Перейти к содержанию

Сервер поймал Щифровальщика


Рекомендуемые сообщения

По очистке в FRST:

 

Выполните скрипт очистки в FRST

Запускаем FRST.exe от имени Администратора (если не запущен)

Копируем скрипт из браузера в буфер обмена, браузер закрываем.

Ждем, когда будет готов к работе,

Нажимаем в FRST кнопку "исправить".

Скрипт очистит систему, и завершит работу без перезагрузки системы.

 

Start::
HKLM\...\Run: [systemsg.exe] => C:\Users\Зейнаб\AppData\Local\Decrypt_ELPACO-team_info.txt [967 2024-09-21] () [Файл не подписан]
HKLM-x32\...\Run: [] => [X]
HKLM\SOFTWARE\Microsoft\Windows Defender: [DisableAntiSpyware] Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate: Ограничение <==== ВНИМАНИЕ
HKLM\...\Policies\system: [legalnoticetext] Hello my dear friend (Do not scan the files with antivirus in any case. In case of data loss, the consequences
IFEO\CompatTelRunner.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\logoff.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\perfmon.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\SearchApp.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\SearchIndexer.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\SearchProtocolHost.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\sethc.exe: [Debugger] c:\windows\system32\cmd.exe
IFEO\shutdown.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\taskkill.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\tasklist.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\taskmgr.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\wsqmcons.exe: [Debugger] C:\Windows\System32\Systray.exe
GroupPolicy: Ограничение ? <==== ВНИМАНИЕ
Policies: C:\ProgramData\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
2024-09-21 09:55 - 2024-09-21 09:55 - 000000967 _____ C:\Users\Зейнаб\Desktop\Decrypt_ELPACO-team_info.txt
2024-09-21 09:50 - 2024-09-21 09:53 - 000000967 _____ C:\Users\Зейнаб\AppData\Local\Decrypt_ELPACO-team_info.txt
2024-09-21 09:49 - 2024-09-21 09:55 - 000000967 _____ C:\Decrypt_ELPACO-team_info.txt
2024-09-21 09:49 - 2024-09-21 09:49 - 000000000 ____D C:\temp
2024-09-21 10:07 - 2022-08-25 15:15 - 000000000 __SHD C:\Users\Зейнаб\AppData\Local\BFB39C3B-80E3-D2AA-3AB8-6CBE04FD21C7
End::

Добавьте файл Fixlog.txt из папки, откуда запускали FRST, в ваше сообщение

Заархивируйте папку C:\FRST\Quarantine с паролем virus, загрузите архив на облачный диск и дайте ссылку на скачивание в ЛС.

Ссылка на комментарий
Поделиться на другие сайты

Для ПК с подключением к зашифрованному серверу риска нет, так как процесс шифрования завершен. Обычно злоумышленники запускают консоль с шифрованием, где автоматически могут быть добавлены (некоторые вручную исключены) доступные по сети устройства и шары. После запуска консоли запускается общий процесс шифрования всех добавленных устройств. Либо он полностью завершается, либо останавливается по разным причинам. Другое дело, что злоумышленники если получили доступ в локальную сеть, могут еще некоторое время в ней находиться, и запустить новые процессы шифрования.

 

Уточните, пожалуйста, это легальная задача?

 

Path,Actions,Description,ID
\Hkbsse,Author   D C:\Users\Dom\19e4adb2ae\Hkbsse.exe,,{D1017410-ACEB-4159-BC00-387FE5D21F96}

 

теперь, когда были зашифрованы ваши данные, примите серьезные меры безопасности:


1. создание бэкапов данных на отдельном устройстве, которое не должно быть постоянно доступным;
2. установка актуальных обновлений для операционной системы;
3. установка надежной актуальной антивирусной защиты с регулярным обновлением антивирусных баз;
4. установка надежных паролей для аккаунтов из группы RDP;
5. настройка нестандартного порта (вместо стандартного 3389) для сервиса RDP;
6. настройки безопасности, которые защищают пароль к аккаунту от удаленного брутфорсинга
7. если есть такая возможность, настройте двухфакторную аутентификацию для доступа к рабочему столу
8. доступ к рабочему столу из внешней сети (если необходим для работы), либо через VPN подключение, либо только с доверенных IP (белый лист);

 

 

 

Изменено пользователем safety
Ссылка на комментарий
Поделиться на другие сайты

28 минут назад, safety сказал:

Уточните, пожалуйста, это легальная задача?

 

Path,Actions,Description,ID
\Hkbsse,Author   D C:\Users\Dom\19e4adb2ae\Hkbsse.exe,,{D1017410-ACEB-4159-BC00-387FE5D21F96}

Если честно даже не в курсе, что это за задача.

Ссылка на комментарий
Поделиться на другие сайты

Сделайте, пожалуйста, проверку этого файла на virustotal.com

C:\Users\Dom\19e4adb2ae\Hkbsse.exe

и дайте ссылку здесь на результат проверки

Возможно, что файл является вредоносным

Ссылка на комментарий
Поделиться на другие сайты

 

Цитата

 

Если это стилер, значит  пароли с подключением к серверу могли утечь.

 

ESET-NOD32 A Variant Of Win32/TrojanDownloader.Ama

Kaspersky HEUR:Trojan-Spy.Win32.Stealer.gen

---------------

Выполните скрипт очистки в FRST

Запускаем FRST.exe от имени Администратора (если не запущен)

Копируем скрипт из браузера в буфер обмена, браузер закрываем.

