Перейти к содержанию
19 лет клубу! Встречаемся в офисе «Лаборатории Касперского»

Поймали шифровальщика на сервер

slot9543
 Поделиться

Рекомендуемые сообщения

slot9543

slot9543

Опубликовано
Опубликовано

Поймали шифровальщика на несколько виртуальных серверов которые находятся на одном гипервизоре VMware.
Собрал информацию для одного из серверов (есть еще второй зашифрованный, но он пока не запускается).

В систему проникли основательно, удалили все вируталки с бекапами.
Бэкапов нет, очень хочется расшифровать.

В системе присутствует файл C:\WINDOWS\VSS\WRITERS\APPLICATION\PES.EXE
Упаковал его в архив с паролем virus и готов скинуть ссылку на этот архив в облаке.


Заранее спасибо!

ЗашифрованныеФайлы.zip Addition.txt FRST.txt

Ссылка на комментарий
Поделиться на другие сайты
slot9543

slot9543

Опубликовано
  • Автор
Опубликовано

Сам проверил PES.exe на VirusTotal вот что он мне выдал

https://www.virustotal.com/gui/file/81a71a75543c8060e5cad9dd7e148ca0ef27f18e3b1c0747e225e4b38b85c8e0

 

Файл с требованиями злоумышленника.

Read Instructions.txt

Ссылка на комментарий
Поделиться на другие сайты
safety

safety

Опубликовано
Опубликовано

Эту программу деинсталлируйте (вайпер), ее ставят злоумышленники перед шифрованием.

Hardwipe 5.1.4 (HKLM\...\{F8DDA2D6-F375-440C-B1D5-41479F167758}) (Version: 5.1.4 - Big Angry Dog)

 

файл PES.exe заархивируйте с паролем virus, загрузите на облачный диск и дайте ссылку на скачивание архива в личные сообщения (ЛС)

 

Ссылка на комментарий
Поделиться на другие сайты
safety

safety

Опубликовано
Опубликовано (изменено)

Этот процесс закрыть

(Big Angry Dog Ltd -> Big Angry Dog) C:\Program Files\Hardwipe\hw-bin\hwgui.exe

программу деинсталлировать

Hardwipe 5.1.4 (HKLM\...\{F8DDA2D6-F375-440C-B1D5-41479F167758}) (Version: 5.1.4 - Big Angry Dog)

 

по очистке в FRST

 

Выполните скрипт очистки в FRST

Запускаем FRST.exe от имени Администратора (если не запущен)

Копируем скрипт из браузера в буфер обмена, браузер закрываем.

Ждем, когда будет готов к работе,

Нажимаем в FRST кнопку "исправить".

Скрипт очистит систему, и завершит работу без перезагрузки системы

  

