Перейти к содержанию

Поймали шифровальщика на несколько серверов

chernikovd
 Поделиться

Рекомендуемые сообщения

chernikovd

chernikovd

Опубликовано
Опубликовано

Добрый день!

поймали шифровальщика.. утром сотрудники не смогли запустить 1с, позвонили мне я подключился к серверу и понял, что файлы зашифрованны, зашел в папку с базами основная база весит20Г и она не была зашифрована.. я удивился и начал ее копировать на другой комп оставалось минут 10 и сервер выключился. после того как приехал и включил сервер обнаружил зашифрованный файл и не зашифрованный я скопировал не зашифрованный и его логи и базу данных удалось подключить. Так же взломали комп с бэкапами и испортили файловую систему. очень хочется расшифровать все.. на самом деле зашифровано 3 сервера прислал инфу только по одному

 

спасибо

ЗашифрованыеФайлы.7z Addition.txt FRST.txt

safety

safety

Опубликовано
Опубликовано (изменено)

Желательно по каждому из зашифрованных серверов собрать информацию, как вы сделали в первом сообщении.

Если системы были просканированы антивирусом или утилитами, типа cureit, kvrt - добавьте, пожалуйста, логи сканирования в ваше сообщение, в архиве, без пароля.

На зашифрованных устройствах пробуйте найти такой файл:

C:\WINDOWS\VSS\WRITERS\APPLICATION\PES.EXE

Изменено пользователем safety
chernikovd

chernikovd

Опубликовано
  • Автор
Опубликовано

такой файл обнаружил

C:\WINDOWS\VSS\WRITERS\APPLICATION\PES.EXE

сканирую kvrt

по другим серверам подготовлю

 

safety

safety

Опубликовано
Опубликовано (изменено)
6 минут назад, chernikovd сказал:

такой файл обнаружил

C:\WINDOWS\VSS\WRITERS\APPLICATION\PES.EXE

Заархивируйте данный файл с паролем virus, загрузите на облачный диск, и дайте ссылку на скачивание в личные сообщения (ЛС)

Изменено пользователем safety
chernikovd

chernikovd

Опубликовано
  • Автор
Опубликовано (изменено)

ссылка на архив PES.EXE этого файла

[удалено]

не знаю как выгрузить логи из kvrt, но вот что обнаружилось

1902006204_.thumb.png.058af64d90943703ef097059a37e297c.png

Изменено пользователем Sandor
Sandor

Sandor

Опубликовано
Опубликовано

Они находятся в папке C:\KVRT2020_Data\Reports

Упакуйте её в архив и прикрепите.

safety

safety

Опубликовано
Опубликовано
16 минут назад, chernikovd сказал:

не знаю как выгрузить логи из kvrt, но вот что обнаружилось

В принципе, логи kvrt уже не нужны, из рисунка видно, что необходимый файл найден.

safety

safety

Опубликовано
Опубликовано (изменено)
1 час назад, chernikovd сказал:

а еще подскажите стоит в полицию заявлять?

Это не поможет вам расшифровать файлы, тем более злоумышленники за пределами России находятся.

1 час назад, chernikovd сказал:

ссылка на архив PES.EXE этого файла

сэмпл прежний.

https://www.virustotal.com/gui/file/81a71a75543c8060e5cad9dd7e148ca0ef27f18e3b1c0747e225e4b38b85c8e0/detection

 

по очистке системы:

 

Эту программу деинсталлируйте через установку/удаление программ.

Hardwipe 5.1.4 (HKLM\...\{F8DDA2D6-F375-440C-B1D5-41479F167758}) (Version: 5.1.4 - Big Angry Dog)

 

по очистке в FRST:

 

Выполните скрипт очистки в FRST

Запускаем FRST.exe от имени Администратора (если не запущен)

Копируем скрипт из браузера в буфер обмена, браузер закрываем.

Ждем, когда будет готов к работе,

Нажимаем в FRST кнопку "исправить".

