Перейти к содержанию

Рекомендуемые сообщения

Опубликовано

Windows Server 2012 R2

Спокойно работали 29.11.2024  и в 09:40 перестали быть доступны сетевые файлы и появилась ошибка 1С.

в текстовом файле указана почта для восстановления:
Write to email: a38261062@gmail.com
 

Во вложении текстовый файл и несколько зашифрованных файлов

FILES_ENCRYPTED.rar Desktop.rar

Опубликовано (изменено)

Добавьте, пожалуйста, логи FRST из зашифрованной системы.

Изменено пользователем safety
Опубликовано (изменено)

процессы сканирования системы завершены?

 

(AO Kaspersky Lab -> AO Kaspersky Lab) C:\Users\836D~1\AppData\Local\Temp\3\{57007062-2770-42d8-9941-23137ec2d1c3}\0de56fbd.exe

(C:\Users\Администратор\AppData\Local\Temp\3\C4FFA544-BFC18582-4BA2DC76-F102682\ceMUyRysM.exe ->) (Doctor Web Ltd. -> ) C:\Users\Администратор\AppData\Local\Temp\3\C4FFA544-BFC18582-4BA2DC76-F102682\TNRfzhsl.exe
(C:\Users\Администратор\Downloads\2fexe8yw.exe ->) (Doctor Web Ltd. -> ) C:\Users\Администратор\AppData\Local\Temp\3\C4FFA544-BFC18582-4BA2DC76-F102682\ceMUyRysM.exe
(C:\Users\Администратор\Downloads\2fexe8yw.exe ->) (Doctor Web Ltd. -> ) C:\Users\Администратор\AppData\Local\Temp\3\C4FFA544-BFC18582-4BA2DC76-F102682\N5OJnF4Ad8Ois.exe

 

+

Это что у вас запускается из папки автозапуска?

Startup: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\kWnd.exe [2020-05-10] () [Файл не подписан]

 

 

Изменено пользователем safety
Опубликовано

kwnd - не помню чтобы я его ставил, дата изменения файла 10.05.2020. в инете говорят для 1с штука.

удалил на всякий случай.

 

image.thumb.png.4e7248ca0f481711265dbb3d7460f849.png

Опубликовано

Пробуйте выполнить на диске поииск исполняемых файлов, созданных на момент шифрования, содержащих подстроку "salted"

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
  • Похожий контент

    • Kazantipok
      Автор Kazantipok
      Windows Server 2019 развернут 31.01.25.
       
      До 08:24 16.02.25 все работало. Была установлена синхронизация с Dropbox диска D. После этого по логам начали удаляться все папки и файлы. С утра 17.02.25 сервер 1С не доступен, пароль Админа к серверу по RDP не подходил, сервер перезагружался (не помогло), вручную вкл./выкл. помогло, зашел под другой учеткой с админ. правами, сбросил пароль основной учетки Админ. По итогу на диске С файлы с расширением .oo4ps и два диска D и E запаролены Bitlocker.
      Помогите пожалуйста разблокировать диск E - там хранились бекапы.
      Desktop.rar FRST.txt Addition.txt
    • ALFGreat
      Автор ALFGreat
      Добрый день! Сегодня обнаружилось, что зашифрован сервер. Открылся файл, мол пишите на адрес a38261062@gmail.com 
      Какой порядок действий? Возможно ли как то восстановить? Как узнать под какой учеткой был запущен шифровальщик?
    • niktnt
      Автор niktnt
      Добрый день.
      Шифровальщик загрузился на сервер из ремоут десктоп менеджера и на всем куда смог попасть зашифровал все диски кроме с:\.
      На предположительном компьютере-источнике зашифрован и диск C:\
      Файлы о выкупе продолжают создаваться при старте системы.
      Addition.txt FRST.txt virus_bitlocker.zip
    • sss28.05.2025
      Автор sss28.05.2025
      Добрый день.
      Зловред залетел моментом на многие сервера по спику из ремоут десктоп менеджера и на всем куда смог попасть зашифровал все диски кроме с:\
      вложил файл PLEASE READ.txt PLEASE READ_пароль_1111.7z на рабочий стол пользователя под которым попал на сервер.
      На одном из серверов удалось поймать файл в C:\Users\%username%\Documents\vc.txtvc_пароль_1111.7z
      Пособирал файлики которые менялись на компе в момент атаки - может чем-то поможет для анализа_файлы которые изменились в момент доступа_злодея_пароль_1111.7z
       
       
       
      PLEASE READ_пароль_1111.7z
    • qwert1
      Автор qwert1
      День добрый. Прошу помочь разблокировать диски и данные на них  - необходимые фалы приложил, кроме самого шифровальщика (его найти не удалось).
      При подключении к серверу с 1С все диски кроме С заблочены Битлокером, с рабочего столе самозапустился файл FILES_ENCRYPTED с сообщением о взломе.
      exampleOOO4PS.zip Addition.txt FRST.txt FILES_ENCRYPTED.txt
×
×
  • Создать...