Перейти к содержанию

Рекомендуемые сообщения

Опубликовано

15.02 ночью. Судя по всему RDP. На комп был проброшен нестандартный порт. Комп для удаленного подключения был включен круглосуточно. Все бы ничего, но остались незавершенные сессии с сетевым хранилищем NAS и там тоже все зашифровало... Все файлы с расширением .kwx8

Без Вашей помощи не обойтись явно.

Desktop.zip

Опубликовано (изменено)

Систему сканировали сканерами KVRT или Cureit? Можете предоставить логи сканирования в архиве, без пароля?

Изменено пользователем safety
Опубликовано (изменено)
47 минут назад, orpham сказал:

У нас такая же проблема и тоже 15.02. ((((

Создайте отдельную тему в разделе, не устраивайте кучу-малу в чужой теме.

Изменено пользователем safety
Опубликовано

Судя по логу FRST возможно еще и Neshta было заражение. Рекомендуем после очистки в FRST пролечить дополнительно систему

с помощью KRD

---------------

По очистке в FRST

 

Выполните скрипт очистки в FRST

Запускаем FRST.exe от имени Администратора (если не запущен)

Копируем скрипт из браузера в буфер обмена, браузер закрываем.

Ждем, когда будет готов к работе,

Нажимаем в FRST кнопку "исправить".

Скрипт очистит систему, и завершит работу c перезагрузкой системы

 

Start::
HKLM\SOFTWARE\Policies\Microsoft\Windows NT\SystemRestore: [DisableConfig] Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Microsoft\Windows NT\SystemRestore: [DisableSR] Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate: Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Microsoft\MRT: Ограничение <==== ВНИМАНИЕ
HKLM\...\Policies\system: [legalnoticecaption] Your computer is encrypted
HKLM\...\Policies\system: [legalnoticetext] We encrypted and stolen all of your files.
2025-02-15 06:20 - 2025-02-15 06:20 - 007987254 _____ C:\ProgramData\4316F5FDD13C8318640001A9C003381E.bmp
2025-02-15 03:26 - 2025-02-15 03:26 - 000000442 _____ C:\#HowToRecover.txt
HKLM\...\exefile\shell\open\command: C:\Windows\svchost.com "%1" %* <==== ВНИМАНИЕ
2025-02-12 20:27 - 2025-02-12 20:27 - 000041472 _____ C:\Windows\svchost.com
2025-02-12 20:27 - 2025-02-08 00:44 - 000169472 _____ C:\Users\User\Desktop\NS.exe
2025-02-15 03:26 - 2024-10-27 15:51 - 000000000 ____D C:\ProgramData\IObit
Reboot::
End::

После перезагрузки:

Добавьте файл Fixlog.txt из папки, откуда запускали FRST, в ваше сообщение

 

Опубликовано

На рабочем столе появилась папка Mimik еще 12.02. То есть за 3 дня до атаки. В папке набор инструментов по сбору паролей

24 минуты назад, safety сказал:

Добавьте файл Fixlog.txt 

 

Fixlog.txt

Опубликовано (изменено)

Разное время бывает от момента проникновение злоумышленников в ЛС до шифрования.Три дня - это много, для того чтобы можно было обнаружить их присутствие в сети. Вначале встпупают дамперы, брутеры, сканеры, затем уже "солируют" рансом и вайпер.

 

Эту папку

2025-02-15 03:25 - 2025-02-15 03:26 - 000000000 ____D C:\Users\User\Desktop\bin-1.3.1

заархивируйте с паролем virus, добавьте архив в ваше сообщение.

+

Проверьте ЛС.

Изменено пользователем safety
Опубликовано
17 часов назад, safety сказал:

C:\Users\User\Desktop\bin-1.3.1

 

bin-1.3.1.zip

 

17 часов назад, safety сказал:

Три дня - это много, для того чтобы можно было обнаружить их присутствие в сети

Объект удаленный, тем более, что они не проявлялись никак до часа Х. А в нужный момент вирусу понадобилось 2 часа на шифровку примерно 160ГБ информации. Сервера из-за брутфорса заблочили учетки, а рабочие станции на win7 ничего не умеют... и даже malwarebytes 5.2 не отработал. Я разочарован... 

Опубликовано

Эту папку удалите,

C:\Users\User\Desktop\bin-1.3.1

она содержит тело шифровальщика Proton, 

из этой папки и был запуск.

...да, затаятся, и ждут удобного времени для запуска шифрования.

+

Проверьте ЛС.

