proxima Шифровальщик проник на сервера(2шт) с RDP, зашифровал все данные. Расширение .innok

[AntOgs]

Добрый день! Помогите расшифровать данные.
Шифровальщик вымогатель с расширением .innok  проник на сервера с RDP на windows server 2016 и 2012
Зашифровал множестово (1с Базы, документы, картинки...) данных в том числе на всех сетевых дисках в локальной сети.
После шифрования почистил журнал событий, отключилась функция VSS восстановления. Файл вируса не обнаружил. 
Буду благодарен за любую помощь в расшифровке.

Зашифрованные документы и файл с требованиями.rar логи FRST WS2012.rar логи FRST WS2016.rar

[safety]

Идентификаторы в записке о выкупе одинаковы на обоих серверах?

Цитата

# In subject line please write your personal ID
D37****

Если системы проверяли сканерами Cureit или KVRT, посмотрите в логах обнаружения нет ли файла x.exe (или другого исполняемого файла со статусом infected)

Возможно в этом каталоге:

C:\Users\Public\Pictures\Sample Pictures

Изменено 15 января пользователем safety

[safety]

По очистке системы UKSVSERVER

 

Выполните скрипт очистки в FRST

Запускаем FRST.exe от имени Администратора (если не запущен)

Копируем скрипт из браузера в буфер обмена, браузер закрываем.

Ждем, когда будет готов к работе,

Нажимаем в FRST кнопку "исправить".

Скрипт очистит систему, и завершит работу c перезагрузкой системы

Start::
HKLM\...\Winlogon: [LegalNoticeCaption] innok Ransomware
HKLM\...\Winlogon: [LegalNoticeText]  - All your files are stolen and encrypted - Find innok_Help.txt file - and follow instructions
HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Ограничение <==== ВНИМАНИЕ
GroupPolicy: Ограничение ? <==== ВНИМАНИЕ
GroupPolicy\User: Ограничение ? <==== ВНИМАНИЕ
Policies: C:\ProgramData\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
Policies: C:\Users\anisimova\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
Policies: C:\Users\bank\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
Policies: C:\Users\caleb\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
Policies: C:\Users\chesnokova\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
Policies: C:\Users\evtushenko\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
Policies: C:\Users\gockina\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
Policies: C:\Users\hopenko\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
Policies: C:\Users\ikrynnikova\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
Policies: C:\Users\kolesnikova\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
Policies: C:\Users\kuriakova\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
Policies: C:\Users\luchinskaya\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
Policies: C:\Users\micel\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
Policies: C:\Users\pegova\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
Policies: C:\Users\shipova\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
Policies: C:\Users\stbs\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
Policies: C:\Users\temina\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
Policies: C:\Users\user\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
Policies: C:\Users\vagenina\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
Policies: C:\Users\zavershinskay\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
Policies: C:\Users\zaychenko\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
Policies: C:\Users\Администратор\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
Policies: C:\Users\обновление\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
2025-01-14 22:31 - 2025-01-14 22:31 - 000000541 _____ C:\innok_Help.txt
Reboot::
End::

После перезагрузки:

Добавьте файл Fixlog.txt из папки, откуда запускали FRST, в ваше сообщение

Папку C:\FRST\Quarantine  заархивируйте с паролем virus, архив загрузите на облачный диск и дайте ссылку на скачивание в вашем сообщении.

-------------

 

 

По очистке системы I3SERVER:

 

Выполните скрипт очистки в FRST

Запускаем FRST.exe от имени Администратора (если не запущен)

Копируем скрипт из браузера в буфер обмена, браузер закрываем.

Ждем, когда будет готов к работе,

Нажимаем в FRST кнопку "исправить".

Скрипт очистит систему, и завершит работу c перезагрузкой системы

Start::
HKLM\...\Winlogon: [LegalNoticeCaption] innok Ransomware
HKLM\...\Winlogon: [LegalNoticeText]  - All your files are stolen and encrypted - Find innok_Help.txt file - and follow instructions
HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate: Ограничение <==== ВНИМАНИЕ
GroupPolicy: Ограничение ? <==== ВНИМАНИЕ
Policies: C:\ProgramData\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
2025-01-14 22:35 - 2025-01-14 22:35 - 000000541 _____ C:\innok_Help.txt
Reboot::
End::

После перезагрузки:

Добавьте файл Fixlog.txt из папки, откуда запускали FRST, в ваше сообщение

Папку C:\FRST\Quarantine  заархивируйте с паролем virus, архив загрузите на облачный диск и дайте ссылку на скачивание в вашем сообщении.

Изменено 15 января пользователем safety

[AntOgs]

22 часа назад, safety сказал:

Идентификаторы в записке о выкупе одинаковы на обоих серверах?

Если системы проверяли сканерами Cureit или KVRT, посмотрите в логах обнаружения нет ли файла x.exe (или другого исполняемого файла со статусом infected)

Возможно в этом каталоге:

C:\Users\Public\Pictures\Sample Pictures

Доброе утро, ID одинаковые на всех системах, сканеры запустил, по итогу выложу всю информацию.
Благодарю за оперативный ответ, буду выполнять рекомендации!