Скрипт очистит систему, и завершит работу без перезагрузки системы 

Start::
Startup: C:\Users\Черников\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Read Instructions.txt [2024-09-29] () [Файл не подписан]
Startup: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\Read Instructions.txt [2024-09-29] () [Файл не подписан]
Startup: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\Read Instructions.txt.{FrankViskerson@mailfence.com} ID[D094663FAD39D09].locked [2024-09-29] () [Файл не подписан]
GroupPolicy: Ограничение ? <==== ВНИМАНИЕ
Policies: C:\ProgramData\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
2024-09-29 05:32 - 2024-09-29 05:32 - 000001198 _____ () C:\Program Files\Read Instructions.txt
2024-09-29 05:32 - 2024-09-29 05:32 - 000001198 _____ () C:\Program Files (x86)\Read Instructions.txt
2024-09-29 05:32 - 2024-09-29 05:32 - 000001198 _____ () C:\Program Files\Common Files\Read Instructions.txt
2024-09-29 05:32 - 2024-09-29 05:32 - 000001198 _____ () C:\Program Files (x86)\Common Files\Read Instructions.txt
2024-09-29 05:32 - 2024-09-29 05:32 - 000001198 _____ () C:\Users\Черников\AppData\Roaming\Read Instructions.txt
2024-09-29 05:32 - 2024-09-29 05:32 - 000001198 _____ () C:\Users\Черников\AppData\Roaming\Microsoft\Read Instructions.txt
2024-09-29 05:32 - 2024-09-29 05:32 - 000001198 _____ () C:\Users\Черников\AppData\Local\Read Instructions.txt
End::

Добавьте файл Fixlog.txt из папки, откуда запускали FRST, в ваше сообщение

+

проверьте ЛС.

 

Изменено пользователем safety
safety

safety

Опубликовано
Опубликовано

Скрипт очистки по второму серверу:

  

Start::
Startup: C:\Users\Администратор\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Read Instructions.txt [2024-09-29] () [Файл не подписан]
Startup: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\AnyDesk.lnk.{FrankViskerson@mailfence.com} ID[D45D641EAF85].locked [2024-09-29]
Startup: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\Read Instructions.txt [2024-09-29] () [Файл не подписан]
Startup: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\Read Instructions.txt.{FrankViskerson@mailfence.com} ID[D45D641EAF85].locked [2024-09-29] () [Файл не подписан]
GroupPolicy: Ограничение ? <==== ВНИМАНИЕ
Policies: C:\ProgramData\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
C:\Users\Администратор\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Read Instructions.txt
C:\Users\Konstanta\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Read Instructions.txt
2024-09-29 08:00 - 2024-09-29 08:00 - 000001195 _____ C:\Users\Администратор\AppData\Roaming\Microsoft\Windows\Start Menu\Read Instructions.txt
2024-09-29 08:00 - 2024-09-29 08:00 - 000001195 _____ C:\Users\Konstanta\AppData\Roaming\Microsoft\Windows\Start Menu\Read Instructions.txt
2024-09-29 07:58 - 2024-09-29 07:58 - 000001195 _____ C:\Users\Администратор\AppData\Roaming\Microsoft\Read Instructions.txt
2024-09-29 07:58 - 2024-09-29 07:58 - 000001195 _____ C:\Users\Konstanta\AppData\Roaming\Microsoft\Read Instructions.txt
2024-09-29 05:43 - 2024-09-29 05:43 - 000001195 _____ C:\Users\Администратор\Downloads\Read Instructions.txt
2024-09-29 05:43 - 2024-09-29 05:43 - 000001195 _____ C:\Users\Администратор\Documents\Read Instructions.txt
2024-09-29 05:43 - 2024-09-29 05:43 - 000001195 _____ C:\Users\Администратор\Desktop\Read Instructions.txt
2024-09-29 05:43 - 2024-09-29 05:43 - 000001195 _____ C:\Users\Администратор\AppData\Read Instructions.txt
2024-09-29 05:43 - 2024-09-29 05:43 - 000001195 _____ C:\Users\Public\Downloads\Read Instructions.txt
2024-09-29 05:43 - 2024-09-29 05:43 - 000001195 _____ C:\Users\Public\Documents\Read Instructions.txt
2024-09-29 05:43 - 2024-09-29 05:43 - 000001195 _____ C:\Users\Public\Desktop\Read Instructions.txt
2024-09-29 05:43 - 2024-09-29 05:43 - 000001195 _____ C:\Users\Konstanta\Downloads\Read Instructions.txt
2024-09-29 05:29 - 2024-09-29 05:29 - 000001195 _____ C:\Read Instructions.txt
2024-09-29 05:29 - 2024-09-29 05:29 - 000001195 _____ C:\Program Files\Read Instructions.txt
2024-09-29 05:29 - 2024-09-29 05:29 - 000001195 _____ C:\Program Files\Common Files\Read Instructions.txt
2024-09-29 05:29 - 2024-09-29 05:29 - 000001195 _____ C:\Program Files (x86)\Read Instructions.txt
End::

