Перейти к содержанию

Поймали шифровальщика на сервер

slot9543
 Share

Рекомендуемые сообщения

slot9543 Новичок

slot9543

Опубликовано
Опубликовано

Поймали шифровальщика на несколько виртуальных серверов которые находятся на одном гипервизоре VMware.
Собрал информацию для одного из серверов (есть еще второй зашифрованный, но он пока не запускается).

В систему проникли основательно, удалили все вируталки с бекапами.
Бэкапов нет, очень хочется расшифровать.

В системе присутствует файл C:\WINDOWS\VSS\WRITERS\APPLICATION\PES.EXE
Упаковал его в архив с паролем virus и готов скинуть ссылку на этот архив в облаке.


Заранее спасибо!

ЗашифрованныеФайлы.zip Addition.txt FRST.txt

Ссылка на комментарий
Поделиться на другие сайты
slot9543 Новичок

slot9543

Опубликовано
  • Автор
Опубликовано

Сам проверил PES.exe на VirusTotal вот что он мне выдал

https://www.virustotal.com/gui/file/81a71a75543c8060e5cad9dd7e148ca0ef27f18e3b1c0747e225e4b38b85c8e0

 

Файл с требованиями злоумышленника.

Read Instructions.txt

Ссылка на комментарий
Поделиться на другие сайты
safety Ветеран

safety

Опубликовано
Опубликовано

Эту программу деинсталлируйте (вайпер), ее ставят злоумышленники перед шифрованием.

Hardwipe 5.1.4 (HKLM\...\{F8DDA2D6-F375-440C-B1D5-41479F167758}) (Version: 5.1.4 - Big Angry Dog)

 

файл PES.exe заархивируйте с паролем virus, загрузите на облачный диск и дайте ссылку на скачивание архива в личные сообщения (ЛС)

 

Ссылка на комментарий
Поделиться на другие сайты
safety Ветеран

safety

Опубликовано
Опубликовано (изменено)

Этот процесс закрыть

(Big Angry Dog Ltd -> Big Angry Dog) C:\Program Files\Hardwipe\hw-bin\hwgui.exe

программу деинсталлировать

Hardwipe 5.1.4 (HKLM\...\{F8DDA2D6-F375-440C-B1D5-41479F167758}) (Version: 5.1.4 - Big Angry Dog)

 

по очистке в FRST

 

Выполните скрипт очистки в FRST

Запускаем FRST.exe от имени Администратора (если не запущен)

Копируем скрипт из браузера в буфер обмена, браузер закрываем.

Ждем, когда будет готов к работе,

Нажимаем в FRST кнопку "исправить".

Скрипт очистит систему, и завершит работу без перезагрузки системы

  

Start::
(Big Angry Dog Ltd -> Big Angry Dog) C:\Program Files\Hardwipe\hw-bin\hwgui.exe
HKLM\SOFTWARE\Microsoft\Windows Defender: [DisableAntiSpyware] Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate: Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Microsoft\MRT: Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Microsoft\Windows Defender Security Center: Ограничение <==== ВНИМАНИЕ
GroupPolicy\User: Ограничение ? <==== ВНИМАНИЕ
2024-10-05 04:32 - 2024-10-05 04:32 - 000001106 _____ C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Hardwipe.lnk
2024-10-05 04:32 - 2024-10-05 04:32 - 000001024 _____ C:\Users\Public\Desktop\Hardwipe.lnk
2024-10-05 04:32 - 2024-10-05 04:32 - 000000000 ____D C:\Users\Администратор.AVICONN\AppData\Roaming\Big Angry Dog
2024-10-05 04:31 - 2024-10-05 04:31 - 000000000 ____D C:\Program Files\Hardwipe
2024-10-05 02:42 - 2024-10-05 02:42 - 000001195 _____ C:\Users\Администратор.AVICONN\AppData\Roaming\Read Instructions.txt
2024-10-05 02:42 - 2024-10-05 02:42 - 000001195 _____ C:\Users\Администратор.AVICONN\AppData\LocalLow\Read Instructions.txt
2024-10-05 02:39 - 2024-10-05 02:55 - 000001195 _____ C:\ProgramData\Microsoft\Windows\Start Menu\Read Instructions.txt
2024-10-05 02:37 - 2024-10-05 02:37 - 000001195 _____ C:\Users\Администратор.AVICONN\Downloads\Read Instructions.txt
2024-10-05 02:37 - 2024-10-05 02:37 - 000001195 _____ C:\Users\Администратор.AVICONN\Desktop\Read Instructions.txt
2024-10-05 02:37 - 2024-10-05 02:37 - 000001195 _____ C:\Users\Администратор.AVICONN\AppData\Read Instructions.txt
2024-10-05 02:37 - 2024-10-05 02:37 - 000001195 _____ C:\Users\Public\Downloads\Read Instructions.txt
2024-10-05 02:37 - 2024-10-05 02:37 - 000001195 _____ C:\Users\Public\Desktop\Read Instructions.txt
2024-10-05 02:36 - 2024-10-05 02:36 - 000001195 _____ C:\Users\Администратор.AVICONN\Read Instructions.txt
2024-10-05 02:36 - 2024-10-05 02:36 - 000001195 _____ C:\Users\Администратор.AVICONN\Read Instructions.txt
2024-10-05 02:36 - 2024-10-05 02:36 - 000001195 _____ C:\Users\Администратор.AVICONN\Read Instructions.txt
2024-10-05 02:36 - 2024-10-05 02:36 - 000001195 _____ C:\Users\Public\Read Instructions.txt
2024-10-05 02:36 - 2024-10-05 02:36 - 000001195 _____ C:\Users\Public\Read Instructions.txt
2024-10-05 02:36 - 2024-10-05 02:36 - 000001195 _____ C:\Users\Public\Read Instructions.txt
2024-10-05 02:35 - 2024-10-05 02:36 - 000001195 _____ C:\ProgramData\Read Instructions.txt
2024-10-05 02:35 - 2024-10-05 02:36 - 000001195 _____ C:\ProgramData\Read Instructions.txt
2024-10-05 02:35 - 2024-10-05 02:35 - 000001195 _____ C:\Read Instructions.txt
2024-10-05 02:35 - 2024-10-05 02:35 - 000001195 _____ C:\Program Files\Read Instructions.txt
2024-10-05 02:35 - 2024-10-05 02:35 - 000001195 _____ C:\Program Files\Common Files\Read Instructions.txt
2024-10-05 02:35 - 2024-10-05 02:35 - 000001195 _____ C:\Program Files (x86)\Read Instructions.txt
End::

