Перейти к содержанию
19 лет клубу! Встречаемся в офисе «Лаборатории Касперского»

Поймали шифровальщика на несколько серверов

chernikovd
 Поделиться

Рекомендуемые сообщения

chernikovd

chernikovd

Опубликовано
Опубликовано

Добрый день!

поймали шифровальщика.. утром сотрудники не смогли запустить 1с, позвонили мне я подключился к серверу и понял, что файлы зашифрованны, зашел в папку с базами основная база весит20Г и она не была зашифрована.. я удивился и начал ее копировать на другой комп оставалось минут 10 и сервер выключился. после того как приехал и включил сервер обнаружил зашифрованный файл и не зашифрованный я скопировал не зашифрованный и его логи и базу данных удалось подключить. Так же взломали комп с бэкапами и испортили файловую систему. очень хочется расшифровать все.. на самом деле зашифровано 3 сервера прислал инфу только по одному

 

спасибо

ЗашифрованыеФайлы.7z Addition.txt FRST.txt

Ссылка на комментарий
Поделиться на другие сайты
safety

safety

Опубликовано
Опубликовано (изменено)

Желательно по каждому из зашифрованных серверов собрать информацию, как вы сделали в первом сообщении.

Если системы были просканированы антивирусом или утилитами, типа cureit, kvrt - добавьте, пожалуйста, логи сканирования в ваше сообщение, в архиве, без пароля.

На зашифрованных устройствах пробуйте найти такой файл:

C:\WINDOWS\VSS\WRITERS\APPLICATION\PES.EXE

Изменено пользователем safety
Ссылка на комментарий
Поделиться на другие сайты
safety

safety

Опубликовано
Опубликовано (изменено)
6 минут назад, chernikovd сказал:

такой файл обнаружил

C:\WINDOWS\VSS\WRITERS\APPLICATION\PES.EXE

Заархивируйте данный файл с паролем virus, загрузите на облачный диск, и дайте ссылку на скачивание в личные сообщения (ЛС)

Изменено пользователем safety
Ссылка на комментарий
Поделиться на другие сайты
chernikovd

chernikovd

Опубликовано
  • Автор
Опубликовано (изменено)

ссылка на архив PES.EXE этого файла

[удалено]

не знаю как выгрузить логи из kvrt, но вот что обнаружилось

1902006204_.thumb.png.058af64d90943703ef097059a37e297c.png

Изменено пользователем Sandor
Ссылка на комментарий
Поделиться на другие сайты
safety

safety

Опубликовано
Опубликовано
16 минут назад, chernikovd сказал:

не знаю как выгрузить логи из kvrt, но вот что обнаружилось

В принципе, логи kvrt уже не нужны, из рисунка видно, что необходимый файл найден.

Ссылка на комментарий
Поделиться на другие сайты
safety

safety

Опубликовано
Опубликовано (изменено)
1 час назад, chernikovd сказал:

а еще подскажите стоит в полицию заявлять?

Это не поможет вам расшифровать файлы, тем более злоумышленники за пределами России находятся.

1 час назад, chernikovd сказал:

ссылка на архив PES.EXE этого файла

сэмпл прежний.

https://www.virustotal.com/gui/file/81a71a75543c8060e5cad9dd7e148ca0ef27f18e3b1c0747e225e4b38b85c8e0/detection

 

по очистке системы:

 

Эту программу деинсталлируйте через установку/удаление программ.

Hardwipe 5.1.4 (HKLM\...\{F8DDA2D6-F375-440C-B1D5-41479F167758}) (Version: 5.1.4 - Big Angry Dog)

 

по очистке в FRST:

 

Выполните скрипт очистки в FRST

Запускаем FRST.exe от имени Администратора (если не запущен)

Копируем скрипт из браузера в буфер обмена, браузер закрываем.

Ждем, когда будет готов к работе,

Нажимаем в FRST кнопку "исправить".

