Перейти к содержанию

Зашифрованы все файлы

BeckOs
 Поделиться

Рекомендуемые сообщения

safety

safety

Опубликовано
Опубликовано (изменено)

Задача с шифровальщиком распространяется из домена:

 

Task: {2967AA9E-7CB6-4154-8C9D-616F5A621645} - System32\Tasks\4 => C:\Windows\system32\cmd.exe [289792 2022-09-08] (Microsoft Windows -> Microsoft Corporation) -> /c \\***\netlogon\ds.exe

Этот файл

Цитата

\\***\netlogon\ds.exe

заархивируйте с паролем virus, загрузите архив в ваше сообщение.

+

проверьте нет ли вредоносного кода ds.exe в этих политиках:

Цитата

Task: {924679AF-D3DC-41EF-A453-DB013535BD45} - System32\Tasks\Microsoft\Windows\GroupPolicy\{3E0A038B-D834-4930-9981-E89C9BFF83AA} => C:\Windows\system32\gpupdate.exe [30720 2022-09-08] (Microsoft Windows -> Microsoft Corporation)
Task: {1647CA4A-540A-4ACA-97CC-0CB250BA97E2} - System32\Tasks\Microsoft\Windows\GroupPolicy\{A7719E0F-10DB-4640-AD8C-490CC6AD5202} => C:\Windows\system32\gpupdate.exe [30720 2022-09-08] (Microsoft Windows -> Microsoft Corporation)


 


 

Изменено пользователем safety
BeckOs

BeckOs

Опубликовано
  • Автор
Опубликовано

Здравствуйте. Я так понимаю, вирус на сервере. Доступа нет. В соседней теме скидывали этот вирус. Возьмите оттуда. 

 

Он был на компьютере в папке program data 

 

В политиках, которые вы прислали кода ds.exe нет

 

А что делать с этим? 

Задача с шифровальщиком распространяется из домена:

 

Task: {2967AA9E-7CB6-4154-8C9D-616F5A621645} - System32\Tasks\4 

safety

safety

Опубликовано
Опубликовано
9 минут назад, BeckOs сказал:

В соседней теме скидывали этот вирус. Возьмите оттуда. 

Нет его там в логах. Можно удалить эту задачу. Сейчас напишу скрипт для FRST.

safety

safety

Опубликовано
Опубликовано (изменено)

По очистке системы:

 

Выполните скрипт очистки в FRST

Запускаем FRST.exe от имени Администратора (если не запущен)

Копируем скрипт из браузера в буфер обмена, браузер закрываем.

Ждем, когда будет готов к работе,

Нажимаем в FRST кнопку "исправить".

Скрипт очистит систему, и завершит работу. Если не запросит перезагрузку системы, не  перезагружайте.

  

Start::
Policies: C:\ProgramData\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Microsoft\Edge: Ограничение <==== ВНИМАНИЕ
Task: {2967AA9E-7CB6-4154-8C9D-616F5A621645} - System32\Tasks\4 => C:\Windows\system32\cmd.exe [289792 2022-09-08] (Microsoft Windows -> Microsoft
2025-02-09 05:18 - 2025-02-09 05:18 - 000003524 _____ C:\Windows\system32\Tasks\4
2025-02-09 05:30 - 2025-02-09 05:30 - 000000972 _____ C:\Users\AriSPiHDt.README.txt
2025-02-09 05:30 - 2025-02-09 05:30 - 000000972 _____ C:\AriSPiHDt.README.txt
End::

Добавьте файл Fixlog.txt из папки, откуда запускали FRST, в ваше сообщение

Изменено пользователем safety
safety

safety

Опубликовано
Опубликовано (изменено)

Хорошо,

по расшифровке файлов после атаки LockbitV3Black, к сожалению, не сможем вам помочь, не имея приватного ключа.

Поскольку сэмпл шифровальщика содержит только публичный ключ, а приватный ключ и дешифратор остаются на стороне злоумышленников. На текущий момент восстановление данных возможно только из бэкапов.

Изменено пользователем safety
safety

safety

Опубликовано
Опубликовано

Впечатление, будто некорректно выполнен скрипт.

Обратите внимание на порядок выполнения скрипта.

Важно выделить все строки скрипта: от первой до последней строки включительно.

Затем правой кнопкой мыши в контекстом меню выполнить действие "Копировать".

Теперь скрипт у увас уже в буфере обмена. Браузер закрыли, нажимаем в FRST нужную кнопку исправить.

  • safety закрыл тема
Гость
Эта тема закрыта для публикации ответов.
 Поделиться
Перейти к списку тем

  • Похожий контент

    • Amirsvami
      Шифровальщик попал в организацию!
      Автор Amirsvami
      Добрый день! 
      Сегодня ночью подверглись атаке шифровальщика. Разрушил всё! Начиная с файлов (частично) заканчивая бекапами и базами данных, а так же виртуальные машины. Просьба написать, какие данные скинуть для анализа, возможно уже был похожий кейс. А, и ещё, в организации нашей установлен корпоративный Касперский.

    • Юрий_86
      Шифровальщик lockbit v3 black
      Автор Юрий_86
      Поймал шифровальщик. Во вложении архив с зашифрованным и исходным файлом, плюс письмо о выкупе.
      Антивирусом Cureit проверяли, ничего не нашли. Система полностью переустановлена. Никаких логов нет.
      Подскажите, есть ли способ расшифровать?
      Архив.zip
    • Alexan_S
      Шифровальщик ijAfcuXJL от room155
      Автор Alexan_S
      Добрый день. Поймали шифровальщик от room155.
      Открыли письмо с темой: Счет для Вашей организации.
      В zip-овском архиве был документ и скрипт, само письмо, к сожалению, уже удалили.
      Есть файлы до и после зашифровки, сам шифровальщик поймать не удалось.
      архив.zip
    • Vladimir Kudashov
      Шифровальщик (APT Werewolves)
      Автор Vladimir Kudashov
      Прошу помощи в подборе декриптора.
      Есть записка от злоумышленников и пара файлов (оригинал и зашифрованный).
      yKHkJGIje.README.txt
      Несколько зашифрованных файлов
      enc_files.zip
    • PSerhii
      Споймали PC Locker 3.0 by Mr.Robot 3R9qG8i3Z
      Автор PSerhii
      FRST.txt3R9qG8i3Z.README.txtAddition.txt
       
      Добрый день, прошу помощи с расшифровкой файлов, устранением трояна
×
×
  • Создать...