Перейти к содержанию

Шифровальщик проник на сервера(2шт) с RDP, зашифровал все данные. Расширение .innok


Рекомендуемые сообщения

Добрый день! Помогите расшифровать данные.
Шифровальщик вымогатель с расширением .innok  проник на сервера с RDP на windows server 2016 и 2012
Зашифровал множестово (1с Базы, документы, картинки...) данных в том числе на всех сетевых дисках в локальной сети.
После шифрования почистил журнал событий, отключилась функция VSS восстановления. Файл вируса не обнаружил. 
Буду благодарен за любую помощь в расшифровке.

Зашифрованные документы и файл с требованиями.rarПолучение информации... логи FRST WS2012.rarПолучение информации... логи FRST WS2016.rarПолучение информации...

Ссылка на комментарий
Поделиться на другие сайты

Идентификаторы в записке о выкупе одинаковы на обоих серверах?

  Цитата

# In subject line please write your personal ID
D37****

Expand  

Если системы проверяли сканерами Cureit или KVRT, посмотрите в логах обнаружения нет ли файла x.exe (или другого исполняемого файла со статусом infected)

Возможно в этом каталоге:

C:\Users\Public\Pictures\Sample Pictures

Изменено пользователем safety
Ссылка на комментарий
Поделиться на другие сайты

По очистке системы UKSVSERVER

 

Выполните скрипт очистки в FRST

Запускаем FRST.exe от имени Администратора (если не запущен)

Копируем скрипт из браузера в буфер обмена, браузер закрываем.

Ждем, когда будет готов к работе,

Нажимаем в FRST кнопку "исправить".

Скрипт очистит систему, и завершит работу c перезагрузкой системы

Start::
HKLM\...\Winlogon: [LegalNoticeCaption] innok Ransomware
HKLM\...\Winlogon: [LegalNoticeText]  - All your files are stolen and encrypted - Find innok_Help.txt file - and follow instructions
HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Ограничение <==== ВНИМАНИЕ
GroupPolicy: Ограничение ? <==== ВНИМАНИЕ
GroupPolicy\User: Ограничение ? <==== ВНИМАНИЕ
Policies: C:\ProgramData\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
Policies: C:\Users\anisimova\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
Policies: C:\Users\bank\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
Policies: C:\Users\caleb\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
Policies: C:\Users\chesnokova\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
Policies: C:\Users\evtushenko\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
Policies: C:\Users\gockina\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
Policies: C:\Users\hopenko\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
Policies: C:\Users\ikrynnikova\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
Policies: C:\Users\kolesnikova\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
Policies: C:\Users\kuriakova\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
Policies: C:\Users\luchinskaya\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
Policies: C:\Users\micel\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
Policies: C:\Users\pegova\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
Policies: C:\Users\shipova\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
Policies: C:\Users\stbs\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
Policies: C:\Users\temina\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
Policies: C:\Users\user\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
Policies: C:\Users\vagenina\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
Policies: C:\Users\zavershinskay\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
Policies: C:\Users\zaychenko\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
Policies: C:\Users\Администратор\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
Policies: C:\Users\обновление\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
2025-01-14 22:31 - 2025-01-14 22:31 - 000000541 _____ C:\innok_Help.txt
Reboot::
End::

После перезагрузки:

Добавьте файл Fixlog.txt из папки, откуда запускали FRST, в ваше сообщение

Папку C:\FRST\Quarantine  заархивируйте с паролем virus, архив загрузите на облачный диск и дайте ссылку на скачивание в вашем сообщении.

-------------

 

 

По очистке системы I3SERVER:

 

Выполните скрипт очистки в FRST

Запускаем FRST.exe от имени Администратора (если не запущен)

Копируем скрипт из браузера в буфер обмена, браузер закрываем.

Ждем, когда будет готов к работе,

Нажимаем в FRST кнопку "исправить".

Скрипт очистит систему, и завершит работу c перезагрузкой системы

Start::
HKLM\...\Winlogon: [LegalNoticeCaption] innok Ransomware
HKLM\...\Winlogon: [LegalNoticeText]  - All your files are stolen and encrypted - Find innok_Help.txt file - and follow instructions
HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate: Ограничение <==== ВНИМАНИЕ
GroupPolicy: Ограничение ? <==== ВНИМАНИЕ
Policies: C:\ProgramData\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
2025-01-14 22:35 - 2025-01-14 22:35 - 000000541 _____ C:\innok_Help.txt
Reboot::
End::

После перезагрузки:

Добавьте файл Fixlog.txt из папки, откуда запускали FRST, в ваше сообщение

Папку C:\FRST\Quarantine  заархивируйте с паролем virus, архив загрузите на облачный диск и дайте ссылку на скачивание в вашем сообщении.