Скрипт очистит систему, и завершит работу без перезагрузки системы 

Start::
Startup: C:\Users\Черников\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Read Instructions.txt [2024-09-29] () [Файл не подписан]
Startup: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\Read Instructions.txt [2024-09-29] () [Файл не подписан]
Startup: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\Read Instructions.txt.{FrankViskerson@mailfence.com} ID[D094663FAD39D09].locked [2024-09-29] () [Файл не подписан]
GroupPolicy: Ограничение ? <==== ВНИМАНИЕ
Policies: C:\ProgramData\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
2024-09-29 05:32 - 2024-09-29 05:32 - 000001198 _____ () C:\Program Files\Read Instructions.txt
2024-09-29 05:32 - 2024-09-29 05:32 - 000001198 _____ () C:\Program Files (x86)\Read Instructions.txt
2024-09-29 05:32 - 2024-09-29 05:32 - 000001198 _____ () C:\Program Files\Common Files\Read Instructions.txt
2024-09-29 05:32 - 2024-09-29 05:32 - 000001198 _____ () C:\Program Files (x86)\Common Files\Read Instructions.txt
2024-09-29 05:32 - 2024-09-29 05:32 - 000001198 _____ () C:\Users\Черников\AppData\Roaming\Read Instructions.txt
2024-09-29 05:32 - 2024-09-29 05:32 - 000001198 _____ () C:\Users\Черников\AppData\Roaming\Microsoft\Read Instructions.txt
2024-09-29 05:32 - 2024-09-29 05:32 - 000001198 _____ () C:\Users\Черников\AppData\Local\Read Instructions.txt
End::

Добавьте файл Fixlog.txt из папки, откуда запускали FRST, в ваше сообщение

+

проверьте ЛС.

 

Изменено пользователем safety
Ссылка на комментарий
Поделиться на другие сайты
safety

safety

Опубликовано
Опубликовано

Скрипт очистки по второму серверу:

  

Start::
Startup: C:\Users\Администратор\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Read Instructions.txt [2024-09-29] () [Файл не подписан]
Startup: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\AnyDesk.lnk.{FrankViskerson@mailfence.com} ID[D45D641EAF85].locked [2024-09-29]
Startup: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\Read Instructions.txt [2024-09-29] () [Файл не подписан]
Startup: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\Read Instructions.txt.{FrankViskerson@mailfence.com} ID[D45D641EAF85].locked [2024-09-29] () [Файл не подписан]
GroupPolicy: Ограничение ? <==== ВНИМАНИЕ
Policies: C:\ProgramData\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
C:\Users\Администратор\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Read Instructions.txt
C:\Users\Konstanta\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Read Instructions.txt
2024-09-29 08:00 - 2024-09-29 08:00 - 000001195 _____ C:\Users\Администратор\AppData\Roaming\Microsoft\Windows\Start Menu\Read Instructions.txt
2024-09-29 08:00 - 2024-09-29 08:00 - 000001195 _____ C:\Users\Konstanta\AppData\Roaming\Microsoft\Windows\Start Menu\Read Instructions.txt
2024-09-29 07:58 - 2024-09-29 07:58 - 000001195 _____ C:\Users\Администратор\AppData\Roaming\Microsoft\Read Instructions.txt
2024-09-29 07:58 - 2024-09-29 07:58 - 000001195 _____ C:\Users\Konstanta\AppData\Roaming\Microsoft\Read Instructions.txt
2024-09-29 05:43 - 2024-09-29 05:43 - 000001195 _____ C:\Users\Администратор\Downloads\Read Instructions.txt
2024-09-29 05:43 - 2024-09-29 05:43 - 000001195 _____ C:\Users\Администратор\Documents\Read Instructions.txt
2024-09-29 05:43 - 2024-09-29 05:43 - 000001195 _____ C:\Users\Администратор\Desktop\Read Instructions.txt
2024-09-29 05:43 - 2024-09-29 05:43 - 000001195 _____ C:\Users\Администратор\AppData\Read Instructions.txt
2024-09-29 05:43 - 2024-09-29 05:43 - 000001195 _____ C:\Users\Public\Downloads\Read Instructions.txt
2024-09-29 05:43 - 2024-09-29 05:43 - 000001195 _____ C:\Users\Public\Documents\Read Instructions.txt
2024-09-29 05:43 - 2024-09-29 05:43 - 000001195 _____ C:\Users\Public\Desktop\Read Instructions.txt
2024-09-29 05:43 - 2024-09-29 05:43 - 000001195 _____ C:\Users\Konstanta\Downloads\Read Instructions.txt
2024-09-29 05:29 - 2024-09-29 05:29 - 000001195 _____ C:\Read Instructions.txt
2024-09-29 05:29 - 2024-09-29 05:29 - 000001195 _____ C:\Program Files\Read Instructions.txt
2024-09-29 05:29 - 2024-09-29 05:29 - 000001195 _____ C:\Program Files\Common Files\Read Instructions.txt
2024-09-29 05:29 - 2024-09-29 05:29 - 000001195 _____ C:\Program Files (x86)\Read Instructions.txt
End::

Добавьте файл Fixlog.txt из папки, откуда запускали FRST, в ваше сообщение

Ссылка на комментарий
Поделиться на другие сайты
safety

safety

Опубликовано
Опубликовано

Скрипт FRST для третьего сервера.

