Перейти к содержанию

Взлом RDP сервера с 1С вирусом-шифровальщиком datastore@cyberfair


Рекомендуемые сообщения

Здравствуйте. Сегодня мой сервер, где лежит 1С заразился вирусом шифровальщиком, в итоге все файлы зашифровалить в тхт, ну и как полагается требуют выкуп за файлы. Прикрепил скрины с типом файлов и текстом вымогателя. Просьба, кто сталкивался с подобным (а на форуме их много) помочь с решением проблемы 

 

Скрин зашифрованных файлов.jpeg

Главная учетная запись.jpeg

Изменено пользователем MikoTMN
Ссылка на комментарий
Поделиться на другие сайты

Добавьте несколько зашифрованных файлов и записку о выкупе в архиве без пароля + логи FRST

согласно правил:

«Порядок оформления запроса о помощи».

Изменено пользователем safety
Ссылка на комментарий
Поделиться на другие сайты

В этой папке покажите что есть

2025-03-04 05:30 C:\Users\Администратор\AppData\Local\{9B24D914-D8F5-5C43-5F18-C6758674D7BB}

 

по очистке системы:

 

Выполните скрипт очистки в FRST

Запускаем FRST.exe от имени Администратора (если не запущен)

Копируем скрипт из браузера в буфер обмена, браузер закрываем.

Ждем, когда будет готов к работе,

Нажимаем в FRST кнопку "исправить".

Скрипт очистит систему, и завершит работу c перезагрузкой системы

Start::
() [Файл не подписан] C:\Users\Администратор.QHF\AppData\Local\194E1F27-9FC8-0395-4FCD-F9086C4C4FA6\BACHOKTECHET.exe <2>
(C:\Users\Администратор.QHF\AppData\Local\194E1F27-9FC8-0395-4FCD-F9086C4C4FA6\BACHOKTECHET.exe ->) (voidtools -> voidtools) C:\Users\Администратор.QHF\AppData\Local\194E1F27-9FC8-0395-4FCD-F9086C4C4FA6\Everything.exe
HKLM\...\Run: [BACHOKTECHET] => C:\Users\Администратор.QHF\AppData\Local\194E1F27-9FC8-0395-4FCD-F9086C4C4FA6\BACHOKTECHET.exe [5918736 2023-12-03] () [Файл не подписан]
HKLM\...\.com: mimicfile => notepad.exe "C:\Users\Администратор.QHF\AppData\Local\README_SOLVETHIS.txt" <==== ВНИМАНИЕ
HKU\S-1-5-21-3952067345-1067749304-3248682368-500\Software\Classes\exefile: "%1" %* <==== ВНИМАНИЕ
HKLM\SOFTWARE\Microsoft\Windows Defender: [DisableAntiSpyware] Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate: Ограничение <==== ВНИМАНИЕ
IFEO\1cv8.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\1cv8c.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\1cv8s.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\agntsvc.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\AutodeskDesktopApp.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\axlbridge.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\bedbh.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\benetns.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\bengien.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\beserver.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\CompatTelRunner.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\CoreSync.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\Creative Cloud.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\dbeng50.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\dbsnmp.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\encsvc.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\EnterpriseClient.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\fbguard.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\fbserver.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\fdhost.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\fdlauncher.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\httpd.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\isqlplussvc.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\java.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\logoff.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\msaccess.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\MsDtSrvr.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\msftesql.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\mspub.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\mydesktopqos.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\mydesktopservice.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\mysqld-nt.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\mysqld-opt.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\mysqld.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\node.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\ocautoupds.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\ocomm.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\ocssd.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\oracle.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\perfmon.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\pvlsvr.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\python.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\QBDBMgr.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\QBDBMgrN.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\QBIDPService.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\qbupdate.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\QBW32.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\QBW64.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\Raccine.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\RaccineElevatedCfg.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\RaccineSettings.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\Raccine_x86.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\RAgui.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\raw_agent_svc.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\SearchApp.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\SearchIndexer.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\SearchProtocolHost.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\shutdown.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\SimplyConnectionManager.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\sqbcoreservice.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\sql.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\sqlagent.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\sqlbrowser.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\sqlmangr.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\sqlservr.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\sqlwriter.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\Ssms.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\Sysmon.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\Sysmon64.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\taskkill.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\tasklist.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\taskmgr.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\tbirdconfig.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\tomcat6.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\VeeamDeploymentSvc.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\vsnapvss.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\vxmon.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\wdswfsafe.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\wpython.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\wsa_service.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\wsqmcons.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\wxServer.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\wxServerView.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\xfssvccon.exe: [Debugger] C:\Windows\System32\Systray.exe
GroupPolicy: Ограничение ? <==== ВНИМАНИЕ
Policies: C:\ProgramData\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
2025-03-03 19:07 - 2025-03-04 05:30 - 000000000 ____D C:\Users\Администратор.QHF\AppData\Roaming\Process Hacker 2
2025-03-03 19:07 - 2025-03-03 19:07 - 000001224 _____ C:\README_SOLVETHIS.txt
2025-03-03 19:07 - 2022-08-25 06:32 - 000000000 __SHD C:\Users\Администратор.QHF\AppData\Local\194E1F27-9FC8-0395-4FCD-F9086C4C4FA6
Reboot::
End::

После перезагрузки:

Добавьте файл Fixlog.txt из папки, откуда запускали FRST, в ваше сообщение

Папку C:\FRST\Quarantine  заархивируйте с паролем virus, архив загрузите на облачный диск и дайте ссылку на скачивание в вашем сообщении.

