Перейти к содержанию

Поймали шифровальщика на несколько серверов

chernikovd
 Share

Рекомендуемые сообщения

chernikovd Новичок

chernikovd

Опубликовано
Опубликовано

Добрый день!

поймали шифровальщика.. утром сотрудники не смогли запустить 1с, позвонили мне я подключился к серверу и понял, что файлы зашифрованны, зашел в папку с базами основная база весит20Г и она не была зашифрована.. я удивился и начал ее копировать на другой комп оставалось минут 10 и сервер выключился. после того как приехал и включил сервер обнаружил зашифрованный файл и не зашифрованный я скопировал не зашифрованный и его логи и базу данных удалось подключить. Так же взломали комп с бэкапами и испортили файловую систему. очень хочется расшифровать все.. на самом деле зашифровано 3 сервера прислал инфу только по одному

 

спасибо

ЗашифрованыеФайлы.7z Addition.txt FRST.txt

Ссылка на комментарий
Поделиться на другие сайты
safety Ветеран

safety

Опубликовано
Опубликовано (изменено)

Желательно по каждому из зашифрованных серверов собрать информацию, как вы сделали в первом сообщении.

Если системы были просканированы антивирусом или утилитами, типа cureit, kvrt - добавьте, пожалуйста, логи сканирования в ваше сообщение, в архиве, без пароля.

На зашифрованных устройствах пробуйте найти такой файл:

C:\WINDOWS\VSS\WRITERS\APPLICATION\PES.EXE

Изменено пользователем safety
Ссылка на комментарий
Поделиться на другие сайты
safety Ветеран

safety

Опубликовано
Опубликовано (изменено)
6 минут назад, chernikovd сказал:

такой файл обнаружил

C:\WINDOWS\VSS\WRITERS\APPLICATION\PES.EXE

Заархивируйте данный файл с паролем virus, загрузите на облачный диск, и дайте ссылку на скачивание в личные сообщения (ЛС)

Изменено пользователем safety
Ссылка на комментарий
Поделиться на другие сайты
chernikovd Новичок

chernikovd

Опубликовано
  • Автор
Опубликовано (изменено)

ссылка на архив PES.EXE этого файла

[удалено]

не знаю как выгрузить логи из kvrt, но вот что обнаружилось

1902006204_.thumb.png.058af64d90943703ef097059a37e297c.png

Изменено пользователем Sandor
Ссылка на комментарий
Поделиться на другие сайты
safety Ветеран

safety

Опубликовано
Опубликовано
16 минут назад, chernikovd сказал:

не знаю как выгрузить логи из kvrt, но вот что обнаружилось

В принципе, логи kvrt уже не нужны, из рисунка видно, что необходимый файл найден.

Ссылка на комментарий
Поделиться на другие сайты
safety Ветеран

safety

Опубликовано
Опубликовано (изменено)
1 час назад, chernikovd сказал:

а еще подскажите стоит в полицию заявлять?

Это не поможет вам расшифровать файлы, тем более злоумышленники за пределами России находятся.

1 час назад, chernikovd сказал:

ссылка на архив PES.EXE этого файла

сэмпл прежний.

https://www.virustotal.com/gui/file/81a71a75543c8060e5cad9dd7e148ca0ef27f18e3b1c0747e225e4b38b85c8e0/detection

 

по очистке системы:

 

Эту программу деинсталлируйте через установку/удаление программ.

Hardwipe 5.1.4 (HKLM\...\{F8DDA2D6-F375-440C-B1D5-41479F167758}) (Version: 5.1.4 - Big Angry Dog)

 

по очистке в FRST:

 

Выполните скрипт очистки в FRST

Запускаем FRST.exe от имени Администратора (если не запущен)

Копируем скрипт из браузера в буфер обмена, браузер закрываем.

Ждем, когда будет готов к работе,

Нажимаем в FRST кнопку "исправить".