Опубликовано (изменено)
14 часов назад, safety сказал:

2025-02-15 03:25 - 2025-02-15 03:26 - 000000000 ____D C:\Users\User\Desktop\bin-1.3.1

https://virusscan.jotti.org/ru-RU/filescanjob/gts2099f7a

на VT пока не проверен. Проверен.

https://www.virustotal.com/gui/file/74a9e153545a41c9f313a09dc4a5946b13f36283a87814767b282dda9b3301ec

Изменено пользователем safety
Опубликовано

Расшифровка файлов по данному типу шифровальщика, к сожалению, невозможна без приватного ключа.

 

Теперь, когда ваши файлы были зашифрованы, примите серьезные меры безопасности:

 

 

1. создание бэкапов данных на отдельном устройстве, которое не должно быть постоянно доступным;
2. установка актуальных обновлений для операционной системы;
3. установка надежной актуальной антивирусной защиты с регулярным обновлением антивирусных баз;
4. установка надежных паролей для аккаунтов из группы RDP;
5. настройка нестандартного порта (вместо стандартного 3389) для сервиса RDP;
6. настройки безопасности, которые защищают пароль к аккаунту от удаленного брутфорсинга
7. если есть такая возможность, настройте двухфакторную аутентификацию для доступа к рабочему столу
8. доступ к рабочему столу из внешней сети (если необходим для работы), либо через VPN подключение, либо только с доверенных IP (белый лист);

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
  • Похожий контент

    • LexaSLX
      Автор LexaSLX
      Добрый день! Через RDP на наш сервер проник вирус-шифровальщик,  появился новый том М (Зарезервировано системой) , на нем один файл HELP.txt, с координатами вымогателя. Так же этот файл появился во всех папках. Система грузится, но все файлы (1C, Office, html и др.) зашифрованы. На рабочем столе висит картинка с надписью: "We encrypted adn stolen all of your files. Open HELP.txt and follow the instructions to recover your files." . Нужна помощь в расшифровки.  В приложении результат сканирования FRST, а также оригиналы документов и их зашифрованные версииFRST.txt
      Addition.txt ориг и шифр.zip
      HELP.txt
    • DAV
      Автор DAV
      в пятницу лег сервер: зашифрованы все системные файлы и вся база 1С. Также файлы на зеркальном диске, а бэкапы на другом диске почему-то оказались повреждены (копировались каждый вечер).
      в закодированном файле текст в таких иероглифах: "... ৸믻䀹ᑞஞ樱惒孌ڨ쎩델꥛睟괎䦝捰㨿秡﹈贆Ŵ䣍㥶﬍ຌ̒螐꯵ॶㅈ鹧ӷ፮箈ꥦ 樟倣폃웘붾셳炼..."
      один из файлов 1С теперь с таким названием: 1Cv8.lgf.id-DEB1FBBC.[James2020m@aol.com].MUST.id[DEB1FBBC-3259].[restore1_helper@gmx.de].
       
      кто знает, как вернуться к "родной" кодировке, подскажите, пожалуйста.
       
      P.S. "доброжелатели" в сопутствующем info письме указали адреса для контакта: restore1_helper@gmx.de или restore2_helper@mein.gmx.
    • norma.ekb
      Автор norma.ekb
      Добрый день.
      Открыли архив, полученный по почте и после этого все файлы на ПК  изменились на тип FONL. Прошу помочь с расшифровкой.
      Файл шифровальщик сохранен (из полученного архива). 
      Файлы для примера и сообщение вымогателей .rar FRST.rar
    • Antchernov
      Автор Antchernov
      Здравствуйте. Словили шифровальщик через RDP, файл шифровальщика удалось найти на рабочем столе учетки Администратора. Зашифровать успел не все, но важным документам и базам 1С досталось. Осложняется все тем, что админ приходящий и он в текущей ситуации стал "очень занят". Прошу помочь с лечением системы и по возможности с расшифровкой, т.к. неизвестно есть ли бэкапы. Систему не лечили никак, логи FRST, зашифрованные фалы и записку прилагаю. Есть нешифрованные версии некоторых файлов, если понадобятся. 
      Addition.txt FRST.txt Zersrv.zip
    • fastheel
      Автор fastheel
      Зашифровали сервер , сам вирус был пойман ( есть файл) и есть флаг с которым он был запущен

      update.exe   -pass e32fae18c0e1de24277c14ab0359c1b7
      Addition.txt FRST.txt u4IHZAluh.README.txt Desktop.zip
×
×
  • Создать...