Start::
(Big Angry Dog Ltd -> Big Angry Dog) C:\Program Files\Hardwipe\hw-bin\hwgui.exe
HKLM\SOFTWARE\Microsoft\Windows Defender: [DisableAntiSpyware] Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate: Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Microsoft\MRT: Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Microsoft\Windows Defender Security Center: Ограничение <==== ВНИМАНИЕ
GroupPolicy\User: Ограничение ? <==== ВНИМАНИЕ
2024-10-05 04:32 - 2024-10-05 04:32 - 000001106 _____ C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Hardwipe.lnk
2024-10-05 04:32 - 2024-10-05 04:32 - 000001024 _____ C:\Users\Public\Desktop\Hardwipe.lnk
2024-10-05 04:32 - 2024-10-05 04:32 - 000000000 ____D C:\Users\Администратор.AVICONN\AppData\Roaming\Big Angry Dog
2024-10-05 04:31 - 2024-10-05 04:31 - 000000000 ____D C:\Program Files\Hardwipe
2024-10-05 02:42 - 2024-10-05 02:42 - 000001195 _____ C:\Users\Администратор.AVICONN\AppData\Roaming\Read Instructions.txt
2024-10-05 02:42 - 2024-10-05 02:42 - 000001195 _____ C:\Users\Администратор.AVICONN\AppData\LocalLow\Read Instructions.txt
2024-10-05 02:39 - 2024-10-05 02:55 - 000001195 _____ C:\ProgramData\Microsoft\Windows\Start Menu\Read Instructions.txt
2024-10-05 02:37 - 2024-10-05 02:37 - 000001195 _____ C:\Users\Администратор.AVICONN\Downloads\Read Instructions.txt
2024-10-05 02:37 - 2024-10-05 02:37 - 000001195 _____ C:\Users\Администратор.AVICONN\Desktop\Read Instructions.txt
2024-10-05 02:37 - 2024-10-05 02:37 - 000001195 _____ C:\Users\Администратор.AVICONN\AppData\Read Instructions.txt
2024-10-05 02:37 - 2024-10-05 02:37 - 000001195 _____ C:\Users\Public\Downloads\Read Instructions.txt
2024-10-05 02:37 - 2024-10-05 02:37 - 000001195 _____ C:\Users\Public\Desktop\Read Instructions.txt
2024-10-05 02:36 - 2024-10-05 02:36 - 000001195 _____ C:\Users\Администратор.AVICONN\Read Instructions.txt
2024-10-05 02:36 - 2024-10-05 02:36 - 000001195 _____ C:\Users\Администратор.AVICONN\Read Instructions.txt
2024-10-05 02:36 - 2024-10-05 02:36 - 000001195 _____ C:\Users\Администратор.AVICONN\Read Instructions.txt
2024-10-05 02:36 - 2024-10-05 02:36 - 000001195 _____ C:\Users\Public\Read Instructions.txt
2024-10-05 02:36 - 2024-10-05 02:36 - 000001195 _____ C:\Users\Public\Read Instructions.txt
2024-10-05 02:36 - 2024-10-05 02:36 - 000001195 _____ C:\Users\Public\Read Instructions.txt
2024-10-05 02:35 - 2024-10-05 02:36 - 000001195 _____ C:\ProgramData\Read Instructions.txt
2024-10-05 02:35 - 2024-10-05 02:36 - 000001195 _____ C:\ProgramData\Read Instructions.txt
2024-10-05 02:35 - 2024-10-05 02:35 - 000001195 _____ C:\Read Instructions.txt
2024-10-05 02:35 - 2024-10-05 02:35 - 000001195 _____ C:\Program Files\Read Instructions.txt
2024-10-05 02:35 - 2024-10-05 02:35 - 000001195 _____ C:\Program Files\Common Files\Read Instructions.txt
2024-10-05 02:35 - 2024-10-05 02:35 - 000001195 _____ C:\Program Files (x86)\Read Instructions.txt
End::

Добавьте файл Fixlog.txt из папки, откуда запускали FRST, в ваше сообщение

Изменено пользователем safety
Ссылка на комментарий
Поделиться на другие сайты
  • safety закрыл тема
Гость
Эта тема закрыта для публикации ответов.
 Поделиться
Перейти к списку тем

