readme прилагаются в архиве files. Также отдельным архивом decrutor_files прилагаются найденные файлы из папки документы профиля пользователя-виновника. Пароль на архивы virus
      Буду очень признателен за помощь в восстановлении информации.
      files.zip decrutor_files.zip
    • Akaruz
      Поймали шифровальщик на сервере
      Автор Akaruz
      Добрый день. Помогите пожалуйста, есть ли возможность расшифровать. Шифровальщик вроде BlackBit. В корне диска С: лежали еще 2 файла (я так понимаю они важны):
      Cpriv.BlackBit и Cpriv2.BlackBit - поместил их в отдельный архив, текст вымогальщика ниже:
       
      !!!All of your files are encrypted!!!
      To decrypt them send e-mail to this address: panda2024@cock.lu
      In case of no answer in 24h, send e-mail to this address: panda2024@cock.lu
      You can also contact us on Telegram: @Panda_decryptor
      All your files will be lost on 11 июля 2024 г. 17:29:46.
      Your SYSTEM ID : 46BC2737
      !!!Deleting "Cpriv.BlackBit" causes permanent data loss.
      Encrypted_files.zip FRST_LOGS.zip файлы_с_диска_С.zip
    • slot9543
      Поймали шифровальщика на сервер
      Автор slot9543
      Поймали шифровальщика на несколько виртуальных серверов которые находятся на одном гипервизоре VMware.
      Собрал информацию для одного из серверов (есть еще второй зашифрованный, но он пока не запускается).

      В систему проникли основательно, удалили все вируталки с бекапами.
      Бэкапов нет, очень хочется расшифровать.

      В системе присутствует файл C:\WINDOWS\VSS\WRITERS\APPLICATION\PES.EXE
      Упаковал его в архив с паролем virus и готов скинуть ссылку на этот архив в облаке.


      Заранее спасибо!
      ЗашифрованныеФайлы.zip Addition.txt FRST.txt
    • LeraB
      Поймали шифровальщика на несколько серверов
      Автор LeraB
      Приветствую.
      Поймали шифровальщика, который работает до сих.
      Ничего не переустанавливали и не трогали, проверяем только доступность компьютеров, их работу и ищем, где он еще может работать. Если понятно, что шифровальщик еще где-то работает, то отключаем этот сервер/компьютер.
      Все, что можно спасти, копируем.
      Пострадала почти вся сеть, не только лок.пк и сервера, но и NAS (именно smb)
      Шифровальщик затронул большинство нужных файлов, но не все.
      Логи собрали с одного сервера, примеры файлов с него же.
      Файл шифровальщика пока найти не удалось, как и выяснить все остальное, кроме того, как оно работает с ночи примерно с 00:00 12.12.2024
      FRST.txt Addition.txt архив.zip
    • chernikovd
      Поймали шифровальщика на несколько серверов
      Автор chernikovd
      Добрый день!
      поймали шифровальщика.. утром сотрудники не смогли запустить 1с, позвонили мне я подключился к серверу и понял, что файлы зашифрованны, зашел в папку с базами основная база весит20Г и она не была зашифрована.. я удивился и начал ее копировать на другой комп оставалось минут 10 и сервер выключился. после того как приехал и включил сервер обнаружил зашифрованный файл и не зашифрованный я скопировал не зашифрованный и его логи и базу данных удалось подключить. Так же взломали комп с бэкапами и испортили файловую систему. очень хочется расшифровать все.. на самом деле зашифровано 3 сервера прислал инфу только по одному
       
      спасибо
      ЗашифрованыеФайлы.7z Addition.txt FRST.txt
×
×
  • Создать...