Добавьте файл Fixlog.txt из папки, откуда запускали FRST, в ваше сообщение

Изменено пользователем safety
Ссылка на комментарий
Поделиться на другие сайты
  • safety закрыл тема
Гость
Эта тема закрыта для публикации ответов.
 Share
Перейти к списку тем

  • Похожий контент

    • chernikovd
      Поймали шифровальщика на несколько серверов
      От chernikovd
      Добрый день!
      поймали шифровальщика.. утром сотрудники не смогли запустить 1с, позвонили мне я подключился к серверу и понял, что файлы зашифрованны, зашел в папку с базами основная база весит20Г и она не была зашифрована.. я удивился и начал ее копировать на другой комп оставалось минут 10 и сервер выключился. после того как приехал и включил сервер обнаружил зашифрованный файл и не зашифрованный я скопировал не зашифрованный и его логи и базу данных удалось подключить. Так же взломали комп с бэкапами и испортили файловую систему. очень хочется расшифровать все.. на самом деле зашифровано 3 сервера прислал инфу только по одному
       
      спасибо
      ЗашифрованыеФайлы.7z Addition.txt FRST.txt
    • umid
      Сервер поймал Щифровальщика
      От umid
      Добрый день!
      Поймали шифровальщика. Прошу помощи.
      Даже нет предположений откуда его схватили.
      Desktop.rar 1Desktop.rar
    • Insaff
      Поймали Шифровальщика
      От Insaff
      Во всех расшареных папках зашифрованы файлы.
      Файлы имеют расширение ELPACO-team-***gCG***
      в некоторых папках лежит письмо с текстом
       
      Hello my dear friend (Do not scan the files with antivirus in any case. In case of data loss, the consequences are yours)
      Your data is encrypted by ELPACO-team
      Your decryption ID is *****QR14*ELPACO-team-gCG****
      Unfortunately for you, a major IT security weakness left you open to attack, your files have been encrypted
      The only method of recovering files is to purchase decrypt tool and unique key for you.
      If you want to recover your files, write us
      1) eMail - el_kurva@tuta.io
      2) Telegram - @DataSupport911
      Attention!
      Do not rename encrypted files. 
      Do not try to decrypt your data using third party software - it may cause permanent data loss. 
      We are always ready to cooperate and find the best way to solve your problem. 
      The faster you write - the more favorable conditions will be for you. 
      Our company values its reputation. We give all guarantees of your files decryption.
       
      Написал я им на почту, пришел ответ, что надо заплатить 0,25 биткоина (получается около 1,5 млн)
      Есть ли Возможность у ко-нить за вознаграждение, чуть меньшее)) помочь с этим шифровальщиком.
       
       
      Молотки Можайск.pdf.zip
    • АлександрК879
      Поймали шифровальщика Lockbit Black
      От АлександрК879
      Здравствуйте. Поймали эту мерзость.
      В файле virus.zip - сами зашифрованные файлы и требование
      В файле archiv.zip - те же файлы расшифрованные
      Логи остальное 
      Архив.zip virus.zip Addition.txt FRST.txt
    • action_spb
      Поймали шифровальщика .mammn
      От action_spb
      Поймали шифровальщика .mammn. Нужна помощь в расшифровке. Есть папки с RCAKey и сам шифровальщик mammn.exe . Записки нет, не успел он до конца отработать.
       
      Для File.rar 1111
      FRST.rar file.rar
×
×
  • Создать...