Перейти к содержанию
Задай вопрос Алексею Тодирашу!

Поймали шифровальщика на несколько серверов

chernikovd
 Share

Рекомендуемые сообщения

chernikovd Новичок

chernikovd

Опубликовано
Опубликовано

Добрый день!

поймали шифровальщика.. утром сотрудники не смогли запустить 1с, позвонили мне я подключился к серверу и понял, что файлы зашифрованны, зашел в папку с базами основная база весит20Г и она не была зашифрована.. я удивился и начал ее копировать на другой комп оставалось минут 10 и сервер выключился. после того как приехал и включил сервер обнаружил зашифрованный файл и не зашифрованный я скопировал не зашифрованный и его логи и базу данных удалось подключить. Так же взломали комп с бэкапами и испортили файловую систему. очень хочется расшифровать все.. на самом деле зашифровано 3 сервера прислал инфу только по одному

 

спасибо

ЗашифрованыеФайлы.7z Addition.txt FRST.txt

Ссылка на комментарий
Поделиться на другие сайты
safety Ветеран

safety

Опубликовано
Опубликовано (изменено)

Желательно по каждому из зашифрованных серверов собрать информацию, как вы сделали в первом сообщении.

Если системы были просканированы антивирусом или утилитами, типа cureit, kvrt - добавьте, пожалуйста, логи сканирования в ваше сообщение, в архиве, без пароля.

На зашифрованных устройствах пробуйте найти такой файл:

C:\WINDOWS\VSS\WRITERS\APPLICATION\PES.EXE

Изменено пользователем safety
Ссылка на комментарий
Поделиться на другие сайты
safety Ветеран

safety

Опубликовано
Опубликовано (изменено)
6 минут назад, chernikovd сказал:

такой файл обнаружил

C:\WINDOWS\VSS\WRITERS\APPLICATION\PES.EXE

Заархивируйте данный файл с паролем virus, загрузите на облачный диск, и дайте ссылку на скачивание в личные сообщения (ЛС)

Изменено пользователем safety
Ссылка на комментарий
Поделиться на другие сайты
chernikovd Новичок

chernikovd

Опубликовано
  • Автор
Опубликовано (изменено)

ссылка на архив PES.EXE этого файла

[удалено]

не знаю как выгрузить логи из kvrt, но вот что обнаружилось

1902006204_.thumb.png.058af64d90943703ef097059a37e297c.png

Изменено пользователем Sandor
Ссылка на комментарий
Поделиться на другие сайты
safety Ветеран

safety

Опубликовано
Опубликовано
16 минут назад, chernikovd сказал:

не знаю как выгрузить логи из kvrt, но вот что обнаружилось

В принципе, логи kvrt уже не нужны, из рисунка видно, что необходимый файл найден.

Ссылка на комментарий
Поделиться на другие сайты
safety Ветеран

safety

Опубликовано
Опубликовано (изменено)
1 час назад, chernikovd сказал:

а еще подскажите стоит в полицию заявлять?

Это не поможет вам расшифровать файлы, тем более злоумышленники за пределами России находятся.

1 час назад, chernikovd сказал:

ссылка на архив PES.EXE этого файла

сэмпл прежний.

https://www.virustotal.com/gui/file/81a71a75543c8060e5cad9dd7e148ca0ef27f18e3b1c0747e225e4b38b85c8e0/detection

 

по очистке системы:

 

Эту программу деинсталлируйте через установку/удаление программ.

Hardwipe 5.1.4 (HKLM\...\{F8DDA2D6-F375-440C-B1D5-41479F167758}) (Version: 5.1.4 - Big Angry Dog)

 

по очистке в FRST:

 

Выполните скрипт очистки в FRST

Запускаем FRST.exe от имени Администратора (если не запущен)

Копируем скрипт из браузера в буфер обмена, браузер закрываем.

Ждем, когда будет готов к работе,

Нажимаем в FRST кнопку "исправить".

