Перейти к содержанию

шифровальщик инок на сервере


Рекомендуемые сообщения

По очистке системы:

 

Выполните скрипт очистки в FRST

Запускаем FRST.exe от имени Администратора (если не запущен)

Копируем скрипт из браузера в буфер обмена, браузер закрываем.

Ждем, когда будет готов к работе,

Нажимаем в FRST кнопку "исправить".

Скрипт очистит систему, и завершит работу c перезагрузкой системы

Start::
HKLM\...\Winlogon: [LegalNoticeCaption] innok Ransomware
HKLM\...\Winlogon: [LegalNoticeText]  - All your files are stolen and encrypted - Find innok_Help.txt file - and follow instructions
HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate: Ограничение <==== ВНИМАНИЕ
IFEO\CompatTelRunner.exeSecurityHealthHost: [Debugger] Hotkey Disabled
IFEO\ConfigSecurityPolicy: [Debugger] Hotkey Disabled
IFEO\DlpUserAgent: [Debugger] Hotkey Disabled
IFEO\MpDefenderCoreService: [Debugger] Hotkey Disabled
IFEO\MpDlpCmd: [Debugger] Hotkey Disabled
IFEO\MpDlpService: [Debugger] Hotkey Disabled
IFEO\mpextms: [Debugger] Hotkey Disabled
IFEO\MRT.exe: [Debugger] Hotkey Disabled
IFEO\MsMpEng: [Debugger] Hotkey Disabled
IFEO\NisSrv: [Debugger] Hotkey Disabled
IFEO\SecurityHealthService: [Debugger] Hotkey Disabled
IFEO\SecurityHealthSystray: [Debugger] Hotkey Disabled
IFEO\smartscreen.exe: [Debugger] Hotkey Disabled
IFEO\Veeam.Backup.CloudService.exe: [Debugger] Hotkey Disabled
IFEO\Veeam.Backup.MountService.exe: [Debugger] Hotkey Disabled
IFEO\Veeam.Backup.Service.exe: [Debugger] Hotkey Disabled
IFEO\Veeam.Backup.WmiServer.exe: [Debugger] Hotkey Disabled
IFEO\Veeam.EndPoint.Service.exe: [Debugger] Hotkey Disabled
IFEO\Veeam.VssHwSnapshotProvider.exe: [Debugger] Hotkey Disabled
IFEO\VeeamDeploymentSvc.exe: [Debugger] Hotkey Disabled
IFEO\VeeamHvIntegrationSvc.exe: [Debugger] Hotkey Disabled
IFEO\VeeamNFSSvc.exe: [Debugger] Hotkey Disabled
IFEO\VeeamTransportSvc.exe: [Debugger] Hotkey Disabled
IFEO\vmcompute.exe: [Debugger] Hotkey Disabled
IFEO\vmms.exe: [Debugger] Hotkey Disabled
IFEO\vmwp.exe: [Debugger] Hotkey Disabled
GroupPolicy: Ограничение ? <==== ВНИМАНИЕ
Policies: C:\ProgramData\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
2025-01-25 09:38 - 2025-01-25 09:38 - 001572918 _____ C:\ProgramData\1b.mp
2025-01-25 09:38 - 2025-01-25 09:38 - 000006656 _____ C:\ProgramData\df.exe
2025-01-25 06:49 - 2025-01-25 09:37 - 000001592 _____ C:\Users\Администратор\advanced_ip_scanner_MAC.bin.innok
2025-01-25 06:49 - 2025-01-25 09:37 - 000000087 _____ C:\Users\Администратор\advanced_ip_scanner_Comments.bin.innok
2025-01-25 06:49 - 2025-01-25 09:37 - 000000087 _____ C:\Users\Администратор\advanced_ip_scanner_Aliases.bin.innok
2025-01-25 06:48 - 2025-01-25 06:48 - 000000541 _____ C:\Users\Диспетчер\innok_Help.txt
2025-01-25 06:48 - 2025-01-25 06:48 - 000000541 _____ C:\Users\Диспетчер\Downloads\innok_Help.txt
2025-01-25 06:48 - 2025-01-25 06:48 - 000000541 _____ C:\Users\Диспетчер\AppData\LocalLow\innok_Help.txt
2025-01-25 06:48 - 2025-01-25 06:48 - 000000541 _____ C:\Users\Диспетчер\AppData\Local\innok_Help.txt
2025-01-25 06:48 - 2025-01-25 06:48 - 000000541 _____ C:\Users\Диспетчер\AppData\innok_Help.txt
2025-01-25 06:48 - 2025-01-25 06:48 - 000000541 _____ C:\innok_Help.txt
2025-01-25 09:38 - 2025-01-25 09:38 - 000006656 _____ () C:\ProgramData\df.exe
Reboot::
End::