 

Файлы карантина и фикслоги серверов

Quarantine UKSVSERVER:
https://cloud.mail.ru/public/926q/XEucdV5Ey

Quarantine I3SERVER:
https://cloud.mail.ru/public/Modi/8YHyTqwwa

Fixlog UKSVSERVER.txt Fixlog I3SERVER.txt

[safety]

Хорошо, жду логи сканирования, но возможно что сэмплы могли самоудалиться после завершения работы

Среди удаленных файлов может быть такая задача:

C:\Windows\system32\Tasks\Windows Update BETA

В этой задаче может быть прописан запуск сэмпла шифровальщика.

[AntOgs]

Очень похоже что вирус все почистил за собой. Попробую через LiveCD восстановление файлов, может обнаружу. Есть в этом смысл?

 

[safety]

Да. Имеет смысл знать подробную информацию по каждому типу шифровальщика. Если данная задача будет среди удаленных, пробуйте восстановить ее в виде файла.

Изменено 16 января пользователем safety

[AntOgs]

Сканирование ни чего не показало, восстановление делается, но пока что-то похожее найти не удается, продолжу поиски

 

[safety]

Такой еще скрипт выполните в FRST на обоих серверах.

 

Start::
IFEO\CompatTelRunner.exeSecurityHealthHost: [Debugger] Hotkey Disabled
IFEO\ConfigSecurityPolicy: [Debugger] Hotkey Disabled
IFEO\DlpUserAgent: [Debugger] Hotkey Disabled
IFEO\MpDefenderCoreService: [Debugger] Hotkey Disabled
IFEO\MpDlpCmd: [Debugger] Hotkey Disabled
IFEO\MpDlpService: [Debugger] Hotkey Disabled
IFEO\mpextms: [Debugger] Hotkey Disabled
IFEO\MRT.exe: [Debugger] Hotkey Disabled
IFEO\MsMpEng: [Debugger] Hotkey Disabled
IFEO\NisSrv: [Debugger] Hotkey Disabled
IFEO\SecurityHealthService: [Debugger] Hotkey Disabled
IFEO\SecurityHealthSystray: [Debugger] Hotkey Disabled
IFEO\smartscreen.exe: [Debugger] Hotkey Disabled
IFEO\Veeam.Backup.CloudService.exe: [Debugger] Hotkey Disabled
IFEO\Veeam.Backup.MountService.exe: [Debugger] Hotkey Disabled
IFEO\Veeam.Backup.Service.exe: [Debugger] Hotkey Disabled
IFEO\Veeam.Backup.WmiServer.exe: [Debugger] Hotkey Disabled
IFEO\Veeam.EndPoint.Service.exe: [Debugger] Hotkey Disabled
IFEO\Veeam.VssHwSnapshotProvider.exe: [Debugger] Hotkey Disabled
IFEO\VeeamDeploymentSvc.exe: [Debugger] Hotkey Disabled
IFEO\VeeamHvIntegrationSvc.exe: [Debugger] Hotkey Disabled
IFEO\VeeamNFSSvc.exe: [Debugger] Hotkey Disabled
IFEO\VeeamTransportSvc.exe: [Debugger] Hotkey Disabled
IFEO\vmcompute.exe: [Debugger] Hotkey Disabled
IFEO\vmms.exe: [Debugger] Hotkey Disabled
IFEO\vmwp.exe: [Debugger] Hotkey Disabled
End::

добавьте лог выполнения скрипта Fixlog.txt в ваше сообщение.
 

[AntOgs]

Доброе утро, по серверу i3server сделал, на втором пока восстанавливаются файлы чуть позже загружу.

Fixlog I3SERVER.txt

[safety]

Хорошо, здесь очистка успешно сработала:

Цитата

HKLM\Software\microsoft\windows nt\currentversion\Image File Execution Options\vmcompute.exe => успешно удалены
HKLM\Software\microsoft\windows nt\currentversion\Image File Execution Options\vmms.exe => успешно удалены
HKLM\Software\microsoft\windows nt\currentversion\Image File Execution Options\vmwp.exe => успешно удалены

 

[AntOgs]

Самая беда что вирус включился в работу когда делался Архив, и убил мне часть архивов, восстановить базу пришлось от декабря восстанавливать.
Еще один системный блок обнаружил на который залетел этот вирус в тоже время, сейчас запускаю на нем все действия, выложу сюда. Может что на нем обнаружим. 

 

 

Название системника Fileserv47 

Addition.txt FRST.txt Shortcut.txt

 

По серверу UKSVSERVER логи

2 Fixlog UKSVSERVER.txt

[safety]

1 час назад, AntOgs сказал:

Название системника Fileserv47 

Здесь признаков запуска сэмпла не вижу.

Возможно, зашифрована только папка users, если она в общем доступе. т.е. процесс шифрования был запущен на другом устройстве, возможно на одном из первых двух.

[AntOgs]

Да по признакам там все иначе и при загрузке ПК не выходило сообщение о взломе. Видимо тут искать бесполезно. 

[safety]

Проверьте ЛС.