Перейти к содержанию

Взлом RDP сервера с 1С вирусом-шифровальщиком .PE32S


Рекомендуемые сообщения

Добрый день. У меня сегодня взломали сервер  с 1С.  Все файлы зашифровались в .PE32S. Огромная просьба помочь с решением данной проблемы. Прикрепляю скрины с зашифрованными файлами. Во вложении несколько зашифрованных файлов и записка о выкупе в архиве без пароля, а также логи FRST.

image.png

PE32S.rar

Ссылка на комментарий
Поделиться на другие сайты

Выполните очистку системы с перезагрузкой

 

Выполните скрипт очистки в FRST

Запускаем FRST.exe от имени Администратора (если не запущен)

Копируем скрипт из браузера в буфер обмена, браузер закрываем.

Ждем, когда будет готов к работе,

Нажимаем в FRST кнопку "исправить".

Скрипт очистит систему, и завершит работу c перезагрузкой системы

Start::
() [Файл не подписан] C:\Users\rmk\Desktop\Pe32Cleaner-Test1.exe
() [Файл не подписан] C:\Users\rmk\Desktop\Pe32-v4.1.1.exe
GroupPolicy: Ограничение ? <==== ВНИМАНИЕ
Policies: C:\ProgramData\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
2025-03-06 06:32 - 2025-03-06 06:32 - 000001036 _____ C:\README.txt
2025-03-06 06:25 - 2025-03-06 06:25 - 000000000 ____D C:\ProgramData\IObit
2025-03-06 06:25 - 2025-03-06 06:25 - 000000000 ____D C:\Program Files (x86)\IObit
Reboot::
End::

После перезагрузки:

Добавьте файл Fixlog.txt из папки, откуда запускали FRST, в ваше сообщение

Папку C:\FRST\Quarantine  заархивируйте с паролем virus, архив загрузите на облачный диск и дайте ссылку на скачивание в вашем сообщении.

Ссылка на комментарий
Поделиться на другие сайты

Это файлы мы только выгрузили из процессов

 

() [Файл не подписан] C:\Users\rmk\Desktop\Pe32Cleaner-Test1.exe
() [Файл не подписан] C:\Users\rmk\Desktop\Pe32-v4.1.1.exe

--------

[31132] C:\Users\rmk\Desktop\Pe32Cleaner-Test1.exe => процесс успешно завершён.
[8792] C:\Users\rmk\Desktop\Pe32-v4.1.1.exe => процесс успешно завершён.

 

Заархивируйте их с паролем virus, добавьте архив в ваше сообщение.

 

Изменено пользователем safety
Ссылка на комментарий
Поделиться на другие сайты

Папка с ключами возможно будет необходима на случай если будет доступен дешифратор.

Пока мало информации по данному типу шифровальщика. возможно, скоро мы увидим новые атаки с этим типом.

#PE32:

https://virusscan.jotti.org/ru-RU/filescanjob/qfg3g5hd73

 

Имеет смысл сохранить важные зашифрованные документы, возможно в будущем расшифровка станет возможной.

 

Файлы *pe32*.exe удалите из папки Desktop

+

проверьте ЛС.

Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
  • Похожий контент

    • MikoTMN
      Автор MikoTMN
      Здравствуйте. Сегодня мой сервер, где лежит 1С заразился вирусом шифровальщиком, в итоге все файлы зашифровалить в тхт, ну и как полагается требуют выкуп за файлы. Прикрепил скрины с типом файлов и текстом вымогателя. Просьба, кто сталкивался с подобным (а на форуме их много) помочь с решением проблемы 
       


    • Albina
      Автор Albina
      Добрый день. Словили шифровальщик. Помогите восстановить файлы. Бэкапов не делали((
      Анализ системы при помощи Farbar сделали. Архив с файлами прилагаем.
      С надеждой, Альбина
      Shortcut_23-04-2025 17.30.07.txt Logs.zip
    • Valery030425
      Автор Valery030425
      В ночь на 02 апреля предположительно через RDP были атакованы и зашифрованы сервер и несколько пользовательских ПК. Выделенный исполняемый файл, зараженные документы и требования в архиве.FRST.txtAddition.txtShortcut.txt А также логи после запуска утилиты FRST
      Pictures (1).zip
    • Pristan
      Автор Pristan
      Зашифровались почти все сервера на MS Windows server.
      Пример зашифрованных файлов, требования и логи во вложении.
       
      По логам событий windows был найден вредоносный файл, при необходимости могу предоставить.
       
      Спасибо.
      Addition.txt files.7z FRST.txt a77ce0eadd58f2-README.txt
    • Hikobana
      Автор Hikobana
      Началось все с того, что 17.03 я обнаружила, что средства с Steam были потрачены путем покупки через торговую площадку. Доступа к аккаунту нет ни у кого, защита не подала никаких видов. Я поменяла пароль. В то же время, я заподозрила неладное с несколькими почтами от mail. Так же нигде не сработал аунтификатор. Везде поменяла пароли. На следующий день все повторилось и так продолжалось 3 дня. Итогом стало, что я поставила новую винду с 0. Все хорошо,  вроде прекратилось, случилось то, что взломали аккаунт Телеграмм. Вчера от меня началась рассылка в Дискорде, при том, что я сама находилась в нем. Никакая защита совершенно не сработала. После дискорда, пришло уведомление на WatsApp о попытки зайти на аккаунт. 
      CollectionLog-2025.05.02-06.01.zip
×
×
  • Создать...