Скрипт очистит систему, и завершит работу без перезагрузки системы 

Start::
Startup: C:\Users\Черников\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Read Instructions.txt [2024-09-29] () [Файл не подписан]
Startup: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\Read Instructions.txt [2024-09-29] () [Файл не подписан]
Startup: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\Read Instructions.txt.{FrankViskerson@mailfence.com} ID[D094663FAD39D09].locked [2024-09-29] () [Файл не подписан]
GroupPolicy: Ограничение ? <==== ВНИМАНИЕ
Policies: C:\ProgramData\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
2024-09-29 05:32 - 2024-09-29 05:32 - 000001198 _____ () C:\Program Files\Read Instructions.txt
2024-09-29 05:32 - 2024-09-29 05:32 - 000001198 _____ () C:\Program Files (x86)\Read Instructions.txt
2024-09-29 05:32 - 2024-09-29 05:32 - 000001198 _____ () C:\Program Files\Common Files\Read Instructions.txt
2024-09-29 05:32 - 2024-09-29 05:32 - 000001198 _____ () C:\Program Files (x86)\Common Files\Read Instructions.txt
2024-09-29 05:32 - 2024-09-29 05:32 - 000001198 _____ () C:\Users\Черников\AppData\Roaming\Read Instructions.txt
2024-09-29 05:32 - 2024-09-29 05:32 - 000001198 _____ () C:\Users\Черников\AppData\Roaming\Microsoft\Read Instructions.txt
2024-09-29 05:32 - 2024-09-29 05:32 - 000001198 _____ () C:\Users\Черников\AppData\Local\Read Instructions.txt
End::

Добавьте файл Fixlog.txt из папки, откуда запускали FRST, в ваше сообщение

+

проверьте ЛС.

 

Изменено пользователем safety
Ссылка на комментарий
Поделиться на другие сайты
safety Ветеран

safety

Опубликовано
Опубликовано

Скрипт очистки по второму серверу:

  

Start::
Startup: C:\Users\Администратор\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Read Instructions.txt [2024-09-29] () [Файл не подписан]
Startup: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\AnyDesk.lnk.{FrankViskerson@mailfence.com} ID[D45D641EAF85].locked [2024-09-29]
Startup: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\Read Instructions.txt [2024-09-29] () [Файл не подписан]
Startup: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\Read Instructions.txt.{FrankViskerson@mailfence.com} ID[D45D641EAF85].locked [2024-09-29] () [Файл не подписан]
GroupPolicy: Ограничение ? <==== ВНИМАНИЕ
Policies: C:\ProgramData\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
C:\Users\Администратор\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Read Instructions.txt
C:\Users\Konstanta\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Read Instructions.txt
2024-09-29 08:00 - 2024-09-29 08:00 - 000001195 _____ C:\Users\Администратор\AppData\Roaming\Microsoft\Windows\Start Menu\Read Instructions.txt
2024-09-29 08:00 - 2024-09-29 08:00 - 000001195 _____ C:\Users\Konstanta\AppData\Roaming\Microsoft\Windows\Start Menu\Read Instructions.txt
2024-09-29 07:58 - 2024-09-29 07:58 - 000001195 _____ C:\Users\Администратор\AppData\Roaming\Microsoft\Read Instructions.txt
2024-09-29 07:58 - 2024-09-29 07:58 - 000001195 _____ C:\Users\Konstanta\AppData\Roaming\Microsoft\Read Instructions.txt
2024-09-29 05:43 - 2024-09-29 05:43 - 000001195 _____ C:\Users\Администратор\Downloads\Read Instructions.txt
2024-09-29 05:43 - 2024-09-29 05:43 - 000001195 _____ C:\Users\Администратор\Documents\Read Instructions.txt
2024-09-29 05:43 - 2024-09-29 05:43 - 000001195 _____ C:\Users\Администратор\Desktop\Read Instructions.txt
2024-09-29 05:43 - 2024-09-29 05:43 - 000001195 _____ C:\Users\Администратор\AppData\Read Instructions.txt
2024-09-29 05:43 - 2024-09-29 05:43 - 000001195 _____ C:\Users\Public\Downloads\Read Instructions.txt
2024-09-29 05:43 - 2024-09-29 05:43 - 000001195 _____ C:\Users\Public\Documents\Read Instructions.txt
2024-09-29 05:43 - 2024-09-29 05:43 - 000001195 _____ C:\Users\Public\Desktop\Read Instructions.txt
2024-09-29 05:43 - 2024-09-29 05:43 - 000001195 _____ C:\Users\Konstanta\Downloads\Read Instructions.txt
2024-09-29 05:29 - 2024-09-29 05:29 - 000001195 _____ C:\Read Instructions.txt
2024-09-29 05:29 - 2024-09-29 05:29 - 000001195 _____ C:\Program Files\Read Instructions.txt
2024-09-29 05:29 - 2024-09-29 05:29 - 000001195 _____ C:\Program Files\Common Files\Read Instructions.txt
2024-09-29 05:29 - 2024-09-29 05:29 - 000001195 _____ C:\Program Files (x86)\Read Instructions.txt
End::

Добавьте файл Fixlog.txt из папки, откуда запускали FRST, в ваше сообщение

Ссылка на комментарий
Поделиться на другие сайты
safety Ветеран

safety

Опубликовано
Опубликовано

Скрипт FRST для третьего сервера.