  

Start::
Startup: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\Read Instructions.txt [2024-09-30] () [Файл не подписан]
GroupPolicy: Ограничение ? <==== ВНИМАНИЕ
Policies: C:\ProgramData\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
2024-09-29 09:10 - 2024-09-30 05:41 - 000001195 _____ C:\Users\Администратор\AppData\Roaming\Read Instructions.txt
2024-09-29 09:10 - 2024-09-30 05:41 - 000001195 _____ C:\Users\Администратор\AppData\LocalLow\Read Instructions.txt
2024-09-29 09:01 - 2024-09-30 07:01 - 000001195 _____ C:\ProgramData\Microsoft\Windows\Start Menu\Read Instructions.txt
2024-09-29 07:54 - 2024-09-30 05:35 - 000001195 _____ C:\Users\Public\Downloads\Read Instructions.txt
2024-09-29 07:54 - 2024-09-30 05:35 - 000001195 _____ C:\Users\Public\Documents\Read Instructions.txt
End::

Добавьте файл Fixlog.txt из папки, откуда запускали FRST, в ваше сообщение

Ссылка на комментарий
Поделиться на другие сайты
  • safety закрыл тема
Гость
Эта тема закрыта для публикации ответов.
 Поделиться
Перейти к списку тем

  • Похожий контент

    • alexlaev
      Поймали шифровальщик
      Автор alexlaev
      Доброго бодрого, придя на работу в понедельник пришло осознание того что на сервере происходит что-то неладное, появились файлы с расширением .[nullhex@2mail.co].0C8D0E91
      Ничего не поняв, начал искать что могло произойти, один из компьютеров был подвержен атаке, в ночь с пятницы на субботу по местному времени в 3:30 утра 28.06.2025 было совершено подключение по RDP к данному компьютеру. После анализа действий программы Clipdiary (благо была установлена на компьютере) было выявлено что злоумышленник владеет всей информацией о паролях от сервера, пользователей, список пользователей в сети, и начал свою атаку глубже. Этот компьютер имел админку к серверу, поэтому злоумышленник без труда добрался до него и начал шифровать данные как и на двух других компьютерах. По итогу то ли то что злоумышленнику стало скучно, то ли из-за того что компьютер завис в этот момент (на часах было 10:03 29.06.2025 (я смотрел на время на экране уже на следующий день в понедельник 30.06.2025 в 11:30, поэтому обратил внимание сразу что время не совпадает и комп заблокирован и завис)) у злоумышленника доступ к серверу пропал, потому как по RDP только из локалки можно к нему цепляться. Файлы незначительные повреждены, но уже восстановлены из бэкапа(благо делается каждый день)
      А вот с компьютерами меньше повезло, три компа полностью зашифрованы. Прилагаю файлы и проверку в программе указанной в теме правил.
      vse tut.rar
    • dpk
      .1cxz шифровальщик на сервере.
      Автор dpk
      Ночью к серверу подключились по rdp. На рабочем столе обнаружились папки злоумышленника. Одна из них hi в ней лежал stub.exe. Все журналы событий были почищены.
      В безопасном режиме прошелся cureit, а так же лог FRST в безопасном режиме был сделан. Папка hi под паролем virus. Папка files под паролем shifr.
      hi.zip files.zip
    • zimolev
      Зашифровали сервера шифровальщик Zeppelin
      Автор zimolev
      на Добрый день. Словили шифрователь Zeppelin. Назаписка.zipчалось все фтп сервера, перекинулось на многие другие, Рабочие машины не пострадали, Все произошло в ночь с 29 на 30 июня 2025
      зашифрованныеФайлы.zip Addition.txt FRST.txt
    • B_KACKE
      зашифровало сервер 1с и несколько машин в сети
      Автор B_KACKE
      Здравствуйте!
      Зашифровало сервер 1с и распространилось дальше по сети
      Сервер 1с был просканирован загрузочной флешкой Kaspersky Rescue Tool 24 (скрин и отчет прикрепил)
      Помогите восстановить файлы. Бэкапы тоже зашифровало. Спасибо
      Addition.txt FRST.txt Files.zip Reports_KRT24.zip
    • Valery030425
      Вирус шифровальщик С77L - зашифрованы сервер и несколько ПК
      Автор Valery030425
      В ночь на 02 апреля предположительно через RDP были атакованы и зашифрованы сервер и несколько пользовательских ПК. Выделенный исполняемый файл, зараженные документы и требования в архиве.FRST.txtAddition.txtShortcut.txt А также логи после запуска утилиты FRST
      Pictures (1).zip
×
×
  • Создать...