Скрипт очистит систему, и завершит работу без перезагрузки системы 

Start::
Startup: C:\Users\Черников\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Read Instructions.txt [2024-09-29] () [Файл не подписан]
Startup: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\Read Instructions.txt [2024-09-29] () [Файл не подписан]
Startup: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\Read Instructions.txt.{FrankViskerson@mailfence.com} ID[D094663FAD39D09].locked [2024-09-29] () [Файл не подписан]
GroupPolicy: Ограничение ? <==== ВНИМАНИЕ
Policies: C:\ProgramData\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
2024-09-29 05:32 - 2024-09-29 05:32 - 000001198 _____ () C:\Program Files\Read Instructions.txt
2024-09-29 05:32 - 2024-09-29 05:32 - 000001198 _____ () C:\Program Files (x86)\Read Instructions.txt
2024-09-29 05:32 - 2024-09-29 05:32 - 000001198 _____ () C:\Program Files\Common Files\Read Instructions.txt
2024-09-29 05:32 - 2024-09-29 05:32 - 000001198 _____ () C:\Program Files (x86)\Common Files\Read Instructions.txt
2024-09-29 05:32 - 2024-09-29 05:32 - 000001198 _____ () C:\Users\Черников\AppData\Roaming\Read Instructions.txt
2024-09-29 05:32 - 2024-09-29 05:32 - 000001198 _____ () C:\Users\Черников\AppData\Roaming\Microsoft\Read Instructions.txt
2024-09-29 05:32 - 2024-09-29 05:32 - 000001198 _____ () C:\Users\Черников\AppData\Local\Read Instructions.txt
End::

Добавьте файл Fixlog.txt из папки, откуда запускали FRST, в ваше сообщение

+

проверьте ЛС.

 

Изменено пользователем safety
Ссылка на комментарий
Поделиться на другие сайты
safety Ветеран

safety

Опубликовано
Опубликовано

Скрипт очистки по второму серверу:

  

Start::
Startup: C:\Users\Администратор\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Read Instructions.txt [2024-09-29] () [Файл не подписан]
Startup: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\AnyDesk.lnk.{FrankViskerson@mailfence.com} ID[D45D641EAF85].locked [2024-09-29]
Startup: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\Read Instructions.txt [2024-09-29] () [Файл не подписан]
Startup: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\Read Instructions.txt.{FrankViskerson@mailfence.com} ID[D45D641EAF85].locked [2024-09-29] () [Файл не подписан]
GroupPolicy: Ограничение ? <==== ВНИМАНИЕ
Policies: C:\ProgramData\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
C:\Users\Администратор\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Read Instructions.txt
C:\Users\Konstanta\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Read Instructions.txt
2024-09-29 08:00 - 2024-09-29 08:00 - 000001195 _____ C:\Users\Администратор\AppData\Roaming\Microsoft\Windows\Start Menu\Read Instructions.txt
2024-09-29 08:00 - 2024-09-29 08:00 - 000001195 _____ C:\Users\Konstanta\AppData\Roaming\Microsoft\Windows\Start Menu\Read Instructions.txt
2024-09-29 07:58 - 2024-09-29 07:58 - 000001195 _____ C:\Users\Администратор\AppData\Roaming\Microsoft\Read Instructions.txt
2024-09-29 07:58 - 2024-09-29 07:58 - 000001195 _____ C:\Users\Konstanta\AppData\Roaming\Microsoft\Read Instructions.txt
2024-09-29 05:43 - 2024-09-29 05:43 - 000001195 _____ C:\Users\Администратор\Downloads\Read Instructions.txt
2024-09-29 05:43 - 2024-09-29 05:43 - 000001195 _____ C:\Users\Администратор\Documents\Read Instructions.txt
2024-09-29 05:43 - 2024-09-29 05:43 - 000001195 _____ C:\Users\Администратор\Desktop\Read Instructions.txt
2024-09-29 05:43 - 2024-09-29 05:43 - 000001195 _____ C:\Users\Администратор\AppData\Read Instructions.txt
2024-09-29 05:43 - 2024-09-29 05:43 - 000001195 _____ C:\Users\Public\Downloads\Read Instructions.txt
2024-09-29 05:43 - 2024-09-29 05:43 - 000001195 _____ C:\Users\Public\Documents\Read Instructions.txt
2024-09-29 05:43 - 2024-09-29 05:43 - 000001195 _____ C:\Users\Public\Desktop\Read Instructions.txt
2024-09-29 05:43 - 2024-09-29 05:43 - 000001195 _____ C:\Users\Konstanta\Downloads\Read Instructions.txt
2024-09-29 05:29 - 2024-09-29 05:29 - 000001195 _____ C:\Read Instructions.txt
2024-09-29 05:29 - 2024-09-29 05:29 - 000001195 _____ C:\Program Files\Read Instructions.txt
2024-09-29 05:29 - 2024-09-29 05:29 - 000001195 _____ C:\Program Files\Common Files\Read Instructions.txt
2024-09-29 05:29 - 2024-09-29 05:29 - 000001195 _____ C:\Program Files (x86)\Read Instructions.txt
End::

Добавьте файл Fixlog.txt из папки, откуда запускали FRST, в ваше сообщение

Ссылка на комментарий
Поделиться на другие сайты
safety Ветеран

safety

Опубликовано
Опубликовано

Скрипт FRST для третьего сервера.

