Перейти к содержанию

зашифровали сервер 1С


Рекомендуемые сообщения

Эти файлы сохраните, они нужны будет если (или когда) дело дойдет до расшифровки данных

 

Цитата

2024-10-11 02:58 - 2024-10-11 02:58 - 000003328 _____ C:\Users\Администратор\Documents\Cpriv.BlackBit
2024-10-11 02:58 - 2024-10-11 02:58 - 000003328 _____ C:\Users\Администратор\Desktop\Cpriv.BlackBit
2024-10-11 02:58 - 2024-10-11 02:58 - 000003328 _____ C:\ProgramData\Cpriv.BlackBit
2024-10-11 02:58 - 2024-10-11 02:58 - 000003328 _____ C:\Cpriv.BlackBit

 

По очистке системы в FRST

 

Выполните скрипт очистки в FRST

Запускаем FRST.exe от имени Администратора (если не запущен)

Копируем скрипт из браузера в буфер обмена, браузер закрываем.

Ждем, когда будет готов к работе,

Нажимаем в FRST кнопку "исправить".

Скрипт очистит систему, и завершит работу без перезагрузки системы

 

Start::
HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate: Ограничение <==== ВНИМАНИЕ
HKLM\...\Policies\system: [legalnoticecaption] Encrypted by BlackBit
HKLM\...\Policies\system: [legalnoticetext] All your files have been encrypted due to a security problem with your computer
HKU\S-1-5-21-1531950568-2558906669-2299343042-500\Control Panel\Desktop\\Wallpaper -> C:\Users\Администратор\AppData\Local\Temp\2\0u0xzuoy.BlackBit
HKU\S-1-5-21-1531950568-2558906669-2299343042-1003\...\RunOnce: [ctfmon.exe] => ctfmon.exe /n (Нет файла)
HKU\S-1-5-21-1531950568-2558906669-2299343042-1004\...\RunOnce: [ctfmon.exe] => ctfmon.exe /n (Нет файла)
HKU\S-1-5-21-1531950568-2558906669-2299343042-1006\...\RunOnce: [ctfmon.exe] => ctfmon.exe /n (Нет файла)
HKU\S-1-5-21-1531950568-2558906669-2299343042-1015\...\RunOnce: [ctfmon.exe] => ctfmon.exe /n (Нет файла)
HKU\S-1-5-21-1531950568-2558906669-2299343042-500\...\Policies\system: [DisableTaskMgr] 1
Startup: C:\Users\Администратор\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\wvtymcow.bat [2024-10-11] () [Файл не подписан]
GroupPolicy: Ограничение ? <==== ВНИМАНИЕ
Policies: C:\ProgramData\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Mozilla\Firefox: Ограничение <==== ВНИМАНИЕ
2024-10-11 02:59 - 2024-10-11 02:59 - 000005916 _____ C:\info.hta
2024-10-11 02:58 - 2024-10-11 02:58 - 000110592 ___SH C:\ProgramData\ajvfl52w.exe
2024-10-11 02:58 - 2024-10-11 02:58 - 000005916 _____ C:\ProgramData\info.BlackBit
2024-10-11 02:58 - 2024-10-11 02:58 - 000000384 _____ C:\Users\Администратор\Restore-My-Files.txt
2024-10-11 02:58 - 2024-10-11 02:58 - 000000384 _____ C:\Users\Администратор\Downloads\Restore-My-Files.txt
2024-10-11 02:58 - 2024-10-11 02:58 - 000000384 _____ C:\Users\Администратор\Documents\Restore-My-Files.txt
2024-10-11 02:58 - 2024-10-11 02:58 - 000000384 _____ C:\Users\Администратор\Desktop\Restore-My-Files.txt
2024-10-11 02:58 - 2024-10-11 02:58 - 000000384 _____ C:\Restore-My-Files.txt
2024-10-11 02:58 - 2024-10-11 02:58 - 000000384 _____ C:\ProgramData\Restore-My-Files.txt
2024-10-11 02:58 - 2024-10-11 02:58 - 000000384 _____ C:\Program Files\Restore-My-Files.txt
2024-10-11 02:58 - 2024-10-11 02:58 - 000000384 _____ C:\Program Files (x86)\Restore-My-Files.txt
2024-10-11 02:58 - 2024-04-03 20:14 - 000555520 ___SH (Microsoft) C:\Windows\winlogon.exe
2024-10-11 02:58 - 2024-04-03 20:14 - 000555520 ___SH (Microsoft) C:\Users\Администратор\AppData\Roaming\winlogon.exe
2024-10-11 02:58 - 2024-04-03 20:14 - 000555520 ___SH (Microsoft) C:\ProgramData\winlogon.exe
2024-10-11 02:58 - 2024-10-11 02:58 - 000110592 ___SH () C:\ProgramData\ajvfl52w.exe
2024-10-11 02:58 - 2024-04-03 20:14 - 000555520 ___SH (Microsoft) C:\ProgramData\winlogon.exe
2024-10-11 02:58 - 2024-10-11 02:58 - 000000384 _____ () C:\Program Files\Restore-My-Files.txt
2024-10-11 02:58 - 2024-10-11 02:58 - 000000384 _____ () C:\Program Files (x86)\Restore-My-Files.txt
2024-10-11 02:58 - 2024-04-03 20:14 - 000555520 ___SH (Microsoft) C:\Users\Администратор\AppData\Roaming\winlogon.exe
End::