После перезагрузки:

Добавьте файл Fixlog.txt из папки, откуда запускали FRST, в ваше сообщение

Папку C:\FRST\Quarantine  заархивируйте с паролем virus, архив загрузите на облачный диск и дайте ссылку на скачивание в вашем сообщении.

Ссылка на комментарий
Поделиться на другие сайты

C:\ProgramData\df.exe

https://www.virustotal.com/gui/file/8e3ff1907d973d91167c2d74ac8414496d7f430687eef52e3201721e01513761/detection

Систему не сканировали с помощью KVRT или Cureit? Можете предоставить логи сканирования

Ссылка на комментарий
Поделиться на другие сайты

Этот файл восстановите из карантина в папку, заархивируйте с паролем virus, загрузите на облачный диск, и дайте ссылку на скачивание

            <Event33 Action="Quarantined" Time="133822846138288778" Object="C:\Users\1\Desktop\Новая папка\system.exe" Info="" />

файл затем можно удалить

 

Ссылка на комментарий
Поделиться на другие сайты

Инструмент взлома, возможно для брутфорса паролей к учетным записям используется.

https://www.virustotal.com/gui/file/3fa65f17518d10af9ed316fbd0395bf39b3b75a63a5374ff071cbba4b642e4a3/detection

сам файл шифровальщика возможно самоудалился.

 

Проверьте ЛС.

Ссылка на комментарий
Поделиться на другие сайты

С расшифровкой файлов по данному типу шифровальщика не сможем помочь.

 

теперь, когда ваши файлы были зашифрованы, примите серьезные меры безопасности:


1. создание бэкапов данных на отдельном устройстве, которое не должно быть постоянно доступным;
2. установка актуальных обновлений для операционной системы;
3. установка надежной актуальной антивирусной защиты с регулярным обновлением антивирусных баз;
4. установка надежных паролей для аккаунтов из группы RDP;
5. настройка нестандартного порта (вместо стандартного 3389) для сервиса RDP;
6. настройки безопасности, которые защищают пароль к аккаунту от удаленного брутфорсинга
7. если есть такая возможность, настройте двухфакторную аутентификацию для доступа к рабочему столу
8. доступ к рабочему столу из внешней сети (если необходим для работы), либо через VPN подключение, либо только с доверенных IP (белый лист);

Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
  • Похожий контент

    • foroven
      Автор foroven
      Добрый день. Столкнулись с шифровальщиком. Заражение по-видимому произошло ещё в субботу 22.02.2025 около 19 часов вечера. Зашифрованы документы и базы. 
      Mega.7z
    • primely
      Автор primely
      Добрый день. У меня сегодня взломали сервер  с 1С.  Все файлы зашифровались в .PE32S. Огромная просьба помочь с решением данной проблемы. Прикрепляю скрины с зашифрованными файлами. Во вложении несколько зашифрованных файлов и записка о выкупе в архиве без пароля, а также логи FRST.

      PE32S.rar
    • paradox197755
      Автор paradox197755
      Зашифрованы диски на сервере.

    • KasatkinMihail
      Автор KasatkinMihail
      Доброго всем дня, в нерабочий день путем взлома RDP зашифровали сервер, поиск подобных случаев не дал результат, на письма по адресам в письме не отвечаю на вопрос сколько денег просят.
       
      ШИФР.rar Logs.rar
    • MikoTMN
      Автор MikoTMN
      Здравствуйте. Сегодня мой сервер, где лежит 1С заразился вирусом шифровальщиком, в итоге все файлы зашифровалить в тхт, ну и как полагается требуют выкуп за файлы. Прикрепил скрины с типом файлов и текстом вымогателя. Просьба, кто сталкивался с подобным (а на форуме их много) помочь с решением проблемы 
       


×
×
  • Создать...