Перейти к содержанию

зашифровали сервер 1С

sduganov
 Share

Рекомендуемые сообщения

safety Ветеран

safety

Опубликовано
Опубликовано (изменено)

Эти файлы сохраните, они нужны будет если (или когда) дело дойдет до расшифровки данных

 

Цитата

2024-10-11 02:58 - 2024-10-11 02:58 - 000003328 _____ C:\Users\Администратор\Documents\Cpriv.BlackBit
2024-10-11 02:58 - 2024-10-11 02:58 - 000003328 _____ C:\Users\Администратор\Desktop\Cpriv.BlackBit
2024-10-11 02:58 - 2024-10-11 02:58 - 000003328 _____ C:\ProgramData\Cpriv.BlackBit
2024-10-11 02:58 - 2024-10-11 02:58 - 000003328 _____ C:\Cpriv.BlackBit

 

По очистке системы в FRST

 

Выполните скрипт очистки в FRST

Запускаем FRST.exe от имени Администратора (если не запущен)

Копируем скрипт из браузера в буфер обмена, браузер закрываем.

Ждем, когда будет готов к работе,

Нажимаем в FRST кнопку "исправить".

Скрипт очистит систему, и завершит работу без перезагрузки системы

  

Start::
HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate: Ограничение <==== ВНИМАНИЕ
HKLM\...\Policies\system: [legalnoticecaption] Encrypted by BlackBit
HKLM\...\Policies\system: [legalnoticetext] All your files have been encrypted due to a security problem with your computer
HKU\S-1-5-21-1531950568-2558906669-2299343042-500\Control Panel\Desktop\\Wallpaper -> C:\Users\Администратор\AppData\Local\Temp\2\0u0xzuoy.BlackBit
HKU\S-1-5-21-1531950568-2558906669-2299343042-1003\...\RunOnce: [ctfmon.exe] => ctfmon.exe /n (Нет файла)
HKU\S-1-5-21-1531950568-2558906669-2299343042-1004\...\RunOnce: [ctfmon.exe] => ctfmon.exe /n (Нет файла)
HKU\S-1-5-21-1531950568-2558906669-2299343042-1006\...\RunOnce: [ctfmon.exe] => ctfmon.exe /n (Нет файла)
HKU\S-1-5-21-1531950568-2558906669-2299343042-1015\...\RunOnce: [ctfmon.exe] => ctfmon.exe /n (Нет файла)
HKU\S-1-5-21-1531950568-2558906669-2299343042-500\...\Policies\system: [DisableTaskMgr] 1
Startup: C:\Users\Администратор\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\wvtymcow.bat [2024-10-11] () [Файл не подписан]
GroupPolicy: Ограничение ? <==== ВНИМАНИЕ
Policies: C:\ProgramData\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Mozilla\Firefox: Ограничение <==== ВНИМАНИЕ
2024-10-11 02:59 - 2024-10-11 02:59 - 000005916 _____ C:\info.hta
2024-10-11 02:58 - 2024-10-11 02:58 - 000110592 ___SH C:\ProgramData\ajvfl52w.exe
2024-10-11 02:58 - 2024-10-11 02:58 - 000005916 _____ C:\ProgramData\info.BlackBit
2024-10-11 02:58 - 2024-10-11 02:58 - 000000384 _____ C:\Users\Администратор\Restore-My-Files.txt
2024-10-11 02:58 - 2024-10-11 02:58 - 000000384 _____ C:\Users\Администратор\Downloads\Restore-My-Files.txt
2024-10-11 02:58 - 2024-10-11 02:58 - 000000384 _____ C:\Users\Администратор\Documents\Restore-My-Files.txt
2024-10-11 02:58 - 2024-10-11 02:58 - 000000384 _____ C:\Users\Администратор\Desktop\Restore-My-Files.txt
2024-10-11 02:58 - 2024-10-11 02:58 - 000000384 _____ C:\Restore-My-Files.txt
2024-10-11 02:58 - 2024-10-11 02:58 - 000000384 _____ C:\ProgramData\Restore-My-Files.txt
2024-10-11 02:58 - 2024-10-11 02:58 - 000000384 _____ C:\Program Files\Restore-My-Files.txt
2024-10-11 02:58 - 2024-10-11 02:58 - 000000384 _____ C:\Program Files (x86)\Restore-My-Files.txt
2024-10-11 02:58 - 2024-04-03 20:14 - 000555520 ___SH (Microsoft) C:\Windows\winlogon.exe
2024-10-11 02:58 - 2024-04-03 20:14 - 000555520 ___SH (Microsoft) C:\Users\Администратор\AppData\Roaming\winlogon.exe
2024-10-11 02:58 - 2024-04-03 20:14 - 000555520 ___SH (Microsoft) C:\ProgramData\winlogon.exe
2024-10-11 02:58 - 2024-10-11 02:58 - 000110592 ___SH () C:\ProgramData\ajvfl52w.exe
2024-10-11 02:58 - 2024-04-03 20:14 - 000555520 ___SH (Microsoft) C:\ProgramData\winlogon.exe
2024-10-11 02:58 - 2024-10-11 02:58 - 000000384 _____ () C:\Program Files\Restore-My-Files.txt
2024-10-11 02:58 - 2024-10-11 02:58 - 000000384 _____ () C:\Program Files (x86)\Restore-My-Files.txt
2024-10-11 02:58 - 2024-04-03 20:14 - 000555520 ___SH (Microsoft) C:\Users\Администратор\AppData\Roaming\winlogon.exe
End::