Изменено пользователем safety
Ссылка на комментарий
Поделиться на другие сайты

да, полностью скрипт необходимо скопировать в буфер обмена. из буфера обмена его FRST загрузит при выполнении функции "Исправить".

Ссылка на комментарий
Поделиться на другие сайты

Скрипт скопировал - запустил FRST от имени админа - нажал на исправить - потребовалась перезагрузка. На рабочем столе создался файл Fixlog.txt

Ссылка на комментарий
Поделиться на другие сайты

Да, все верно. Добавьте Fixlog.txt и ссылку на архив с карантином.

-------------

Судя по последнему рисунку, не первый раз уже шифруется  сервер злоумышленниками, стоящими за Mimic.

Изменено пользователем safety
Ссылка на комментарий
Поделиться на другие сайты

image.thumb.png.5a47b1f03e48348d7c2ce0478fa6dfcf.png

Винрар ругается на файл - когда хочу сделать архив с паролем 

 

Да, за последние 1,5 года это второй случай. Первый был в сентябре 2023 года 

 

Ссылка на комментарий
Поделиться на другие сайты

image.thumb.png.ea6bf5988045de1f73ad4eac204551a4.pngЗип также не хочет, антивирус я принудительно отключил. Может попробовать заново просканировать ? 

 

Просто после перезагрузки системы автоматом включился антивирус и начал удалять какие то файлы 

 

 

Не хочет делать архив, ругается на файлы. 
Пробовать еще раз запустить скрипт? 

 

Ссылка на комментарий
Поделиться на другие сайты

Тогда просто удалите эту папку с карантином,

некоторые файлы могли быть из комплекта шифровальщика, и антивир мог реагировать на них, даже если у них изменилось расширение на BAD.

 

Добавьте Fixlog.txt

 

С расшифровкой файлов по данному типу шифровальщика не сможем помочь без приватного ключа.

 

теперь, когда ваши файлы были зашифрованыs, примите серьезные меры безопасности:


1. создание бэкапов данных на отдельном устройстве, которое не должно быть постоянно доступным;
2. установка актуальных обновлений для операционной системы;
3. установка надежной актуальной антивирусной защиты с регулярным обновлением антивирусных баз;
4. установка надежных паролей для аккаунтов из группы RDP;
5. настройка нестандартного порта (вместо стандартного 3389) для сервиса RDP;
6. настройки безопасности, которые защищают пароль к аккаунту от удаленного брутфорсинга
7. если есть такая возможность, настройте двухфакторную аутентификацию для доступа к рабочему столу
8. доступ к рабочему столу из внешней сети (если необходим для работы), либо через VPN подключение, либо только с доверенных IP (белый лист);

 

------------

судя по предыдущему рисунку с каталогом, сервер уже ранее был атакован этим типом шифровальщика, только было другое расширение. Если не принимать никаких мер, все повторится через некоторое время.

Обратите внимание, что Mimic наиболее активен в течение 2023, 2024 года, и таким остается в новом, 2025 году.

Изменено пользователем safety
Ссылка на комментарий
Поделиться на другие сайты

Нужно полностью скопировать весь скрипт? 

 

Fixlog.txt

Файл фикслог прикрепил, но шифровка файлов все равно осталось прежняя, можно ли ее как то исправить или придется выкупать данные?

 

Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
  • Похожий контент

    • primely
      Автор primely
      Добрый день. У меня сегодня взломали сервер  с 1С.  Все файлы зашифровались в .PE32S. Огромная просьба помочь с решением данной проблемы. Прикрепляю скрины с зашифрованными файлами. Во вложении несколько зашифрованных файлов и записка о выкупе в архиве без пароля, а также логи FRST.

      PE32S.rar
    • Valery030425
      Автор Valery030425
      В ночь на 02 апреля предположительно через RDP были атакованы и зашифрованы сервер и несколько пользовательских ПК. Выделенный исполняемый файл, зараженные документы и требования в архиве.FRST.txtAddition.txtShortcut.txt А также логи после запуска утилиты FRST
      Pictures (1).zip
    • lex-xel
      Автор lex-xel
      Добрый день!
      Аналогичная ситуация  сервер подвергся взлому, база данных заархивирована с шифрованием.
      Антивирус снесли, хоть он был под паролем.
      Подскажите есть способ как то исправить ситуацию, расшифровать базу данных?
       
      Do you really want to restore your files?
      Write to email: a38261062@gmail.com
       
      Сообщение от модератора Mark D. Pearlstone перемещено из темы.
         
    • Croony
      Автор Croony
      Addition.txt FRST.txt Desktop.zip Frank_Help.txt
    • foroven
      Автор foroven
      Добрый день. Столкнулись с шифровальщиком. Заражение по-видимому произошло ещё в субботу 22.02.2025 около 19 часов вечера. Зашифрованы документы и базы. 
      Mega.7z
×
×
  • Создать...