  

Start::
Startup: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\Read Instructions.txt [2024-09-30] () [Файл не подписан]
GroupPolicy: Ограничение ? <==== ВНИМАНИЕ
Policies: C:\ProgramData\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
2024-09-29 09:10 - 2024-09-30 05:41 - 000001195 _____ C:\Users\Администратор\AppData\Roaming\Read Instructions.txt
2024-09-29 09:10 - 2024-09-30 05:41 - 000001195 _____ C:\Users\Администратор\AppData\LocalLow\Read Instructions.txt
2024-09-29 09:01 - 2024-09-30 07:01 - 000001195 _____ C:\ProgramData\Microsoft\Windows\Start Menu\Read Instructions.txt
2024-09-29 07:54 - 2024-09-30 05:35 - 000001195 _____ C:\Users\Public\Downloads\Read Instructions.txt
2024-09-29 07:54 - 2024-09-30 05:35 - 000001195 _____ C:\Users\Public\Documents\Read Instructions.txt
End::

Добавьте файл Fixlog.txt из папки, откуда запускали FRST, в ваше сообщение

Ссылка на комментарий
Поделиться на другие сайты
  • safety закрыл тема
Гость
Эта тема закрыта для публикации ответов.
 Share
Перейти к списку тем

  • Похожий контент

    • LeraB
      Поймали шифровальщика на несколько серверов
      От LeraB
      Приветствую.
      Поймали шифровальщика, который работает до сих.
      Ничего не переустанавливали и не трогали, проверяем только доступность компьютеров, их работу и ищем, где он еще может работать. Если понятно, что шифровальщик еще где-то работает, то отключаем этот сервер/компьютер.
      Все, что можно спасти, копируем.
      Пострадала почти вся сеть, не только лок.пк и сервера, но и NAS (именно smb)
      Шифровальщик затронул большинство нужных файлов, но не все.
      Логи собрали с одного сервера, примеры файлов с него же.
      Файл шифровальщика пока найти не удалось, как и выяснить все остальное, кроме того, как оно работает с ночи примерно с 00:00 12.12.2024
      FRST.txt Addition.txt архив.zip
    • slot9543
      Поймали шифровальщика на сервер
      От slot9543
      Поймали шифровальщика на несколько виртуальных серверов которые находятся на одном гипервизоре VMware.
      Собрал информацию для одного из серверов (есть еще второй зашифрованный, но он пока не запускается).

      В систему проникли основательно, удалили все вируталки с бекапами.
      Бэкапов нет, очень хочется расшифровать.

      В системе присутствует файл C:\WINDOWS\VSS\WRITERS\APPLICATION\PES.EXE
      Упаковал его в архив с паролем virus и готов скинуть ссылку на этот архив в облаке.


      Заранее спасибо!
      ЗашифрованныеФайлы.zip Addition.txt FRST.txt
    • IrinaC
      Поймали шифровальщика
      От IrinaC
      Здравствуйте!
      Сегодня утром появился шифровальщик, при том в такое время, когда никто не работает, в 6.13 по Москве. Никто не признается, что скачал и запустил зараженный файл, допускаем, что было подключение извне.
      Базы данных, документы, архивы - все файлы получили расширение *.Bpant. При этом, зашифровано всё только на диске D. Диск С остался нетронутым. Логи, зашифрованные данные, письмо от злоумышленников прилагаю.
      Addition.txt FRST.txt Шифровки.rar
    • yarosvent
      поймали шифровальщика
      От yarosvent
      Доброго,
      просим помочь расшифровать данные
    • Алексей Андронов
      Поймали по почте шифровальщик-вымогатель
      От Алексей Андронов
      Добрый день!
       
      Поймали шифровальщика, который работает до сих пор на отключенном от интернета ПК.
      Ничего не переустанавливали и не трогали.
      Все, что можно спасти, копируем.
      Пострадал один ПК и один резервный сменный накопитель.
      Шифровальщик затронул большинство файлов.
      Предположительно получен по почте 02.12.24 под видом акта сверки расчетов
       
      Прошу помощи в излечении и расшифровке
       
      Во вложении логи FRST, архив с документами и запиской вымогателей и, предположительно, дроппер с которого произошло заражение и резидентный модуль
      архив.zip virus.zip Addition.txt FRST.txt
×
×
  • Создать...