Добавьте файл Fixlog.txt из папки, откуда запускали FRST, в ваше сообщение

Папку C:\FRST\Quarantine  заархивируйте с паролем virus, архив загрузите на облачный диск и дайте ссылку на скачивание в личные сообщения (ЛС)

Изменено пользователем safety
Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Share
Перейти к списку тем

  • Похожий контент

    • whoamis
      Зашифровало сервер сегодня
      От whoamis
      Добрый день зашифровало сервер, предположительно кто-то скачал картинку на сервере и открыл.
      Addition.txt FRST.txt 11.rar
    • jserov96
      Зашифровали сервер файлами с расширением .vx2
      От jserov96
      Шифровальщик запустился скорее всего из планировщика заданий ровно в 21:00 16 ноября в субботу.  Время указано на основе найденных зашифрованных файлов. Шифровальщик нашел все скрытые диски, подключил все бекапы, зашифровал все содержимое .vhd бекапов, и сами бекапы тоже зашифровал. Сервер отключен, диск с бекапами снят, зашифрованные .vhd файлы перенесены на другой диск, чтобы попробовать вытащить файлы. Шифровальщик шифрует первый 20000h байт файла и дописывает 300h байт в огромные файлы, видимо сделано для ускорения шифрования всего диска. Особенность: выполняемые файлы не шифруются!
      vx2.rar
    • Denissav
      Зашифровали файлы на сервере
      От Denissav
      Подключились к серверу 30.07 в 4 часа примерно и зашифровали файлы.  Файлы получили расширение .yLizaQzKX . Самое обидное что накопитель с архивом был на этом же сервере.
      file.zip report.zip
    • slot9543
      Поймали шифровальщика на сервер
      От slot9543
      Поймали шифровальщика на несколько виртуальных серверов которые находятся на одном гипервизоре VMware.
      Собрал информацию для одного из серверов (есть еще второй зашифрованный, но он пока не запускается).

      В систему проникли основательно, удалили все вируталки с бекапами.
      Бэкапов нет, очень хочется расшифровать.

      В системе присутствует файл C:\WINDOWS\VSS\WRITERS\APPLICATION\PES.EXE
      Упаковал его в архив с паролем virus и готов скинуть ссылку на этот архив в облаке.


      Заранее спасибо!
      ЗашифрованныеФайлы.zip Addition.txt FRST.txt
    • Kirillizator
      Подключение kesl 12.1 к серверу KSC
      От Kirillizator
      Добрый день коллеги,
       
      Есть необходимость установить антивирус на сервере, ОС Астра Линукс. Установил klnagent 15.1, указал ему сервер KSC. Установил kesl и gui к нему. На сервере астра появилась, в группу распределили, но статус защиты "отключен".
      На астре необходимые службы работают исправно. В gui указано "список запрещенных ключей поврежден". Ни одной задачи на астру подать не удалось. У все одна причина отказа выполнения.
      Как ее включить на клиенте, если дело действительно в том?
      Подскажите пожалуйста если кто сталкивался. Заказчик уже начинает гневаться.
       
       





×
×
  • Создать...