procrustes Поймали шифровальщика на сервер

7 октября, 2024

Поймали шифровальщика на несколько виртуальных серверов которые находятся на одном гипервизоре VMware.
Собрал информацию для одного из серверов (есть еще второй зашифрованный, но он пока не запускается).

В систему проникли основательно, удалили все вируталки с бекапами.
Бэкапов нет, очень хочется расшифровать.

В системе присутствует файл C:\WINDOWS\VSS\WRITERS\APPLICATION\PES.EXE
Упаковал его в архив с паролем virus и готов скинуть ссылку на этот архив в облаке.

Заранее спасибо!

ЗашифрованныеФайлы.zip Addition.txt FRST.txt

7 октября, 2024

Сам проверил PES.exe на VirusTotal вот что он мне выдал

https://www.virustotal.com/gui/file/81a71a75543c8060e5cad9dd7e148ca0ef27f18e3b1c0747e225e4b38b85c8e0

Файл с требованиями злоумышленника.

Read Instructions.txt

7 октября, 2024

Эту программу деинсталлируйте (вайпер), ее ставят злоумышленники перед шифрованием.

Hardwipe 5.1.4 (HKLM\...\{F8DDA2D6-F375-440C-B1D5-41479F167758}) (Version: 5.1.4 - Big Angry Dog)

файл PES.exe заархивируйте с паролем virus, загрузите на облачный диск и дайте ссылку на скачивание архива в личные сообщения (ЛС)

7 октября, 2024

Этот процесс закрыть

(Big Angry Dog Ltd -> Big Angry Dog) C:\Program Files\Hardwipe\hw-bin\hwgui.exe

программу деинсталлировать

Hardwipe 5.1.4 (HKLM\...\{F8DDA2D6-F375-440C-B1D5-41479F167758}) (Version: 5.1.4 - Big Angry Dog)

по очистке в FRST

Выполните скрипт очистки в FRST

Запускаем FRST.exe от имени Администратора (если не запущен)

Копируем скрипт из браузера в буфер обмена, браузер закрываем.

Ждем, когда будет готов к работе,

Нажимаем в FRST кнопку "исправить".

Скрипт очистит систему, и завершит работу без перезагрузки системы

Start::
(Big Angry Dog Ltd -> Big Angry Dog) C:\Program Files\Hardwipe\hw-bin\hwgui.exe
HKLM\SOFTWARE\Microsoft\Windows Defender: [DisableAntiSpyware] Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate: Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Microsoft\MRT: Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Microsoft\Windows Defender Security Center: Ограничение <==== ВНИМАНИЕ
GroupPolicy\User: Ограничение ? <==== ВНИМАНИЕ
2024-10-05 04:32 - 2024-10-05 04:32 - 000001106 _____ C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Hardwipe.lnk
2024-10-05 04:32 - 2024-10-05 04:32 - 000001024 _____ C:\Users\Public\Desktop\Hardwipe.lnk
2024-10-05 04:32 - 2024-10-05 04:32 - 000000000 ____D C:\Users\Администратор.AVICONN\AppData\Roaming\Big Angry Dog
2024-10-05 04:31 - 2024-10-05 04:31 - 000000000 ____D C:\Program Files\Hardwipe
2024-10-05 02:42 - 2024-10-05 02:42 - 000001195 _____ C:\Users\Администратор.AVICONN\AppData\Roaming\Read Instructions.txt
2024-10-05 02:42 - 2024-10-05 02:42 - 000001195 _____ C:\Users\Администратор.AVICONN\AppData\LocalLow\Read Instructions.txt
2024-10-05 02:39 - 2024-10-05 02:55 - 000001195 _____ C:\ProgramData\Microsoft\Windows\Start Menu\Read Instructions.txt
2024-10-05 02:37 - 2024-10-05 02:37 - 000001195 _____ C:\Users\Администратор.AVICONN\Downloads\Read Instructions.txt
2024-10-05 02:37 - 2024-10-05 02:37 - 000001195 _____ C:\Users\Администратор.AVICONN\Desktop\Read Instructions.txt
2024-10-05 02:37 - 2024-10-05 02:37 - 000001195 _____ C:\Users\Администратор.AVICONN\AppData\Read Instructions.txt
2024-10-05 02:37 - 2024-10-05 02:37 - 000001195 _____ C:\Users\Public\Downloads\Read Instructions.txt
2024-10-05 02:37 - 2024-10-05 02:37 - 000001195 _____ C:\Users\Public\Desktop\Read Instructions.txt
2024-10-05 02:36 - 2024-10-05 02:36 - 000001195 _____ C:\Users\Администратор.AVICONN\Read Instructions.txt
2024-10-05 02:36 - 2024-10-05 02:36 - 000001195 _____ C:\Users\Администратор.AVICONN\Read Instructions.txt
2024-10-05 02:36 - 2024-10-05 02:36 - 000001195 _____ C:\Users\Администратор.AVICONN\Read Instructions.txt
2024-10-05 02:36 - 2024-10-05 02:36 - 000001195 _____ C:\Users\Public\Read Instructions.txt
2024-10-05 02:36 - 2024-10-05 02:36 - 000001195 _____ C:\Users\Public\Read Instructions.txt
2024-10-05 02:36 - 2024-10-05 02:36 - 000001195 _____ C:\Users\Public\Read Instructions.txt
2024-10-05 02:35 - 2024-10-05 02:36 - 000001195 _____ C:\ProgramData\Read Instructions.txt
2024-10-05 02:35 - 2024-10-05 02:36 - 000001195 _____ C:\ProgramData\Read Instructions.txt
2024-10-05 02:35 - 2024-10-05 02:35 - 000001195 _____ C:\Read Instructions.txt
2024-10-05 02:35 - 2024-10-05 02:35 - 000001195 _____ C:\Program Files\Read Instructions.txt
2024-10-05 02:35 - 2024-10-05 02:35 - 000001195 _____ C:\Program Files\Common Files\Read Instructions.txt
2024-10-05 02:35 - 2024-10-05 02:35 - 000001195 _____ C:\Program Files (x86)\Read Instructions.txt
End::

Добавьте файл Fixlog.txt из папки, откуда запускали FRST, в ваше сообщение

Изменено 7 октября, 2024 пользователем safety

procrustes Поймали шифровальщика на сервер

Рекомендуемые сообщения

slot9543

slot9543

safety

safety

Похожий контент

Обзор

Активность

Магазин

Поддержка

Kaspersky Support Forum