Перейти к содержанию

Взлом RDP сервера с 1С вирусом-шифровальщиком .PE32S

primely
 Поделиться

Рекомендуемые сообщения

primely

primely

Опубликовано
Опубликовано

Добрый день. У меня сегодня взломали сервер  с 1С.  Все файлы зашифровались в .PE32S. Огромная просьба помочь с решением данной проблемы. Прикрепляю скрины с зашифрованными файлами. Во вложении несколько зашифрованных файлов и записка о выкупе в архиве без пароля, а также логи FRST.

image.png

PE32S.rar

safety

safety

Опубликовано
Опубликовано

Выполните очистку системы с перезагрузкой

 

Выполните скрипт очистки в FRST

Запускаем FRST.exe от имени Администратора (если не запущен)

Копируем скрипт из браузера в буфер обмена, браузер закрываем.

Ждем, когда будет готов к работе,

Нажимаем в FRST кнопку "исправить".

Скрипт очистит систему, и завершит работу c перезагрузкой системы 

Start::
() [Файл не подписан] C:\Users\rmk\Desktop\Pe32Cleaner-Test1.exe
() [Файл не подписан] C:\Users\rmk\Desktop\Pe32-v4.1.1.exe
GroupPolicy: Ограничение ? <==== ВНИМАНИЕ
Policies: C:\ProgramData\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
2025-03-06 06:32 - 2025-03-06 06:32 - 000001036 _____ C:\README.txt
2025-03-06 06:25 - 2025-03-06 06:25 - 000000000 ____D C:\ProgramData\IObit
2025-03-06 06:25 - 2025-03-06 06:25 - 000000000 ____D C:\Program Files (x86)\IObit
Reboot::
End::

После перезагрузки:

Добавьте файл Fixlog.txt из папки, откуда запускали FRST, в ваше сообщение

Папку C:\FRST\Quarantine  заархивируйте с паролем virus, архив загрузите на облачный диск и дайте ссылку на скачивание в вашем сообщении.

safety

safety

Опубликовано
Опубликовано (изменено)

Это файлы мы только выгрузили из процессов

 

() [Файл не подписан] C:\Users\rmk\Desktop\Pe32Cleaner-Test1.exe
() [Файл не подписан] C:\Users\rmk\Desktop\Pe32-v4.1.1.exe

--------

[31132] C:\Users\rmk\Desktop\Pe32Cleaner-Test1.exe => процесс успешно завершён.
[8792] C:\Users\rmk\Desktop\Pe32-v4.1.1.exe => процесс успешно завершён.

 

Заархивируйте их с паролем virus, добавьте архив в ваше сообщение.

 

Изменено пользователем safety
safety

safety

Опубликовано
Опубликовано

Папка с ключами возможно будет необходима на случай если будет доступен дешифратор.

Пока мало информации по данному типу шифровальщика. возможно, скоро мы увидим новые атаки с этим типом.

#PE32:

https://virusscan.jotti.org/ru-RU/filescanjob/qfg3g5hd73

 

Имеет смысл сохранить важные зашифрованные документы, возможно в будущем расшифровка станет возможной.

 

Файлы *pe32*.exe удалите из папки Desktop

+

проверьте ЛС.

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Поделиться
Перейти к списку тем

  • Похожий контент

    • MikoTMN
      Взлом RDP сервера с 1С вирусом-шифровальщиком datastore@cyberfair
      Автор MikoTMN
      Здравствуйте. Сегодня мой сервер, где лежит 1С заразился вирусом шифровальщиком, в итоге все файлы зашифровалить в тхт, ну и как полагается требуют выкуп за файлы. Прикрепил скрины с типом файлов и текстом вымогателя. Просьба, кто сталкивался с подобным (а на форуме их много) помочь с решением проблемы 
       


    • Missing files
      Зашифровали сервер через RDP
      Автор Missing files
      Здравствуйте, впервые сталкиваюсь с такой проблемой, как вирус шифровальщик, попутно накинули Virus.Win32.Neshta.a (определил касперский)
      Беда в том, что под раздачу попала база данных.
      По логам сервера начали взлом ночью, ip которые зафиксировались были из юго-восточной Азии
      Прикрепил файлы Farbar Recovery Scan Tool ; картинку того, что предполагает Битдефендер.
      В архиве два зашифрованных файла, один из них оригинал, письмо требований и файл с названием key.dec (нужен ли он ? 😅)
      Помогите пожалуйста

      Addition.txt FRST.txt 2 зашифрованых, 1 файл оригинал, письмо с требованием, файл keydec.rar
    • Владимир В. А.
      Взлом по RDP и шифровка файлов
      Автор Владимир В. А.
      Добрый день!
       
      Windows 7 Pro x64
      Прошу помочь, с очисткой компа от вируса и дешифровкой файлов. Зашел по RDP, подобрал пароль к учетке и через неё зашел на три компа, пошифровал много чего (в том числе загрузочные записи испортил).
      В дальнейшем предполагаю переставить систему.
       
      Addition.txt files.zip FRST.txt
    • CEDOROK
      Произошёл взлом через RDP - зашифровали сервера. Возможна ли расшифровка(*.Surtr)
      Автор CEDOROK
      Доброго времени суток. Помоги найти возможность расшифровки. 
      SURTR_README.txt Downloads.zip
    • iLuminate
      Подозрение на взлом сервера
      Автор iLuminate
      Есть подозрение на взлом, так как при переходе C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Administrative Tools\Администрирование - Ярлык появляется ярлык которые указан на скриншоте.

      FRST.txt Addition.txt
×
×
  • Создать...