Перейти к содержанию

Рекомендуемые сообщения

Опубликовано (изменено)

Шифровальщик запустился скорее всего из планировщика заданий ровно в 21:00 16 ноября в субботу.  Время указано на основе найденных зашифрованных файлов. Шифровальщик нашел все скрытые диски, подключил все бекапы, зашифровал все содержимое .vhd бекапов, и сами бекапы тоже зашифровал. Сервер отключен, диск с бекапами снят, зашифрованные .vhd файлы перенесены на другой диск, чтобы попробовать вытащить файлы. Шифровальщик шифрует первый 20000h байт файла и дописывает 300h байт в огромные файлы, видимо сделано для ускорения шифрования всего диска. Особенность: выполняемые файлы не шифруются!

vx2.rar

Изменено пользователем jserov96
Опубликовано

Этот файл найдите на диске,

C:\Windows\System32\inetsrv\tomb\svchost.exe

заархивируйте с паролем virus, загрузите на облачный диск и дайте ссылку на скачивание в ЛС

Опубликовано (изменено)

сейчас сервер отключен, диск с бекапами снят и установлен на другой комп. Могу снять системный диск и проверить его также на другом компьютере

 

 

я так понимаю это не шифровальщик? т.е. надо искать еще где-то?

 

Изменено пользователем jserov96
Опубликовано (изменено)

Тело шифровальщика могло самодалиться, но тип шифровальщика понятен. Это Proton и мы не сможем расшифровать его без приватного ключа.

 

По очистке системы.

 

Выполните скрипт очистки в FRST

Запускаем FRST.exe от имени Администратора (если не запущен)

Копируем скрипт из браузера в буфер обмена, браузер закрываем.

Ждем, когда будет готов к работе,

Нажимаем в FRST кнопку "исправить".

Скрипт очистит систему, и завершит работу c перезагрузкой системы

Start::
HKLM\SOFTWARE\Policies\Microsoft\Windows NT\SystemRestore: [DisableConfig] Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Microsoft\Windows NT\SystemRestore: [DisableSR] Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Ограничение <==== ВНИМАНИЕ
HKLM\...\Policies\system: [legalnoticecaption] Your computer is encrypted
HKLM\...\Policies\system: [legalnoticetext] We encrypted and stolen all of your files.
Task: {934C257B-0ED7-441F-B09D-6171D3F94CC6} - System32\Tasks\Microsoft\Windows\Defrag\LP Schedule => C:\Windows\System32\inetsrv\tomb\svchost.exe [5583872 2024-02-07] (Microsoft) [Файл не подписан] -> --daemonized -c C:\Windows\System32\config.json <==== ВНИМАНИЕ
S3 458DF55275B351E5; \??\c:\users\Администратор\appdata\local\temp\1\9BCE9F94D4.sys [X] <==== ВНИМАНИЕ
S3 QDrive; \??\C:\Users\836D~1\AppData\Local\Temp\1\QDrive.sys [X] <==== ВНИМАНИЕ
2024-11-17 06:51 - 2024-11-17 06:51 - 001653750 _____ C:\ProgramData\93CDFEAAA54180C635F23CACB380621A.bmp
Reboot::
End::

После перезагрузки:

Добавьте файл Fixlog.txt из папки, откуда запускали FRST, в ваше сообщение

Изменено пользователем safety
Опубликовано

vhd бекапы они зашифровали не полностью, может попробовать восстановить первые 20000h байт из других файлов, они подключили диск бекапа, зашифровали его и оставили эту копию доступной, может каким-то образом восстановить заголовок vhd бекапа?

Опубликовано (изменено)
3 минуты назад, jserov96 сказал:

может каким-то образом восстановить заголовок vhd бекапа?

С этим лучше обратиться в техподдержку. Если есть лицензия на продукт Касперского, можно сделать запрос на восстановление здесь.

+

проверьте ЛС

Изменено пользователем safety

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
  • Похожий контент

    • astraoren
      Автор astraoren
      Здравствуйте, шифровальщик зашифровал файлы. Прошу помощи в расшифровке
      encoder files.zip
    • Lingon
      Автор Lingon
      files.rarAddition.txt
      FRST.txt
    • SatanicPanzer
      Автор SatanicPanzer
      Скорее всего проник через почту на сервер небольшой фирмы, файлы и логи прикрепляю
      FRST.txt 1.zip
    • Evgeniy Alekseevich
      Автор Evgeniy Alekseevich
      05 августа , судя по датам файлов, на нашем сервере был запущен шифровальщик, кем и как пока выясняем, но сегодня утром я обнаружил зашифрованы практически все файлы.
      Файлы имеют расширение helpo2.
      Может кто сталкивался и сможет помочь ?
      Связались с вымогателями, они для примера расшифровали два файла, я вложил в архив два зашифрованных и они же расшифрованные . Там же письмо, которое они оставили.
      Также прикладываю файлы от  Farbar Recovery Scan Tool.
      Может кто сможет помочь....
      С Уважением, Евгений.
       
       
      Addition.txt FRST.txt НаборФайлов5шт.zip
    • komma77
      Автор komma77
      Добрый день. Зашифрованы сервер и компьютеры.  
      файлы и записка.zip Addition.txt FRST.txt
×
×
  • Создать...