Перейти к содержанию

Рекомендуемые сообщения

Опубликовано

Здравствуйте. В процессе работы, через RDP, зависла сессия, после чего сервер был перезагружен. После загрузки получили сообщение, что файлы зашифрованы. Зашифрованными оказались файлы 1С баз, файловые и sql, их копии, 1С обработки, doc, xls и многие другие форматы. Причём, форматы pdf, docx, xlsx, почти не были зашифрованы - как - то, очень, выборочно! Также, были убиты службы sql, сервер 1С и ещё, с дюжину других, отвечающих за теневое копирование, логирование, бэкапы. После этого, система была просканирована, свежими KVRT, Cureit, avz и перезагружена. Затем была выполнена команда sfc /scannow, которая показала, что все файлы, на 100% в порядке.

Addition.txt FRST.txt Зашифрованные.7z

Опубликовано

По очистке системы:

 

Выполните скрипт очистки в FRST

Запускаем FRST.exe от имени Администратора (если не запущен)

Копируем скрипт из браузера в буфер обмена, браузер закрываем.

Ждем, когда будет готов к работе,

Нажимаем в FRST кнопку "исправить".

Скрипт очистит систему, и завершит работу c перезагрузкой системы

Start:
HKLM\...\Policies\system: [legalnoticetext] All your files have been encrypted due to a security problem with your PC.
2025-01-10 23:11 - 2025-01-10 23:11 - 000001430 _____ C:\Users\usr1cv83\Desktop\How-to-decrypt.txt
2025-01-10 22:26 - 2025-01-10 22:26 - 000000000 ____D C:\temp
2025-01-10 22:25 - 2025-01-10 22:25 - 000000000 ____D C:\Users\usr1cv83\AppData\Roaming\Process Hacker 2
2025-01-10 22:25 - 2025-01-10 22:25 - 000000000 ____D C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Process Hacker 2
2025-01-10 22:25 - 2025-01-10 22:25 - 000000000 ____D C:\Program Files\Process Hacker 2
2025-01-10 23:15 - 2023-12-18 16:33 - 000000000 __SHD C:\Users\usr1cv83\AppData\Local\0072EFF7-783D-F477-CDFA-0F3171F236E0
Reboot::
End::

После перезагрузки:

Добавьте файл Fixlog.txt из папки, откуда запускали FRST, в ваше сообщение

Папку C:\FRST\Quarantine  заархивируйте с паролем virus, архив загрузите на облачный диск и дайте ссылку на скачивание в вашем сообщении.

Опубликовано

Добавьте, пожалуйста отчеты после сканирования KVRT  и лог сканирования Cureit, можно поместить в один архив без пароля.

Опубликовано

Вот.

Logi.7z

Что у Cureit, что у KVRT есть папки Quarantine. Мложет быть пригодятся?

Опубликовано

из найденного в Cureit:

C:\Users\Администратор\Downloads\AnyDesk.exe - infected with Trojan.MulDrop28.52419
C:\Users\Администратор\Downloads\AnyDesk.exe - infected

в kvrt это скорее всего тело шифровальщика:

            <Event12 Action="Detect" Time="133809952814626277" Object="C:\Users\usr1cv83\AppData\Local\0072EFF7-783D-F477-CDFA-0F3171F236E0\steam.exe"

 

есть еще пострадавшие от шифровальщика устройства, или только данный сервер был зашифрован?

 

Опубликовано (изменено)

Учетную запись ограничили и отключили после шифрования?

(из под нее похоже было шифрование.)

USR1CV83 (S-1-5-21-1281665750-1147704142-2868909237-1032 - Limited - Disabled) => C:\Users\usr1cv83

 

Изменено пользователем safety
Опубликовано (изменено)

Проверьте ЛС.

----------

Увы, по данному типу шифровальщика не сможем вам помочь без приватного ключа.

 

теперь, когда ваши файлы были зашифрованы, примите серьезные меры безопасности:


1. создание бэкапов данных на отдельном устройстве, которое не должно быть постоянно доступным;
2. установка актуальных обновлений для операционной системы;
3. установка надежной актуальной антивирусной защиты с регулярным обновлением антивирусных баз;
4. установка надежных паролей для аккаунтов из группы RDP;
5. настройка нестандартного порта (вместо стандартного 3389) для сервиса RDP;
6. настройки безопасности, которые защищают пароль к аккаунту от удаленного брутфорсинга
7. если есть такая возможность, настройте двухфакторную аутентификацию для доступа к рабочему столу
8. доступ к рабочему столу из внешней сети (если необходим для работы), либо через VPN подключение, либо только с доверенных IP (белый лист);

Изменено пользователем safety

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
  • Похожий контент

    • Tangous
      Автор Tangous
      Помогите пож.
      Проекты САМ и САД. Работа последних лет.
       
      Addition.txt FRST.txt sample_vir.zip
    • Ladomir
      Автор Ladomir
      добрый не добрый день! Помогите пожалкйста расшифровать хотя бы БД от 1с. Утром проснулись - все на компе заменено расширением с этим файлом. Прикрепляю примеры! Пожалуйста помогите


      примеры.rar
    • Ruggiero Paolo
      Автор Ruggiero Paolo
      Поймал вирус по почте, зашифровал все фото и несколько сотен .doc документов.
      Была проведена отчиска hitmanpro, malwerbytes, kaspersky утилитами. И все файлы зашифрованые скопированы на мою флешку в надежде на расшифрофку файлов с разрешением .encrypted
      Что можно сделать.
      Primer.zip
    • СИСТЕМЩИК
      Автор СИСТЕМЩИК
      Зашифровались файлы. Прошу помочь
      FRST.txt Зашифрованные файлы(virus).xlsx.rar
    • Лëха
      Автор Лëха
      Добрый день.
      Прошу помочь, у меня также шифровальщик ELPY. Первый обнаруженный ПК был заражен 13.01.2026 в промежуток с 1 до 4 часов ночи. По нему пока кроме фото информации никакой дать не могу, нет доступа к ПК (только завтра). Второй ПК был обнаружен на днях, но зашифрован он частично также 13 числа в тот же промежуток времени, проверка антивирусом ничего не нашла, ПК работает в штатном режиме. На первом ПК, если я запущу FRST проверку, на на USB накопителе не перенесу вирус на другую машину для оправки результатов сканирования? Какие мои дальнейшие действия? За ранее спасибо.

×
×
  • Создать...