Ждем, когда будет готов к работе,

Нажимаем в FRST кнопку "исправить".

Скрипт очистит систему, и завершит работу без перезагрузки системы.

 

Start::
Task: {D1017410-ACEB-4159-BC00-387FE5D21F96} - System32\Tasks\Hkbsse => C:\Users\Dom\19e4adb2ae\Hkbsse.exe [444928 2024-08-15] () [Файл не подписан]
2024-08-31 04:42 - 2024-09-21 05:10 - 000000240 _____ C:\Windows\Tasks\Hkbsse.job
2024-08-31 04:42 - 2024-08-31 04:42 - 000002924 _____ C:\Windows\system32\Tasks\Hkbsse
2024-08-31 04:42 - 2024-08-31 04:42 - 000000000 ____D C:\Users\Dom\AppData\Roaming\8cadd6e0860cae
2024-08-31 04:42 - 2024-08-31 04:42 - 000000000 ____D C:\Users\Dom\AppData\Local\PeerDistRepub
2024-08-31 04:42 - 2024-08-31 04:42 - 000000000 ____D C:\Users\Dom\19e4adb2ae
End::

 

Добавьте файл Fixlog.txt из папки, откуда запускали FRST, в ваше сообщение

Заархивируйте папку C:\FRST\Quarantine с паролем virus, загрузите архив на облачный диск и дайте ссылку на скачивание в ЛС.

 

Ссылка на комментарий
Поделиться на другие сайты

Hkbsse.exe - A Variant Of Win32/TrojanDownloader.Amadey/HEUR:Trojan-Spy.Win32.Stealer.gen

clip64.vdll - A Variant Of Win32/ClipBanker.SJ

cred64.dll - A Variant Of Win64/PSW.Agent.CW/HEUR:Trojan-PSW.Win32.Convagent.gen

 

Очистка завершена.

Изменено пользователем safety
Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
  • Похожий контент

    • LeraB
      От LeraB
      Приветствую.
      Поймали шифровальщика, который работает до сих.
      Ничего не переустанавливали и не трогали, проверяем только доступность компьютеров, их работу и ищем, где он еще может работать. Если понятно, что шифровальщик еще где-то работает, то отключаем этот сервер/компьютер.
      Все, что можно спасти, копируем.
      Пострадала почти вся сеть, не только лок.пк и сервера, но и NAS (именно smb)
      Шифровальщик затронул большинство нужных файлов, но не все.
      Логи собрали с одного сервера, примеры файлов с него же.
      Файл шифровальщика пока найти не удалось, как и выяснить все остальное, кроме того, как оно работает с ночи примерно с 00:00 12.12.2024
      FRST.txt Addition.txt архив.zip
    • slot9543
      От slot9543
      Поймали шифровальщика на несколько виртуальных серверов которые находятся на одном гипервизоре VMware.
      Собрал информацию для одного из серверов (есть еще второй зашифрованный, но он пока не запускается).

      В систему проникли основательно, удалили все вируталки с бекапами.
      Бэкапов нет, очень хочется расшифровать.

      В системе присутствует файл C:\WINDOWS\VSS\WRITERS\APPLICATION\PES.EXE
      Упаковал его в архив с паролем virus и готов скинуть ссылку на этот архив в облаке.


      Заранее спасибо!
      ЗашифрованныеФайлы.zip Addition.txt FRST.txt
    • chernikovd
      От chernikovd
      Добрый день!
      поймали шифровальщика.. утром сотрудники не смогли запустить 1с, позвонили мне я подключился к серверу и понял, что файлы зашифрованны, зашел в папку с базами основная база весит20Г и она не была зашифрована.. я удивился и начал ее копировать на другой комп оставалось минут 10 и сервер выключился. после того как приехал и включил сервер обнаружил зашифрованный файл и не зашифрованный я скопировал не зашифрованный и его логи и базу данных удалось подключить. Так же взломали комп с бэкапами и испортили файловую систему. очень хочется расшифровать все.. на самом деле зашифровано 3 сервера прислал инфу только по одному
       
      спасибо
      ЗашифрованыеФайлы.7z Addition.txt FRST.txt
    • IrinaC
      От IrinaC
      Здравствуйте!
      Сегодня утром появился шифровальщик, при том в такое время, когда никто не работает, в 6.13 по Москве. Никто не признается, что скачал и запустил зараженный файл, допускаем, что было подключение извне.
      Базы данных, документы, архивы - все файлы получили расширение *.Bpant. При этом, зашифровано всё только на диске D. Диск С остался нетронутым. Логи, зашифрованные данные, письмо от злоумышленников прилагаю.
      Addition.txt FRST.txt Шифровки.rar
    • zshurik
      От zshurik
      Доброго дня.
      Постигла неприятная участь в виде шифровальщика decrutor 1.0
      Утилита Farbar Recovery Scan Tool не отрабатывает на целевом компьютере, при запуске просто зависает. Проверили систему AVZ, сам вирус отловить не удалось. Зато нашлись файлы от его работы в профиле пользователя, под которым видимо все и началось. Шифрованные файлы и файл readme прилагаются в архиве files. Также отдельным архивом decrutor_files прилагаются найденные файлы из папки документы профиля пользователя-виновника. Пароль на архивы virus
      Буду очень признателен за помощь в восстановлении информации.
      files.zip decrutor_files.zip
×
×
  • Создать...