Изменено пользователем safety
Ссылка на комментарий
Поделиться на другие сайты

  15.01.2025 в 16:27, safety сказал:

Идентификаторы в записке о выкупе одинаковы на обоих серверах?

Если системы проверяли сканерами Cureit или KVRT, посмотрите в логах обнаружения нет ли файла x.exe (или другого исполняемого файла со статусом infected)

Возможно в этом каталоге:

C:\Users\Public\Pictures\Sample Pictures

Expand  

Доброе утро, ID одинаковые на всех системах, сканеры запустил, по итогу выложу всю информацию.
Благодарю за оперативный ответ, буду выполнять рекомендации!

 

Файлы карантина и фикслоги серверов

Quarantine UKSVSERVER:
https://cloud.mail.ru/public/926q/XEucdV5Ey

Quarantine I3SERVER:
https://cloud.mail.ru/public/Modi/8YHyTqwwa

Fixlog UKSVSERVER.txtПолучение информации... Fixlog I3SERVER.txtПолучение информации...

Ссылка на комментарий
Поделиться на другие сайты

Хорошо, жду логи сканирования, но возможно что сэмплы могли самоудалиться после завершения работы

Среди удаленных файлов может быть такая задача:

C:\Windows\system32\Tasks\Windows Update BETA

В этой задаче может быть прописан запуск сэмпла шифровальщика.

Ссылка на комментарий
Поделиться на другие сайты

Очень похоже что вирус все почистил за собой. Попробую через LiveCD восстановление файлов, может обнаружу. Есть в этом смысл?

 

Ссылка на комментарий
Поделиться на другие сайты

Да. Имеет смысл знать подробную информацию по каждому типу шифровальщика. Если данная задача будет среди удаленных, пробуйте восстановить ее в виде файла.

Изменено пользователем safety
Ссылка на комментарий
Поделиться на другие сайты

Сканирование ни чего не показало, восстановление делается, но пока что-то похожее найти не удается, продолжу поиски

 

Ссылка на комментарий
Поделиться на другие сайты

Такой еще скрипт выполните в FRST на обоих серверах.

 

Start::
IFEO\CompatTelRunner.exeSecurityHealthHost: [Debugger] Hotkey Disabled
IFEO\ConfigSecurityPolicy: [Debugger] Hotkey Disabled
IFEO\DlpUserAgent: [Debugger] Hotkey Disabled
IFEO\MpDefenderCoreService: [Debugger] Hotkey Disabled
IFEO\MpDlpCmd: [Debugger] Hotkey Disabled
IFEO\MpDlpService: [Debugger] Hotkey Disabled
IFEO\mpextms: [Debugger] Hotkey Disabled
IFEO\MRT.exe: [Debugger] Hotkey Disabled
IFEO\MsMpEng: [Debugger] Hotkey Disabled
IFEO\NisSrv: [Debugger] Hotkey Disabled
IFEO\SecurityHealthService: [Debugger] Hotkey Disabled
IFEO\SecurityHealthSystray: [Debugger] Hotkey Disabled
IFEO\smartscreen.exe: [Debugger] Hotkey Disabled
IFEO\Veeam.Backup.CloudService.exe: [Debugger] Hotkey Disabled
IFEO\Veeam.Backup.MountService.exe: [Debugger] Hotkey Disabled
IFEO\Veeam.Backup.Service.exe: [Debugger] Hotkey Disabled
IFEO\Veeam.Backup.WmiServer.exe: [Debugger] Hotkey Disabled
IFEO\Veeam.EndPoint.Service.exe: [Debugger] Hotkey Disabled
IFEO\Veeam.VssHwSnapshotProvider.exe: [Debugger] Hotkey Disabled
IFEO\VeeamDeploymentSvc.exe: [Debugger] Hotkey Disabled
IFEO\VeeamHvIntegrationSvc.exe: [Debugger] Hotkey Disabled
IFEO\VeeamNFSSvc.exe: [Debugger] Hotkey Disabled
IFEO\VeeamTransportSvc.exe: [Debugger] Hotkey Disabled
IFEO\vmcompute.exe: [Debugger] Hotkey Disabled
IFEO\vmms.exe: [Debugger] Hotkey Disabled
IFEO\vmwp.exe: [Debugger] Hotkey Disabled
End::

добавьте лог выполнения скрипта Fixlog.txt в ваше сообщение.
 

