Перейти к содержанию

Поймали шифровальщика

IrinaC
 Share

Рекомендуемые сообщения

IrinaC Новичок

IrinaC

Опубликовано
Опубликовано

Здравствуйте!
Сегодня утром появился шифровальщик, при том в такое время, когда никто не работает, в 6.13 по Москве. Никто не признается, что скачал и запустил зараженный файл, допускаем, что было подключение извне.
Базы данных, документы, архивы - все файлы получили расширение *.Bpant. При этом, зашифровано всё только на диске D. Диск С остался нетронутым. Логи, зашифрованные данные, письмо от злоумышленников прилагаю.

Addition.txt FRST.txt Шифровки.rar

Ссылка на комментарий
Поделиться на другие сайты
safety Гигант мысли

safety

Опубликовано
Опубликовано

Возможно, произошел взлом данной учетной записи:

2024-12-10 07:14 - 2024-12-10 07:14 - 000000573 _____ C:\Users\BaranenkoA\Bpant_Help.txt
2024-12-10 07:13 - 2024-12-10 07:16 - 012364464 _____ C:\Users\BaranenkoA\Downloads\mcv.dll

 

Если систему уже сканировали антивирусным сканером или штатным антивирусом, добавьте, пожалуйста, лог сканирования в архиве и без пароля.

 

Ссылка на комментарий
Поделиться на другие сайты
IrinaC Новичок

IrinaC

Опубликовано
  • Автор
Опубликовано

Вот что бы прям обычный доступ из какого-нибудь сетевого обнаружения, то расшарена одна только папка. А пользователи удаленных рабочих столов все имеют доступ.

Ссылка на комментарий
Поделиться на другие сайты
safety Гигант мысли

safety

Опубликовано
Опубликовано

Выполните очистку системы в FRST

 

Выполните скрипт очистки в FRST

Запускаем FRST.exe от имени Администратора (если не запущен)

Копируем скрипт из браузера в буфер обмена, браузер закрываем.

Ждем, когда будет готов к работе,

Нажимаем в FRST кнопку "исправить".

Скрипт очистит систему, и завершит работу c перезагрузкой системы 

Start::
HKLM-x32\...\Run: [] => [X]
GroupPolicy: Ограничение ? <==== ВНИМАНИЕ
GroupPolicy\User: Ограничение ? <==== ВНИМАНИЕ
Policies: C:\ProgramData\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
Policies: C:\Users\Bahet\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
Policies: C:\Users\BaranenkoA\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
Policies: C:\Users\PetrovaM\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
Policies: C:\Users\PetrovS\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
Policies: C:\Users\Администратор.WIN-AVQ1QG75P77\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Mozilla\Firefox: Ограничение <==== ВНИМАНИЕ
2024-12-10 07:16 - 2024-12-10 07:16 - 000000573 _____ C:\Users\BaranenkoA\AppData\LocalLow\Bpant_Help.txt
2024-12-10 07:16 - 2024-12-10 07:16 - 000000573 _____ C:\Users\BaranenkoA\AppData\Local\Bpant_Help.txt
2024-12-10 07:15 - 2024-12-10 07:15 - 000000573 _____ C:\Users\Public\Downloads\Bpant_Help.txt
2024-12-10 07:15 - 2024-12-10 07:15 - 000000573 _____ C:\Users\Public\Documents\Bpant_Help.txt
2024-12-10 07:15 - 2024-12-10 07:15 - 000000573 _____ C:\Users\BaranenkoA\Downloads\Bpant_Help.txt
2024-12-10 07:15 - 2024-12-10 07:15 - 000000573 _____ C:\Users\BaranenkoA\Documents\Bpant_Help.txt
2024-12-10 07:15 - 2024-12-10 07:15 - 000000573 _____ C:\Users\BaranenkoA\Desktop\Bpant_Help.txt
2024-12-10 07:15 - 2024-12-10 07:15 - 000000573 _____ C:\Users\BaranenkoA\AppData\Bpant_Help.txt
2024-12-10 07:14 - 2024-12-10 07:14 - 000000573 _____ C:\Users\Public\Bpant_Help.txt
2024-12-10 07:14 - 2024-12-10 07:14 - 000000573 _____ C:\Users\BaranenkoA\Bpant_Help.txt
2024-12-10 07:13 - 2024-12-10 07:13 - 000000573 _____ C:\ProgramData\Bpant_Help.txt
End::

После перезагрузки:

Добавьте файл Fixlog.txt из папки, откуда запускали FRST, в ваше сообщение

Ссылка на комментарий
Поделиться на другие сайты
safety Гигант мысли

safety

Опубликовано
Опубликовано (изменено)

Расшифровка файлов по данному типу шифровальщика, к сожалению, невозможна без приватного ключа.