Добавьте файл Fixlog.txt из папки, откуда запускали FRST, в ваше сообщение

safety

safety

Опубликовано
Опубликовано

Скрипт FRST для третьего сервера.

  

Start::
Startup: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\Read Instructions.txt [2024-09-30] () [Файл не подписан]
GroupPolicy: Ограничение ? <==== ВНИМАНИЕ
Policies: C:\ProgramData\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
2024-09-29 09:10 - 2024-09-30 05:41 - 000001195 _____ C:\Users\Администратор\AppData\Roaming\Read Instructions.txt
2024-09-29 09:10 - 2024-09-30 05:41 - 000001195 _____ C:\Users\Администратор\AppData\LocalLow\Read Instructions.txt
2024-09-29 09:01 - 2024-09-30 07:01 - 000001195 _____ C:\ProgramData\Microsoft\Windows\Start Menu\Read Instructions.txt
2024-09-29 07:54 - 2024-09-30 05:35 - 000001195 _____ C:\Users\Public\Downloads\Read Instructions.txt
2024-09-29 07:54 - 2024-09-30 05:35 - 000001195 _____ C:\Users\Public\Documents\Read Instructions.txt
End::

Добавьте файл Fixlog.txt из папки, откуда запускали FRST, в ваше сообщение

  • safety закрыл тема
Гость
Эта тема закрыта для публикации ответов.
 Поделиться
Перейти к списку тем

  • Похожий контент

    • Vklass
      Поймал вирус .encrypted
      Автор Vklass
      Зашифровали сервер, пропала недельная работа, прощу помощи  логи FRST в архиве 
      Вирус 2.zip
    • zsvnet
      файлы зашифрованы вирусом
      Автор zsvnet
      obrazec.zipAddition.txtShortcut.txtFRST.txtДобрый день! Зашифровали файлы.
      Скорее всего проникли через RDP. Исходный ПК неработоспособен. Диск подключен к другому ПК и на нем запускали FRST.
    • dmg
      Шифровальщик {FrankViskerson@mailfence.com} ID[001B21643D14].locked
      Автор dmg
      FRST.rarДобрый день! Прошу помочь по мере возможности. Все файлы зашифрованы на сервере 1С. 
      Read Instructions.txt
    • zupostal
      шифровальщик FrankViskerson@mailfence.com
      Автор zupostal
      Собственно поймали на сервер шифровальщик, не понятно каким макаром
      Файл вируса найти не удалось,, просканирована система kvrt.exe. В ручном режиме была найдена программа hardwipe и была удаленна, все что есть на сервере попало под шифрование, надеюсь на помощь :c
      Почитав предыдущие темы, у меня не было обнаружено  C:\WINDOWS\VSS\WRITERS\APPLICATION\PES.EXE, папка есть, файла нет
      Addition.txt FRST.txt Read Instructions.txt Новая папка.7z
    • KOte
      поймали шифровщик FrankViskerson@mailfence.com
      Автор KOte
      Поймали шифровальщик. вымогатель юлит, не дает гарантии что все будет восстановлено. Собрал все файлы открыл тему.
      Addition.txt FRST.txt Read Instructions.txt virus.rar
×
×
  • Создать...