Перейти к содержанию
Набор на стажировку в «Лабораторию Касперского»! Пробуй сам и зови друзей

Поймали шифровальщика на сервер

slot9543
 Поделиться

Рекомендуемые сообщения

slot9543 Новичок

slot9543

Опубликовано
Опубликовано

Поймали шифровальщика на несколько виртуальных серверов которые находятся на одном гипервизоре VMware.
Собрал информацию для одного из серверов (есть еще второй зашифрованный, но он пока не запускается).

В систему проникли основательно, удалили все вируталки с бекапами.
Бэкапов нет, очень хочется расшифровать.

В системе присутствует файл C:\WINDOWS\VSS\WRITERS\APPLICATION\PES.EXE
Упаковал его в архив с паролем virus и готов скинуть ссылку на этот архив в облаке.


Заранее спасибо!

ЗашифрованныеФайлы.zip Addition.txt FRST.txt

Ссылка на комментарий
Поделиться на другие сайты
slot9543 Новичок

slot9543

Опубликовано
  • Автор
Опубликовано

Сам проверил PES.exe на VirusTotal вот что он мне выдал

https://www.virustotal.com/gui/file/81a71a75543c8060e5cad9dd7e148ca0ef27f18e3b1c0747e225e4b38b85c8e0

 

Файл с требованиями злоумышленника.

Read Instructions.txt

Ссылка на комментарий
Поделиться на другие сайты
safety Гигант мысли

safety

Опубликовано
Опубликовано

Эту программу деинсталлируйте (вайпер), ее ставят злоумышленники перед шифрованием.

Hardwipe 5.1.4 (HKLM\...\{F8DDA2D6-F375-440C-B1D5-41479F167758}) (Version: 5.1.4 - Big Angry Dog)

 

файл PES.exe заархивируйте с паролем virus, загрузите на облачный диск и дайте ссылку на скачивание архива в личные сообщения (ЛС)

 

Ссылка на комментарий
Поделиться на другие сайты
safety Гигант мысли

safety

Опубликовано
Опубликовано (изменено)

Этот процесс закрыть

(Big Angry Dog Ltd -> Big Angry Dog) C:\Program Files\Hardwipe\hw-bin\hwgui.exe

программу деинсталлировать

Hardwipe 5.1.4 (HKLM\...\{F8DDA2D6-F375-440C-B1D5-41479F167758}) (Version: 5.1.4 - Big Angry Dog)

 

по очистке в FRST

 

Выполните скрипт очистки в FRST

Запускаем FRST.exe от имени Администратора (если не запущен)

Копируем скрипт из браузера в буфер обмена, браузер закрываем.

Ждем, когда будет готов к работе,

Нажимаем в FRST кнопку "исправить".

Скрипт очистит систему, и завершит работу без перезагрузки системы

  

Start::
(Big Angry Dog Ltd -> Big Angry Dog) C:\Program Files\Hardwipe\hw-bin\hwgui.exe
HKLM\SOFTWARE\Microsoft\Windows Defender: [DisableAntiSpyware] Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate: Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Microsoft\MRT: Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Microsoft\Windows Defender Security Center: Ограничение <==== ВНИМАНИЕ
GroupPolicy\User: Ограничение ? <==== ВНИМАНИЕ
2024-10-05 04:32 - 2024-10-05 04:32 - 000001106 _____ C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Hardwipe.lnk
2024-10-05 04:32 - 2024-10-05 04:32 - 000001024 _____ C:\Users\Public\Desktop\Hardwipe.lnk
2024-10-05 04:32 - 2024-10-05 04:32 - 000000000 ____D C:\Users\Администратор.AVICONN\AppData\Roaming\Big Angry Dog
2024-10-05 04:31 - 2024-10-05 04:31 - 000000000 ____D C:\Program Files\Hardwipe
2024-10-05 02:42 - 2024-10-05 02:42 - 000001195 _____ C:\Users\Администратор.AVICONN\AppData\Roaming\Read Instructions.txt
2024-10-05 02:42 - 2024-10-05 02:42 - 000001195 _____ C:\Users\Администратор.AVICONN\AppData\LocalLow\Read Instructions.txt
2024-10-05 02:39 - 2024-10-05 02:55 - 000001195 _____ C:\ProgramData\Microsoft\Windows\Start Menu\Read Instructions.txt
2024-10-05 02:37 - 2024-10-05 02:37 - 000001195 _____ C:\Users\Администратор.AVICONN\Downloads\Read Instructions.txt
2024-10-05 02:37 - 2024-10-05 02:37 - 000001195 _____ C:\Users\Администратор.AVICONN\Desktop\Read Instructions.txt
2024-10-05 02:37 - 2024-10-05 02:37 - 000001195 _____ C:\Users\Администратор.AVICONN\AppData\Read Instructions.txt
2024-10-05 02:37 - 2024-10-05 02:37 - 000001195 _____ C:\Users\Public\Downloads\Read Instructions.txt
2024-10-05 02:37 - 2024-10-05 02:37 - 000001195 _____ C:\Users\Public\Desktop\Read Instructions.txt
2024-10-05 02:36 - 2024-10-05 02:36 - 000001195 _____ C:\Users\Администратор.AVICONN\Read Instructions.txt
2024-10-05 02:36 - 2024-10-05 02:36 - 000001195 _____ C:\Users\Администратор.AVICONN\Read Instructions.txt
2024-10-05 02:36 - 2024-10-05 02:36 - 000001195 _____ C:\Users\Администратор.AVICONN\Read Instructions.txt
2024-10-05 02:36 - 2024-10-05 02:36 - 000001195 _____ C:\Users\Public\Read Instructions.txt
2024-10-05 02:36 - 2024-10-05 02:36 - 000001195 _____ C:\Users\Public\Read Instructions.txt
2024-10-05 02:36 - 2024-10-05 02:36 - 000001195 _____ C:\Users\Public\Read Instructions.txt
2024-10-05 02:35 - 2024-10-05 02:36 - 000001195 _____ C:\ProgramData\Read Instructions.txt
2024-10-05 02:35 - 2024-10-05 02:36 - 000001195 _____ C:\ProgramData\Read Instructions.txt
2024-10-05 02:35 - 2024-10-05 02:35 - 000001195 _____ C:\Read Instructions.txt
2024-10-05 02:35 - 2024-10-05 02:35 - 000001195 _____ C:\Program Files\Read Instructions.txt
2024-10-05 02:35 - 2024-10-05 02:35 - 000001195 _____ C:\Program Files\Common Files\Read Instructions.txt
2024-10-05 02:35 - 2024-10-05 02:35 - 000001195 _____ C:\Program Files (x86)\Read Instructions.txt
End::