Добавьте файл Fixlog.txt из папки, откуда запускали FRST, в ваше сообщение

Папку C:\FRST\Quarantine  заархивируйте с паролем virus, архив загрузите на облачный диск и дайте ссылку на скачивание в личные сообщения (ЛС)

Изменено пользователем safety
Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
  • Похожий контент

    • whoamis
      От whoamis
      Добрый день зашифровало сервер, предположительно кто-то скачал картинку на сервере и открыл.
      Addition.txt FRST.txt 11.rar
    • jserov96
      От jserov96
      Шифровальщик запустился скорее всего из планировщика заданий ровно в 21:00 16 ноября в субботу.  Время указано на основе найденных зашифрованных файлов. Шифровальщик нашел все скрытые диски, подключил все бекапы, зашифровал все содержимое .vhd бекапов, и сами бекапы тоже зашифровал. Сервер отключен, диск с бекапами снят, зашифрованные .vhd файлы перенесены на другой диск, чтобы попробовать вытащить файлы. Шифровальщик шифрует первый 20000h байт файла и дописывает 300h байт в огромные файлы, видимо сделано для ускорения шифрования всего диска. Особенность: выполняемые файлы не шифруются!
      vx2.rar
    • website9527633
      От website9527633
      Добрый день! Возник вопрос при обращении агентов удаленно посредством запуска скрипта на рабочих станциях, вопрос: как в Агенте администрирования 15 на рабочих станциях, в скрипте указать пароль от удаления Агента администрирования?
      К примеру у меня скрипт отрабатывал таким образом, но в случае версии Агента администрирования 15, он запрашивает дополнительно пароль от удаления
      @echo off
      start "" "C:\Program Files (x86)\Kaspersky Lab\NetworkAgent\klmover.exe" -address 192.168.1.1 -silent
    • Denissav
      От Denissav
      Подключились к серверу 30.07 в 4 часа примерно и зашифровали файлы.  Файлы получили расширение .yLizaQzKX . Самое обидное что накопитель с архивом был на этом же сервере.
      file.zip report.zip
    • slot9543
      От slot9543
      Поймали шифровальщика на несколько виртуальных серверов которые находятся на одном гипервизоре VMware.
      Собрал информацию для одного из серверов (есть еще второй зашифрованный, но он пока не запускается).

      В систему проникли основательно, удалили все вируталки с бекапами.
      Бэкапов нет, очень хочется расшифровать.

      В системе присутствует файл C:\WINDOWS\VSS\WRITERS\APPLICATION\PES.EXE
      Упаковал его в архив с паролем virus и готов скинуть ссылку на этот архив в облаке.


      Заранее спасибо!
      ЗашифрованныеФайлы.zip Addition.txt FRST.txt
×
×
  • Создать...