Перейти к содержанию

Взлом RDP сервера с 1С вирусом-шифровальщиком .PE32S


Рекомендуемые сообщения

Добрый день. У меня сегодня взломали сервер  с 1С.  Все файлы зашифровались в .PE32S. Огромная просьба помочь с решением данной проблемы. Прикрепляю скрины с зашифрованными файлами. Во вложении несколько зашифрованных файлов и записка о выкупе в архиве без пароля, а также логи FRST.

image.png

PE32S.rar

Ссылка на комментарий
Поделиться на другие сайты

Выполните очистку системы с перезагрузкой

 

Выполните скрипт очистки в FRST

Запускаем FRST.exe от имени Администратора (если не запущен)

Копируем скрипт из браузера в буфер обмена, браузер закрываем.

Ждем, когда будет готов к работе,

Нажимаем в FRST кнопку "исправить".

Скрипт очистит систему, и завершит работу c перезагрузкой системы

Start::
() [Файл не подписан] C:\Users\rmk\Desktop\Pe32Cleaner-Test1.exe
() [Файл не подписан] C:\Users\rmk\Desktop\Pe32-v4.1.1.exe
GroupPolicy: Ограничение ? <==== ВНИМАНИЕ
Policies: C:\ProgramData\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
2025-03-06 06:32 - 2025-03-06 06:32 - 000001036 _____ C:\README.txt
2025-03-06 06:25 - 2025-03-06 06:25 - 000000000 ____D C:\ProgramData\IObit
2025-03-06 06:25 - 2025-03-06 06:25 - 000000000 ____D C:\Program Files (x86)\IObit
Reboot::
End::

После перезагрузки:

Добавьте файл Fixlog.txt из папки, откуда запускали FRST, в ваше сообщение

Папку C:\FRST\Quarantine  заархивируйте с паролем virus, архив загрузите на облачный диск и дайте ссылку на скачивание в вашем сообщении.

Ссылка на комментарий
Поделиться на другие сайты

Это файлы мы только выгрузили из процессов

 

() [Файл не подписан] C:\Users\rmk\Desktop\Pe32Cleaner-Test1.exe
() [Файл не подписан] C:\Users\rmk\Desktop\Pe32-v4.1.1.exe

--------

[31132] C:\Users\rmk\Desktop\Pe32Cleaner-Test1.exe => процесс успешно завершён.
[8792] C:\Users\rmk\Desktop\Pe32-v4.1.1.exe => процесс успешно завершён.

 

Заархивируйте их с паролем virus, добавьте архив в ваше сообщение.

 

Изменено пользователем safety
Ссылка на комментарий
Поделиться на другие сайты

Папка с ключами возможно будет необходима на случай если будет доступен дешифратор.

Пока мало информации по данному типу шифровальщика. возможно, скоро мы увидим новые атаки с этим типом.

#PE32:

https://virusscan.jotti.org/ru-RU/filescanjob/qfg3g5hd73

 

Имеет смысл сохранить важные зашифрованные документы, возможно в будущем расшифровка станет возможной.

 

Файлы *pe32*.exe удалите из папки Desktop

+

проверьте ЛС.

Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
  • Похожий контент

    • MikoTMN
      Автор MikoTMN
      Здравствуйте. Сегодня мой сервер, где лежит 1С заразился вирусом шифровальщиком, в итоге все файлы зашифровалить в тхт, ну и как полагается требуют выкуп за файлы. Прикрепил скрины с типом файлов и текстом вымогателя. Просьба, кто сталкивался с подобным (а на форуме их много) помочь с решением проблемы 
       


    • Keldenis
      Автор Keldenis
      Здравствуйте! Наш сервер был поражен вирусом-шифровальщиком. Все зараженные файлы приобрели вид блокнота при нажатии на который выходило сообщение от мошенников. Мы воспользовались утилитой от Касперского Rakhni Decryptor. Она смогла подобрать пароль и (по её мнению) расшифровать файлы. Но ни один из "расшифрованных" файлов не открывался. При этом, мы использовали утилиту дважды. В первый раз мы не использовали функцию удаления пораженных файлов, расшифрованная копия которых уже была сделана. Таким образом, после первого использования утилиты, у нас на сервере появились копии практически всех зашифрованных файлов. При этом, сам зашифрованный файл имел вид блокнотика, а его расшифрованная копия имела обычный для такого типа файла внешний вид. У зашифрованных файлов и их расшифрованной копии, при этом, был одинаковый размер файла. Мы решили, что, возможно нам нужно было поставить галочку для функции "Удалять зашифрованные файлы после успешной расшифровки", чтобы после расшифровки файлы открывались. Кроме того, дубляж файлов съел практически всё свободное место на наших жестких дисках. Поэтому, мы удалили наиболее тяжелые копии расшифрованных файлов и запустили утилиту повторно, поставив галочку для удаления зашифрованных файлов. Утилита вновь успешно подобрала пароль и расшифровала файлы, удалив все зашифрованные. Но файлы так и не начали открываться. Как описано выше, мы удалили копии только тяжелых файлов. Те зашифрованные файлы, расшифрованные копии которых мы не удалили после первого применения утилиты, при втором использовании утилиты остались нетронутыми. Поэтому мы прикрепляем в архиве именно такие файлы, т.е. сам зашифрованный файл и его расшифрованную утилитой копию, чтобы понять на примере зашифрованного файла, можно ли его расшифровать; а на примере "расшифрованного" утилитой файла, действительно ли он был расшифрован, но не открывается, потому что испорчен и не подлежит или подлежит восстановлению, либо он не был на самом деле расшифрован, и его всё еще можно расшифровать в будущем, хоть он уже и не имеет вид того самого блокнотика. Кроме того, мы установили антивирус от Касперсого на сервер и он, вероятно, уже удалил сам файл шифровальщик.
      Зашифрованные файлы.zip Addition.txt FRST.txt
    • Вадим666
      Автор Вадим666
      По рдп не пускает на сервер пишет Попытка входа неудачна
      это с компа на котором делали чистку с других пк на него заходит без проблем, с этого же компа на котором проводилась чистка на другие сервера заходит проблема
      Также при копировании пароля и вставки его в пароль РДП сам текст задваивается. Пример копируем пароль 123456 вставляем его в место пароля для рдп получаем 123456123456  
    • Albina
      Автор Albina
      Добрый день. Словили шифровальщик. Помогите восстановить файлы. Бэкапов не делали((
      Анализ системы при помощи Farbar сделали. Архив с файлами прилагаем.
      С надеждой, Альбина
      Shortcut_23-04-2025 17.30.07.txt Logs.zip
    • Zakot
      Автор Zakot
      На сервере вчера вирус зашифровал данные, возможно через RDP попал, сегодня обнаружили.
      virus.zipFRST.txtAddition.txt
×
×
  • Создать...