Добавьте файл Fixlog.txt из папки, откуда запускали FRST, в ваше сообщение

Изменено пользователем safety
Ссылка на комментарий
Поделиться на другие сайты
  • safety закрыл тема
Гость
Эта тема закрыта для публикации ответов.
 Поделиться
Перейти к списку тем

  • Похожий контент

    • barkalova
      Поймал шифровальщик gatilavtuz@msg
      Автор barkalova
      Поймали шифровальщик gatilavtuz@msg на рабочую машину,  попросили за дешифровку 400 000р! Есть ли какой то способ вернуть файлы? помогите!
      Addition.txt FRST.txt Desktop.rar
    • dampe
      поймал шифровальщик ooo4ps
      Автор dampe
      Добрый день! прошу помощи, может кто то уже смог решить эту проблему. На облачный сервер проник вирус и зашифровал файлы, БД и заблокировал битлокером диск. Прикладываю лог Elcomsoft Encrypted Disk Hunter и пример зашифрованного файла
      EEDH - 02.03.2025 13-20-38.log ВМТ.pdf.rar
    • bakankovaelena
      Пойман шифровальщик [nullhexxx@gmail.com].EAE6F491
      Автор bakankovaelena
      Сегодня утром были "обрадованы". Кто такой, какой тип не знаем. Есть только письмо от вымогателя и пара незашифрованных/зашифрованных файлов. Я сама не программист и с утилитой Farbar пока не справилась, надеюсь, что завтра кто-нибудь поможет и будет более полная информация.
      Файлы с файлами прилагаю
      OLD.7z
    • АлександрЛ.
      Поймали шифровальщик decodehop@gmail.com
      Автор АлександрЛ.
      Добрый день!
       
      Большая просьба дать инструкции и помочь с дешифровкой, если это возможно.
       
      Названия файлов такие: 20151225_173456.jpg.[MJ-RZ8234915670](decodehop@gmail.com ).hop_dec.
    • LeraB
      Поймали шифровальщика на несколько серверов
      Автор LeraB
      Приветствую.
      Поймали шифровальщика, который работает до сих.
      Ничего не переустанавливали и не трогали, проверяем только доступность компьютеров, их работу и ищем, где он еще может работать. Если понятно, что шифровальщик еще где-то работает, то отключаем этот сервер/компьютер.
      Все, что можно спасти, копируем.
      Пострадала почти вся сеть, не только лок.пк и сервера, но и NAS (именно smb)
      Шифровальщик затронул большинство нужных файлов, но не все.
      Логи собрали с одного сервера, примеры файлов с него же.
      Файл шифровальщика пока найти не удалось, как и выяснить все остальное, кроме того, как оно работает с ночи примерно с 00:00 12.12.2024
      FRST.txt Addition.txt архив.zip
×
×
  • Создать...