  

Start::
Startup: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\Read Instructions.txt [2024-09-30] () [Файл не подписан]
GroupPolicy: Ограничение ? <==== ВНИМАНИЕ
Policies: C:\ProgramData\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
2024-09-29 09:10 - 2024-09-30 05:41 - 000001195 _____ C:\Users\Администратор\AppData\Roaming\Read Instructions.txt
2024-09-29 09:10 - 2024-09-30 05:41 - 000001195 _____ C:\Users\Администратор\AppData\LocalLow\Read Instructions.txt
2024-09-29 09:01 - 2024-09-30 07:01 - 000001195 _____ C:\ProgramData\Microsoft\Windows\Start Menu\Read Instructions.txt
2024-09-29 07:54 - 2024-09-30 05:35 - 000001195 _____ C:\Users\Public\Downloads\Read Instructions.txt
2024-09-29 07:54 - 2024-09-30 05:35 - 000001195 _____ C:\Users\Public\Documents\Read Instructions.txt
End::

Добавьте файл Fixlog.txt из папки, откуда запускали FRST, в ваше сообщение

Ссылка на комментарий
Поделиться на другие сайты
  • safety закрыл тема
Гость
Эта тема закрыта для публикации ответов.
 Share
Перейти к списку тем

  • Похожий контент

    • slot9543
      Поймали шифровальщика на сервер
      От slot9543
      Поймали шифровальщика на несколько виртуальных серверов которые находятся на одном гипервизоре VMware.
      Собрал информацию для одного из серверов (есть еще второй зашифрованный, но он пока не запускается).

      В систему проникли основательно, удалили все вируталки с бекапами.
      Бэкапов нет, очень хочется расшифровать.

      В системе присутствует файл C:\WINDOWS\VSS\WRITERS\APPLICATION\PES.EXE
      Упаковал его в архив с паролем virus и готов скинуть ссылку на этот архив в облаке.


      Заранее спасибо!
      ЗашифрованныеФайлы.zip Addition.txt FRST.txt
    • umid
      Сервер поймал Щифровальщика
      От umid
      Добрый день!
      Поймали шифровальщика. Прошу помощи.
      Даже нет предположений откуда его схватили.
      Desktop.rar 1Desktop.rar
    • AndOrNot
      Поймал шифровальщик ooo4ps и Bitlocker
      От AndOrNot
      Сегодня с утра обнаружилось, что файлы документов на системном диске сервера 1С зашифрованы шифровальщиком. В папках содержится файл FILES_ENCRYPTED.txt, файлы имеют расширение .ooo4ps, локальный диск E:, на котором содержались базы 1С, заблокирован Bitlocker. Судя по времени создания файлов, вредонос работал утром в субботу.
       
      ooo4ps.zip
    • Insaff
      Поймали Шифровальщика
      От Insaff
      Во всех расшареных папках зашифрованы файлы.
      Файлы имеют расширение ELPACO-team-***gCG***
      в некоторых папках лежит письмо с текстом
       
      Hello my dear friend (Do not scan the files with antivirus in any case. In case of data loss, the consequences are yours)
      Your data is encrypted by ELPACO-team
      Your decryption ID is *****QR14*ELPACO-team-gCG****
      Unfortunately for you, a major IT security weakness left you open to attack, your files have been encrypted
      The only method of recovering files is to purchase decrypt tool and unique key for you.
      If you want to recover your files, write us
      1) eMail - el_kurva@tuta.io
      2) Telegram - @DataSupport911
      Attention!
      Do not rename encrypted files. 
      Do not try to decrypt your data using third party software - it may cause permanent data loss. 
      We are always ready to cooperate and find the best way to solve your problem. 
      The faster you write - the more favorable conditions will be for you. 
      Our company values its reputation. We give all guarantees of your files decryption.
       
      Написал я им на почту, пришел ответ, что надо заплатить 0,25 биткоина (получается около 1,5 млн)
      Есть ли Возможность у ко-нить за вознаграждение, чуть меньшее)) помочь с этим шифровальщиком.
       
       
      Молотки Можайск.pdf.zip
    • АлександрК879
      Поймали шифровальщика Lockbit Black
      От АлександрК879
      Здравствуйте. Поймали эту мерзость.
      В файле virus.zip - сами зашифрованные файлы и требование
      В файле archiv.zip - те же файлы расшифрованные
      Логи остальное 
      Архив.zip virus.zip Addition.txt FRST.txt
×
×
  • Создать...