Перейти к содержанию

Рекомендуемые сообщения

Опубликовано (изменено)

Доброго всем дня, в нерабочий день путем взлома RDP зашифровали сервер, поиск подобных случаев не дал результат, на письма по адресам в письме не отвечаю на вопрос сколько денег просят.

 

ШИФР.rar Logs.rar

Изменено пользователем KasatkinMihail
Добавить архив с логами
Опубликовано

Систему сканировали с помощью KVRT, Cureit  или  штатным антивирусом? Можете добавить логи сканирования в архиве без пароля?

 

По очистке системы

 

Выполните скрипт очистки в FRST

Запускаем FRST.exe от имени Администратора (если не запущен)

Копируем скрипт из браузера в буфер обмена, браузер закрываем.

Ждем, когда будет готов к работе,

Нажимаем в FRST кнопку "исправить".

Скрипт очистит систему, и завершит работу c перезагрузкой системы

Start::
HKLM\...\Run: [Everything] => "C:\Program Files\Everything\Everything.exe" -startup (Нет файла)
HKLM\...\Winlogon: [LegalNoticeCaption] NewFo Ransomware
HKLM\...\Winlogon: [LegalNoticeText]  - All your files are stolen and encrypted - Find NewFolder_Help.txt file - and follow instructions
HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate: Ограничение <==== ВНИМАНИЕ
HKU\S-1-5-21-805394268-1522624088-3212292982-500\...\Run: [Web Companion] => C:\Program Files (x86)\Lavasoft\Web Companion\Application\WebCompanion.exe --minimize  (Нет файла) <==== ВНИМАНИЕ
HKU\S-1-5-21-805394268-1522624088-3212292982-500\...\Run: [Firefox Browser] => C:\Firefox\X-Firefox.exe (Нет файла)
IFEO\CompatTelRunner.exeSecurityHealthHost: [Debugger] Hotkey Disabled
IFEO\ConfigSecurityPolicy: [Debugger] Hotkey Disabled
IFEO\DlpUserAgent: [Debugger] Hotkey Disabled
IFEO\MpDefenderCoreService: [Debugger] Hotkey Disabled
IFEO\MpDlpCmd: [Debugger] Hotkey Disabled
IFEO\MpDlpService: [Debugger] Hotkey Disabled
IFEO\mpextms: [Debugger] Hotkey Disabled
IFEO\MRT.exe: [Debugger] Hotkey Disabled
IFEO\MsMpEng: [Debugger] Hotkey Disabled
IFEO\NisSrv: [Debugger] Hotkey Disabled
IFEO\SecurityHealthService: [Debugger] Hotkey Disabled
IFEO\SecurityHealthSystray: [Debugger] Hotkey Disabled
IFEO\smartscreen.exe: [Debugger] Hotkey Disabled
IFEO\Veeam.Backup.CloudService.exe: [Debugger] Hotkey Disabled
IFEO\Veeam.Backup.MountService.exe: [Debugger] Hotkey Disabled
IFEO\Veeam.Backup.Service.exe: [Debugger] Hotkey Disabled
IFEO\Veeam.Backup.WmiServer.exe: [Debugger] Hotkey Disabled
IFEO\Veeam.EndPoint.Service.exe: [Debugger] Hotkey Disabled
IFEO\Veeam.VssHwSnapshotProvider.exe: [Debugger] Hotkey Disabled
IFEO\VeeamDeploymentSvc.exe: [Debugger] Hotkey Disabled
IFEO\VeeamHvIntegrationSvc.exe: [Debugger] Hotkey Disabled
IFEO\VeeamNFSSvc.exe: [Debugger] Hotkey Disabled
IFEO\VeeamTransportSvc.exe: [Debugger] Hotkey Disabled
IFEO\vmcompute.exe: [Debugger] Hotkey Disabled
IFEO\vmms.exe: [Debugger] Hotkey Disabled
IFEO\vmwp.exe: [Debugger] Hotkey Disabled
GroupPolicy: Ограничение ? <==== ВНИМАНИЕ
Policies: C:\ProgramData\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
CHR HKLM-x32\...\Chrome\Extension: [aegnopegbbhjeeiganiajffnalhlkkjb]
CHR HKLM-x32\...\Chrome\Extension: [gbjeiekahklbgbfccohipinhgaadijad]
CHR HKLM-x32\...\Chrome\Extension: [jdfonankhfnhihdcpaagpabbaoclnjfp]
CHR HKLM-x32\...\Chrome\Extension: [jkfblcbjfojmgagikhldeppgmgdpjkpl]
CHR HKLM-x32\...\Chrome\Extension: [mfhcmdonhekjhfbjmeacdjbhlfgpjabp]
2025-03-15 23:51 - 2025-03-15 23:51 - 001572918 _____ C:\ProgramData\1b.mp
Reboot::
End::

После перезагрузки:

Добавьте файл Fixlog.txt из папки, откуда запускали FRST, в ваше сообщение

Папку C:\FRST\Quarantine  заархивируйте с паролем virus, архив загрузите на облачный диск и дайте ссылку на скачивание в вашем сообщении.

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
  • Похожий контент

    • specmont
      Автор specmont
      В пятницу все было нормально. В понедельник на всех серверах и файловом хранилище типа Synology все файлы оказались зашифрованными, к ним добавилось расширение ".loplup.1B5-77D-C3D" и в каждой папке лежит текстовый файл с названием !!! ALL YOUR FILES ARE ENCRYPTED !!! Файл вируса называется Zeppelin.exe Кроме того зашифрованы бэкапы систем серверов. Архив с файлами логов Farbar Recovery письмом и зашифрованными файлами находятся по ссылке: https://disk.yandex.ru/d/IGIE8Cnl0fRQjA
       
       
    • evg-gaz
      Автор evg-gaz
      Зашифровали все файлы на сервереAddition.txtvirus.rarFRST.txt
    • whoamis
      Автор whoamis
      Добрый день зашифровало сервер, предположительно кто-то скачал картинку на сервере и открыл.
      Addition.txt FRST.txt 11.rar
    • giz
      Автор giz
      Доброго времени суток ! 
      На сервере Windows Server 2022 зашифровалось все... очистилось все в панели меню Пуск. От сети отрубил его. проверил утилитой KVRT 2020 лог прилагаю
      Копий нет (сбой жесткого диска на который делалось серверное копирование данных). Очень хочу верить что получится расшифров ать. 
      KVRT2020_Data.rar FRST.txt Addition.txt
      VIRUS.rar
    • komma77
      Автор komma77
      Добрый день. Зашифрованы сервер и компьютеры.  
      файлы и записка.zip Addition.txt FRST.txt
×
×
  • Создать...