 

теперь, когда ваши файлы были зашифрованыs, примите серьезные меры безопасности:


1. создание бэкапов данных на отдельном устройстве, которое не должно быть постоянно доступным;
2. установка актуальных обновлений для операционной системы;
3. установка надежной актуальной антивирусной защиты с регулярным обновлением антивирусных баз;
4. установка надежных паролей для аккаунтов из группы RDP;
5. настройка нестандартного порта (вместо стандартного 3389) для сервиса RDP;
6. настройки безопасности, которые защищают пароль к аккаунту от удаленного брутфорсинга
7. если есть такая возможность, настройте двухфакторную аутентификацию для доступа к рабочему столу
8. доступ к рабочему столу из внешней сети (если необходим для работы), либо через VPN подключение, либо только с доверенных IP (белый лист);

Изменено пользователем safety
Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Share
Перейти к списку тем

  • Похожий контент

    • Shade_art
      Поймали шифровальщик. platishilidrochish@fear.pw
      От Shade_art
      Добрый день. 
      Поймали вирус шифровальщик. Тут есть умельцы помочь с этой проблемой?
    • BORIS59
      [РАСШИФРОВАНО] Поймал шифровальщика вымогателя.
      От BORIS59
      Доброго времечка поймал шифровальщик, система не переустанавливалась.
      Зашифровали файлы (WANNACASH NCOV v170720), требуют выкуп!
      Попался на поиске ключей ESET, в 2020г. Обращался в ESET про пудрили
      мозг и смылись. Приложил скрин kvrt сделан сразу после шифровки.
      Подскажите, пожалуйста, возможно восстановить?

      Farbar Recovery Scan Tool.zip Файлы с требованиями злоумышленников.zip Зашифрованные файлы.zip
    • Ч_Александр
      Поймал шифровальщик Trojan.Encoder.37448
      От Ч_Александр
      Добрый день.
      Шифровальщик Trojan.Encoder.37448. Каспер у юзера был старый и не активный.
      Зашифрован HDD, "exe" файлы не зашифрованы. Зашифрованы документы и базы 1С.
      Есть скрин "Резервного хранилища", к сожалению очищено.
      Пример имени зашифрованного файла "д о г о в о р №30 04.doc.elpaco-team-54idcqynrhwlpsxf_krvfq_dgtrabof-vdlmydcjdxy.[Rdpdik6@gmail.com].lockedfile".
      Скрин и файл с требованием во вложении.
      Могу предоставить зашифрованные файлы.
      Есть ли шанс на расшифровку?
       
      П.С.
      Ответ DRWEB
       Файлы зашифрованы Trojan.Encoder.37448 Расшифровка нашими силами невозможна.

      #Read-for-recovery.txt
    • Kashey
      Поймал шифровальщик LoKi Locker помогите пожалуйста
      От Kashey
      Добрый день только поставил чистый сервер 2012 r2, и в течении полу дня поймали шифровальщика, "Loki Locker", по неопытности просканил KRD и удалил все намеки на вирус, но проблема соответственно не решилась, переустановил ОС и опять ничего ))) Как бы и было это и было ясно с самого начало, но попытка не пытка ))) На других локальных дисках была очень важная информация.
      Помогите пожалуйста.
      ОС Переустанавливал
      Зашифрованные файлы.7z Far Bar result files.7z Файл с требованиями.7z
    • trambler3
      Поймал шифровальщика (предположительно Trojan.Encoder.37448)
      От trambler3
      1. ОС переустановлена т.к. необходимо рабочее место.
      2. Атака произошла ночью в выходной день через компьютер пользователя. Сервер 1С не смогли зашифровать, только общедоступные папки (шару). Однако на сервере касперский нашел ransomware (к сожалению в панике удалил даже не записав точное название), так же почти на всех пользовательских компах был файл , определяющийся как вирус "AA_v3". При попытке восстановления с помощью, например, recuva видно удаленный файл, но он повреждён. Теневых копий нет. 
      F.7z
×
×
  • Создать...