Перейти к содержанию

Рекомендуемые сообщения

Опубликовано (изменено)

Шифровальщик запустился скорее всего из планировщика заданий ровно в 21:00 16 ноября в субботу.  Время указано на основе найденных зашифрованных файлов. Шифровальщик нашел все скрытые диски, подключил все бекапы, зашифровал все содержимое .vhd бекапов, и сами бекапы тоже зашифровал. Сервер отключен, диск с бекапами снят, зашифрованные .vhd файлы перенесены на другой диск, чтобы попробовать вытащить файлы. Шифровальщик шифрует первый 20000h байт файла и дописывает 300h байт в огромные файлы, видимо сделано для ускорения шифрования всего диска. Особенность: выполняемые файлы не шифруются!

vx2.rar

Изменено пользователем jserov96
Опубликовано

Этот файл найдите на диске,

C:\Windows\System32\inetsrv\tomb\svchost.exe

заархивируйте с паролем virus, загрузите на облачный диск и дайте ссылку на скачивание в ЛС

Опубликовано (изменено)

сейчас сервер отключен, диск с бекапами снят и установлен на другой комп. Могу снять системный диск и проверить его также на другом компьютере

 

 

я так понимаю это не шифровальщик? т.е. надо искать еще где-то?

 

Изменено пользователем jserov96
Опубликовано (изменено)

Тело шифровальщика могло самодалиться, но тип шифровальщика понятен. Это Proton и мы не сможем расшифровать его без приватного ключа.

 

По очистке системы.

 

Выполните скрипт очистки в FRST

Запускаем FRST.exe от имени Администратора (если не запущен)

Копируем скрипт из браузера в буфер обмена, браузер закрываем.

Ждем, когда будет готов к работе,

Нажимаем в FRST кнопку "исправить".

Скрипт очистит систему, и завершит работу c перезагрузкой системы

Start::
HKLM\SOFTWARE\Policies\Microsoft\Windows NT\SystemRestore: [DisableConfig] Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Microsoft\Windows NT\SystemRestore: [DisableSR] Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Ограничение <==== ВНИМАНИЕ
HKLM\...\Policies\system: [legalnoticecaption] Your computer is encrypted
HKLM\...\Policies\system: [legalnoticetext] We encrypted and stolen all of your files.
Task: {934C257B-0ED7-441F-B09D-6171D3F94CC6} - System32\Tasks\Microsoft\Windows\Defrag\LP Schedule => C:\Windows\System32\inetsrv\tomb\svchost.exe [5583872 2024-02-07] (Microsoft) [Файл не подписан] -> --daemonized -c C:\Windows\System32\config.json <==== ВНИМАНИЕ
S3 458DF55275B351E5; \??\c:\users\Администратор\appdata\local\temp\1\9BCE9F94D4.sys [X] <==== ВНИМАНИЕ
S3 QDrive; \??\C:\Users\836D~1\AppData\Local\Temp\1\QDrive.sys [X] <==== ВНИМАНИЕ
2024-11-17 06:51 - 2024-11-17 06:51 - 001653750 _____ C:\ProgramData\93CDFEAAA54180C635F23CACB380621A.bmp
Reboot::
End::

После перезагрузки:

Добавьте файл Fixlog.txt из папки, откуда запускали FRST, в ваше сообщение

Изменено пользователем safety
Опубликовано

vhd бекапы они зашифровали не полностью, может попробовать восстановить первые 20000h байт из других файлов, они подключили диск бекапа, зашифровали его и оставили эту копию доступной, может каким-то образом восстановить заголовок vhd бекапа?

Опубликовано (изменено)
3 минуты назад, jserov96 сказал:

может каким-то образом восстановить заголовок vhd бекапа?

С этим лучше обратиться в техподдержку. Если есть лицензия на продукт Касперского, можно сделать запрос на восстановление здесь.

+

проверьте ЛС

Изменено пользователем safety

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
  • Похожий контент

    • Zero69
      Автор Zero69
      Добрый день!
       
      Столкнулись с проблемой шифровки всех файлов на ПК. 
      Системные файлы не затронуты - только пользовательские.
      Пробовал расшифровать на сайте nomoreransom.org, но безуспешно.
      Снять логи с ПК сейчас не возможно, в архив приложил 2 зашифрованных файла и txt файл с требованием выкупа.
      virus.zip
    • ToRaMoSoV
      Автор ToRaMoSoV
      Здравствуйте, сегодня утром обнаружил, что мой компьютер с windows 10 был атакован вирусом шифровальщиком. Главная учётная запись (админ) была основной для использования удалённого управления через rdp. Я пробросив порт через роутер и купив статику, попал под брутфорс. Меня взломали в течении пары часов(атака началась в 23 по мск, а закончилась в 1-2 часу). По результатам которой все файлы были зашифрованы, службы виндовс отключены, а пароль от админки утерян. На рабочем столе учетки юзера я обнаружил записку (фото приложил). Также прикладываю фото файла. Архив и сам вирус я не обнаружил (читал похожие случаи)
      l!lAll of your files are encrypted!!! To decrypt them send e-mail to this address: Write the ID in the email subject
       
      ID: A6D959082E20B73AC6B59F6EBB230948
       
      Email 1: reopening2025@gmail.com Telegram: @Rdp21
       
      To ensure decryption you can send 1-2 files less than 1MB we will de
       
      We have backups of all your files. If you dont pay us we will sell a and place them in the dark web with your companys domain extension.
       
      IF 48 HOURS PASS WITHOUT YOUR ATTENTION, BRACE YOURSELF FOR A DOUBLE WE DON'T PLAY AROUND HERE, TAKE THE HOURS SERIOUSLY.

    • SкаZочNик
      Автор SкаZочNик
      Здравствуйте!
      Заражение компьютера произошло еще 7-го сентября вечером через взлом RDP. Комп попал в руки только сейчас. К расширениям всех файлов добавился вот такой хвост: .[reopening2025@gmail.com].lsjx
      Шифровальщик все еще активен в системе, т.к. после перезагрузки зашифровал свежие файлы. Есть незашифрованные копии этих свежих файлов. В результате действия вируса на зараженной машине был удален Kaspersky Small Office Security. Также на зараженном ПК обнаружен файл с именем, полностью совпадающим с ID в письме о выкупе. Причем этот файл настойчиво пытается запуститься и требует разрешения на запуск. На другом, назараженном ПК KES этот файл определяет как Trojan-Ransom.Win32.Generic. В случае необходимости архив с файлом-вирусом, а также с незашифрованными копиями файлов также могу приложить..
      Files.7z FRST.txt
    • dma164
      Автор dma164
      Здравствуйте!
      Путем взлома RDP были зашифрованы файлы на машине, а также на доступных ей сетевых дисках, получили расширение .lsjx. При этом на машине был удален KES через KAVRemover, установлены приложения для сканирования портов.
      После проверки CureIT было найдено множество файлов, зараженных вирусом Neshta. В автозагрузке был обнаружен файл шифровальщика (?), классифицируемый Касперским как Trojan-Ransom.Win32.Generic и с именем, совпадающим с ID в  письме . Лог CureIT 11 Мб- не прикладывается

      FRST.txt файлы.zip
    • Alex19863332
      Автор Alex19863332
      Добрый день! Поймали точно такой же вирус. Помогите) 🙏 Shadow Explorer-не помог( просто Desktop.7zпустое окно, как будь-то нет ни одного файла)
      Addition.txt FRST.txt
×
×
  • Создать...