Ссылка на комментарий
Поделиться на другие сайты

Хорошо, здесь очистка успешно сработала:

  Цитата

HKLM\Software\microsoft\windows nt\currentversion\Image File Execution Options\vmcompute.exe => успешно удалены
HKLM\Software\microsoft\windows nt\currentversion\Image File Execution Options\vmms.exe => успешно удалены
HKLM\Software\microsoft\windows nt\currentversion\Image File Execution Options\vmwp.exe => успешно удалены

Expand  


 

Ссылка на комментарий
Поделиться на другие сайты

Самая беда что вирус включился в работу когда делался Архив, и убил мне часть архивов, восстановить базу пришлось от декабря восстанавливать.
Еще один системный блок обнаружил на который залетел этот вирус в тоже время, сейчас запускаю на нем все действия, выложу сюда. Может что на нем обнаружим. 

 

 

Название системника Fileserv47 

Addition.txtПолучение информации... FRST.txtПолучение информации... Shortcut.txtПолучение информации...

 

По серверу UKSVSERVER логи

2 Fixlog UKSVSERVER.txtПолучение информации...

Ссылка на комментарий
Поделиться на другие сайты

  17.01.2025 в 06:32, AntOgs сказал:

Название системника Fileserv47 

Expand  

Здесь признаков запуска сэмпла не вижу.

Возможно, зашифрована только папка users, если она в общем доступе. т.е. процесс шифрования был запущен на другом устройстве, возможно на одном из первых двух.

Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
  • Похожий контент

    • Croony
      От Croony
      Addition.txt FRST.txt Desktop.zip Frank_Help.txt
    • Юрикс
      От Юрикс
      Приветствую всех. Уже прилично как зашифровало файлы. Почтой отправлял данные (сам вирус и шифрованные файлы) в Касперский, но что-то тишина.
      Шифрование похоже на .7Kf9uY и .rOSb1V. Только в сообщении у меня другая ссылка на сайт. А так, вроде и сайт с тем самим видом.
      Внимание! Все Ваши файлы зашифрованы!Чтобы восстановить свои файлы посетите сайт http://plc.2fh.co Если сайт недоступен пишите на plc12@inbox.com Ваш id d9115873 У вас есть 6 попыток ввода кода. При превышении этого  лимита все данные необратимо испортятся. Надеюсь и мне повезёт с расшифровкой.
      Прикладываю шифрованный файл.
      OemInfo.zip.zip
    • jserov96
      От jserov96
      Шифровальщик запустился скорее всего из планировщика заданий ровно в 21:00 16 ноября в субботу.  Время указано на основе найденных зашифрованных файлов. Шифровальщик нашел все скрытые диски, подключил все бекапы, зашифровал все содержимое .vhd бекапов, и сами бекапы тоже зашифровал. Сервер отключен, диск с бекапами снят, зашифрованные .vhd файлы перенесены на другой диск, чтобы попробовать вытащить файлы. Шифровальщик шифрует первый 20000h байт файла и дописывает 300h байт в огромные файлы, видимо сделано для ускорения шифрования всего диска. Особенность: выполняемые файлы не шифруются!
      vx2.rar
    • Инфлюенсер
      От Инфлюенсер
      Добрый день, произошел взлом системы. Пострадали пк и сервера, злоумышленник зашифровал данные. Так же попросил выкуп. для теста дал пароль от одного из дисков с помощью которого удалось расшифровать диск с которого собраны логи по запросу, в данный момент диски заблокированы. Требуется ли с помощью программы R.Saver   попытаться вытащить какиет-о файлы, так как в настоящий момент  диски являются роу
      Addition.txtFRST.txt
    • Andrei Butyrchyk
      От Andrei Butyrchyk
      Здравствуйте!
      Отработал на машине шифровальщик. До конца отработать, по всей видимости, не успел так как нет записки и не все файлы были зашифрованы.
      Есть папки с RSADecryptKey и предположительно сам файл шифровальщик.
      FRST.zip EncryptedFiles.zip
×
×
  • Создать...