InnaC Опубликовано 18 ноября, 2024 Share Опубликовано 18 ноября, 2024 (изменено) Файлы на сервере 1С и он же файловый сервер зашифрованы. Файлы получили расширение Demetro9990@cock.li. Можно ли их как-то спасти? FRST.txt Addition.txt Изменено 18 ноября, 2024 пользователем safety Ссылка на комментарий Поделиться на другие сайты More sharing options...
safety Опубликовано 18 ноября, 2024 Share Опубликовано 18 ноября, 2024 Файлы FRST и архив перезалейте в другое сообщение. Не читаются Ссылка на комментарий Поделиться на другие сайты More sharing options...
InnaC Опубликовано 18 ноября, 2024 Автор Share Опубликовано 18 ноября, 2024 (изменено) Повторяю FRST.txt Изменено 18 ноября, 2024 пользователем safety Ссылка на комментарий Поделиться на другие сайты More sharing options...
safety Опубликовано 18 ноября, 2024 Share Опубликовано 18 ноября, 2024 (изменено) Странно, не читаются, пробуйте загрузить (в один архив) на внешний облачный диск, и дайте ссылку в вашем сообщении архив наверняка содержит файл вируса или шифровальщика, пароль не установлен. Изменено 18 ноября, 2024 пользователем safety Ссылка на комментарий Поделиться на другие сайты More sharing options...
InnaC Опубликовано 18 ноября, 2024 Автор Share Опубликовано 18 ноября, 2024 ещё одна попытка залить архив 18-11-2024_11-28-31.zip Ссылка на комментарий Поделиться на другие сайты More sharing options...
safety Опубликовано 18 ноября, 2024 Share Опубликовано 18 ноября, 2024 По очистке системы в FRST Выполните скрипт очистки в FRST Запускаем FRST.exe от имени Администратора (если не запущен) Копируем скрипт из браузера в буфер обмена, браузер закрываем. Ждем, когда будет готов к работе, Нажимаем в FRST кнопку "исправить". Скрипт очистит систему, и завершит работу c перезагрузкой системы Start:: HKLM\...\Policies\system: [legalnoticetext] Hello my dear friend (Do not scan the files with antivirus in any case. In case of data loss, the consequences IFEO\1cv8.exe: [Debugger] C:\Windows\System32\Systray.exe IFEO\1cv8c.exe: [Debugger] C:\Windows\System32\Systray.exe IFEO\1cv8s.exe: [Debugger] C:\Windows\System32\Systray.exe IFEO\agntsvc.exe: [Debugger] C:\Windows\System32\Systray.exe IFEO\AutodeskDesktopApp.exe: [Debugger] C:\Windows\System32\Systray.exe IFEO\axlbridge.exe: [Debugger] C:\Windows\System32\Systray.exe IFEO\bedbh.exe: [Debugger] C:\Windows\System32\Systray.exe IFEO\benetns.exe: [Debugger] C:\Windows\System32\Systray.exe IFEO\bengien.exe: [Debugger] C:\Windows\System32\Systray.exe IFEO\beserver.exe: [Debugger] C:\Windows\System32\Systray.exe IFEO\CompatTelRunner.exe: [Debugger] C:\Windows\System32\Systray.exe IFEO\CoreSync.exe: [Debugger] C:\Windows\System32\Systray.exe IFEO\Creative Cloud.exe: [Debugger] C:\Windows\System32\Systray.exe IFEO\dbeng50.exe: [Debugger] C:\Windows\System32\Systray.exe IFEO\dbsnmp.exe: [Debugger] C:\Windows\System32\Systray.exe IFEO\encsvc.exe: [Debugger] C:\Windows\System32\Systray.exe IFEO\EnterpriseClient.exe: [Debugger] C:\Windows\System32\Systray.exe IFEO\fbguard.exe: [Debugger] C:\Windows\System32\Systray.exe IFEO\fbserver.exe: [Debugger] C:\Windows\System32\Systray.exe IFEO\fdhost.exe: [Debugger] C:\Windows\System32\Systray.exe IFEO\fdlauncher.exe: [Debugger] C:\Windows\System32\Systray.exe IFEO\httpd.exe: [Debugger] C:\Windows\System32\Systray.exe IFEO\isqlplussvc.exe: [Debugger] C:\Windows\System32\Systray.exe IFEO\java.exe: [Debugger] C:\Windows\System32\Systray.exe IFEO\logoff.exe: [Debugger] C:\Windows\System32\Systray.exe IFEO\msaccess.exe: [Debugger] C:\Windows\System32\Systray.exe IFEO\MsDtSrvr.exe: [Debugger] C:\Windows\System32\Systray.exe IFEO\msftesql.exe: [Debugger] C:\Windows\System32\Systray.exe IFEO\mspub.exe: [Debugger] C:\Windows\System32\Systray.exe IFEO\mydesktopqos.exe: [Debugger] C:\Windows\System32\Systray.exe IFEO\mydesktopservice.exe: [Debugger] C:\Windows\System32\Systray.exe IFEO\mysqld-nt.exe: [Debugger] C:\Windows\System32\Systray.exe IFEO\mysqld-opt.exe: [Debugger] C:\Windows\System32\Systray.exe IFEO\mysqld.exe: [Debugger] C:\Windows\System32\Systray.exe IFEO\node.exe: [Debugger] C:\Windows\System32\Systray.exe IFEO\ocautoupds.exe: [Debugger] C:\Windows\System32\Systray.exe IFEO\ocomm.exe: [Debugger] C:\Windows\System32\Systray.exe IFEO\ocssd.exe: [Debugger] C:\Windows\System32\Systray.exe IFEO\oracle.exe: [Debugger] C:\Windows\System32\Systray.exe IFEO\perfmon.exe: [Debugger] C:\Windows\System32\Systray.exe IFEO\pvlsvr.exe: [Debugger] C:\Windows\System32\Systray.exe IFEO\python.exe: [Debugger] C:\Windows\System32\Systray.exe IFEO\QBDBMgr.exe: [Debugger] C:\Windows\System32\Systray.exe IFEO\QBDBMgrN.exe: [Debugger] C:\Windows\System32\Systray.exe IFEO\QBIDPService.exe: [Debugger] C:\Windows\System32\Systray.exe IFEO\qbupdate.exe: [Debugger] C:\Windows\System32\Systray.exe IFEO\QBW32.exe: [Debugger] C:\Windows\System32\Systray.exe IFEO\QBW64.exe: [Debugger] C:\Windows\System32\Systray.exe IFEO\Raccine.exe: [Debugger] C:\Windows\System32\Systray.exe IFEO\RaccineElevatedCfg.exe: [Debugger] C:\Windows\System32\Systray.exe IFEO\RaccineSettings.exe: [Debugger] C:\Windows\System32\Systray.exe IFEO\Raccine_x86.exe: [Debugger] C:\Windows\System32\Systray.exe IFEO\RAgui.exe: [Debugger] C:\Windows\System32\Systray.exe IFEO\raw_agent_svc.exe: [Debugger] C:\Windows\System32\Systray.exe IFEO\SearchApp.exe: [Debugger] C:\Windows\System32\Systray.exe IFEO\SearchIndexer.exe: [Debugger] C:\Windows\System32\Systray.exe IFEO\searchprotocolhost.exe: [Debugger] C:\Windows\System32\Systray.exe IFEO\shutdown.exe: [Debugger] C:\Windows\System32\Systray.exe IFEO\SimplyConnectionManager.exe: [Debugger] C:\Windows\System32\Systray.exe IFEO\sqbcoreservice.exe: [Debugger] C:\Windows\System32\Systray.exe IFEO\sql.exe: [Debugger] C:\Windows\System32\Systray.exe IFEO\sqlagent.exe: [Debugger] C:\Windows\System32\Systray.exe IFEO\sqlbrowser.exe: [Debugger] C:\Windows\System32\Systray.exe IFEO\sqlmangr.exe: [Debugger] C:\Windows\System32\Systray.exe IFEO\sqlservr.exe: [Debugger] C:\Windows\System32\Systray.exe IFEO\sqlwriter.exe: [Debugger] C:\Windows\System32\Systray.exe IFEO\Ssms.exe: [Debugger] C:\Windows\System32\Systray.exe IFEO\Sysmon.exe: [Debugger] C:\Windows\System32\Systray.exe IFEO\Sysmon64.exe: [Debugger] C:\Windows\System32\Systray.exe IFEO\taskkill.exe: [Debugger] C:\Windows\System32\Systray.exe IFEO\tasklist.exe: [Debugger] C:\Windows\System32\Systray.exe IFEO\taskmgr.exe: [Debugger] Hotkey Disabled IFEO\tbirdconfig.exe: [Debugger] C:\Windows\System32\Systray.exe IFEO\tomcat6.exe: [Debugger] C:\Windows\System32\Systray.exe IFEO\VeeamDeploymentSvc.exe: [Debugger] C:\Windows\System32\Systray.exe IFEO\vsnapvss.exe: [Debugger] C:\Windows\System32\Systray.exe IFEO\vxmon.exe: [Debugger] C:\Windows\System32\Systray.exe IFEO\wdswfsafe.exe: [Debugger] C:\Windows\System32\Systray.exe IFEO\wpython.exe: [Debugger] C:\Windows\System32\Systray.exe IFEO\wsa_service.exe: [Debugger] C:\Windows\System32\Systray.exe IFEO\wsqmcons.exe: [Debugger] C:\Windows\System32\Systray.exe IFEO\wxServer.exe: [Debugger] C:\Windows\System32\Systray.exe IFEO\wxServerView.exe: [Debugger] C:\Windows\System32\Systray.exe IFEO\xfssvccon.exe: [Debugger] C:\Windows\System32\Systray.exe GroupPolicy: Restriction ? <==== ATTENTION Policies: C:\ProgramData\NTUSER.pol: Restriction <==== ATTENTION 2024-11-18 11:24 - 2020-06-13 09:56 - 000128000 _____ C:\Users\admin\Desktop\7.NS2.exe 2024-11-17 12:43 - 2022-02-14 05:04 - 000039476 _____ C:\Users\admin\Desktop\+++++++++++++++++++++++++++++.txt 2024-11-17 12:42 - 2024-11-17 08:48 - 002825095 _____ C:\Users\admin\Desktop\Good.txt 2024-11-17 12:39 - 2024-11-17 12:43 - 000000000 ____D C:\Users\admin\Desktop\GoldBrute 2024-11-17 12:37 - 2020-07-05 11:17 - 065540317 _____ C:\Users\admin\Desktop\GoldBrute.rar 2024-11-16 12:55 - 2023-10-20 20:21 - 000000000 __SHD C:\Users\admin\AppData\Local\3F4FFA8F-24F8-6F78-A0DA-370314484853 2024-11-16 12:55 - 2014-09-25 08:32 - 000000000 ____D C:\temp Reboot:: End:: После перезагрузки: Добавьте файл Fixlog.txt из папки, откуда запускали FRST, в ваше сообщение Папку C:\FRST\Quarantine заархивируйте с паролем virus, архив згрузите на облачный диск и дайте ссылку на скачивание в личные сообщения (ЛС) Ссылка на комментарий Поделиться на другие сайты More sharing options...
InnaC Опубликовано 18 ноября, 2024 Автор Share Опубликовано 18 ноября, 2024 Извините а нет инструкции со скриншотами? Вот эта строчка "Копируем скрипт из браузера в буфер обмена, браузер закрываем." абсолютна не понятна. Ссылка на комментарий Поделиться на другие сайты More sharing options...
safety Опубликовано 18 ноября, 2024 Share Опубликовано 18 ноября, 2024 (изменено) Чтобы скопировать скрипт в буфер обмена надо выделить все строки из моего предыдущего сообщения начиная со Start:: и заканчивая End:: включительно. И нажать Ctrl+C, или через контекстное меню "копировать". после этого скрипт будет уже в буфере обмена. (Так же как в Word). Закрываем окно браузера, и далеепо инструкции. Изменено 18 ноября, 2024 пользователем safety Ссылка на комментарий Поделиться на другие сайты More sharing options...
InnaC Опубликовано 19 ноября, 2024 Автор Share Опубликовано 19 ноября, 2024 (изменено) Результат работы скрипта. Ссылка на архив отправлена личным сообщением. Fixlog.txt Изменено 19 ноября, 2024 пользователем InnaC Ссылка на комментарий Поделиться на другие сайты More sharing options...
safety Опубликовано 19 ноября, 2024 Share Опубликовано 19 ноября, 2024 Хорошо, продолжаем. Тип шифровальщика подтвержден. Это Mimic https://www.virustotal.com/gui/file/4d5a5a19280efcff80150219ab749ca08c692e876b3a9f6a71c1af63b971f47f по которому, к сожалению, расшифровка невозможна без приватного ключа. Ссылка на комментарий Поделиться на другие сайты More sharing options...
InnaC Опубликовано 19 ноября, 2024 Автор Share Опубликовано 19 ноября, 2024 Понятно. Большое спасибо за помощь. Ссылка на комментарий Поделиться на другие сайты More sharing options...
safety Опубликовано 19 ноября, 2024 Share Опубликовано 19 ноября, 2024 Теперь, когда ваши файлы были зашифрованы, примите серьезные меры безопасности: 1. создание бэкапов данных на отдельном устройстве, которое не должно быть постоянно доступным; 2. установка актуальных обновлений для операционной системы; 3. установка надежной актуальной антивирусной защиты с регулярным обновлением антивирусных баз; 4. установка надежных паролей для аккаунтов из группы RDP; 5. настройка нестандартного порта (вместо стандартного 3389) для сервиса RDP; 6. настройки безопасности, которые защищают пароль к аккаунту от удаленного брутфорсинга 7. если есть такая возможность, настройте двухфакторную аутентификацию для доступа к рабочему столу 8. доступ к рабочему столу из внешней сети (если необходим для работы), либо через VPN подключение, либо только с доверенных IP (белый лист); Ссылка на комментарий Поделиться на другие сайты More sharing options...
Рекомендуемые сообщения