  • Похожий контент

    • alexlaev
      Поймали шифровальщик
      Автор alexlaev
      Доброго бодрого, придя на работу в понедельник пришло осознание того что на сервере происходит что-то неладное, появились файлы с расширением .[nullhex@2mail.co].0C8D0E91
      Ничего не поняв, начал искать что могло произойти, один из компьютеров был подвержен атаке, в ночь с пятницы на субботу по местному времени в 3:30 утра 28.06.2025 было совершено подключение по RDP к данному компьютеру. После анализа действий программы Clipdiary (благо была установлена на компьютере) было выявлено что злоумышленник владеет всей информацией о паролях от сервера, пользователей, список пользователей в сети, и начал свою атаку глубже. Этот компьютер имел админку к серверу, поэтому злоумышленник без труда добрался до него и начал шифровать данные как и на двух других компьютерах. По итогу то ли то что злоумышленнику стало скучно, то ли из-за того что компьютер завис в этот момент (на часах было 10:03 29.06.2025 (я смотрел на время на экране уже на следующий день в понедельник 30.06.2025 в 11:30, поэтому обратил внимание сразу что время не совпадает и комп заблокирован и завис)) у злоумышленника доступ к серверу пропал, потому как по RDP только из локалки можно к нему цепляться. Файлы незначительные повреждены, но уже восстановлены из бэкапа(благо делается каждый день)
      А вот с компьютерами меньше повезло, три компа полностью зашифрованы. Прилагаю файлы и проверку в программе указанной в теме правил.
      vse tut.rar
    • dpk
      .1cxz шифровальщик на сервере.
      Автор dpk
      Ночью к серверу подключились по rdp. На рабочем столе обнаружились папки злоумышленника. Одна из них hi в ней лежал stub.exe. Все журналы событий были почищены.
      В безопасном режиме прошелся cureit, а так же лог FRST в безопасном режиме был сделан. Папка hi под паролем virus. Папка files под паролем shifr.
      hi.zip files.zip
    • zimolev
      Зашифровали сервера шифровальщик Zeppelin
      Автор zimolev
      на Добрый день. Словили шифрователь Zeppelin. Назаписка.zipчалось все фтп сервера, перекинулось на многие другие, Рабочие машины не пострадали, Все произошло в ночь с 29 на 30 июня 2025
      зашифрованныеФайлы.zip Addition.txt FRST.txt
    • DanilDanil
      Поймал на VM шифровальщик. Предположительно Mimic (N3ww4v3)
      Автор DanilDanil
      Словил на VM шифровальщик. GPT в deepsearch предположил, что это mimic ( N3ww4v3) - на основе проанализированных зашифрованных файлов и оставленной злоумышленниками записке. Зашифрованны базы данных. Бэкапов не было...
      Есть ли возможность дешифровать? Вот это оставили злоумышленники. Зашифрованный файл прикрепить не могу, форум ограничивает.
      Important_Notice.txt
    • Keldenis
      Вирус-шифровальщик. Сервер 1с.
      Автор Keldenis
      Здравствуйте! Наш сервер был поражен вирусом-шифровальщиком. Все зараженные файлы приобрели вид блокнота при нажатии на который выходило сообщение от мошенников. Мы воспользовались утилитой от Касперского Rakhni Decryptor. Она смогла подобрать пароль и (по её мнению) расшифровать файлы. Но ни один из "расшифрованных" файлов не открывался. При этом, мы использовали утилиту дважды. В первый раз мы не использовали функцию удаления пораженных файлов, расшифрованная копия которых уже была сделана. Таким образом, после первого использования утилиты, у нас на сервере появились копии практически всех зашифрованных файлов. При этом, сам зашифрованный файл имел вид блокнотика, а его расшифрованная копия имела обычный для такого типа файла внешний вид. У зашифрованных файлов и их расшифрованной копии, при этом, был одинаковый размер файла. Мы решили, что, возможно нам нужно было поставить галочку для функции "Удалять зашифрованные файлы после успешной расшифровки", чтобы после расшифровки файлы открывались. Кроме того, дубляж файлов съел практически всё свободное место на наших жестких дисках. Поэтому, мы удалили наиболее тяжелые копии расшифрованных файлов и запустили утилиту повторно, поставив галочку для удаления зашифрованных файлов. Утилита вновь успешно подобрала пароль и расшифровала файлы, удалив все зашифрованные. Но файлы так и не начали открываться. Как описано выше, мы удалили копии только тяжелых файлов. Те зашифрованные файлы, расшифрованные копии которых мы не удалили после первого применения утилиты, при втором использовании утилиты остались нетронутыми. Поэтому мы прикрепляем в архиве именно такие файлы, т.е. сам зашифрованный файл и его расшифрованную утилитой копию, чтобы понять на примере зашифрованного файла, можно ли его расшифровать; а на примере "расшифрованного" утилитой файла, действительно ли он был расшифрован, но не открывается, потому что испорчен и не подлежит или подлежит восстановлению, либо он не был на самом деле расшифрован, и его всё еще можно расшифровать в будущем, хоть он уже и не имеет вид того самого блокнотика. Кроме того, мы установили антивирус от Касперсого на сервер и он, вероятно, уже удалил сам файл шифровальщик.
      Зашифрованные файлы.zip Addition.txt FRST.txt
×
×
  • Создать...