Перейти к содержанию

Рекомендуемые сообщения

Доброго времени суток.
Поймали шифровальщик.Атакована вся организация. Выясняем источник откуда и как,но раскидался он по рдп на как минимум 7 рабочих мест, включая серв  АД и 1С. Так же на одном из предполагаемых источников заражения была обнаружена программа Everything API и крипто-программа КАРМА,мб оно как-то даст какую-то полезность?
А так же папка с файлами именованная как "automim1"?
Скажите вообще есть ли надежда что как-то можно найти остатки шифровальщика? Шифрованные файлы и файл записку прилагаю в архиве с паролем "virus":
Остальное не знаю как добавить,вес больше 5мб получается.
 

sekr_2.7z

Ссылка на комментарий
Поделиться на другие сайты

47 минут назад, Mark D. Pearlstone сказал:

Каюсь,первый раз с этим делом сталкиваюсь.Забыл логи вложить с FRST. Сейчас исправим.

 

sekr_2.7z

Ссылка на комментарий
Поделиться на другие сайты

По очистке системы:

 

Выполните скрипт очистки в FRST

Запускаем FRST.exe от имени Администратора (если не запущен)

Копируем скрипт из браузера в буфер обмена, браузер закрываем.

Ждем, когда будет готов к работе,

Нажимаем в FRST кнопку "исправить".

Скрипт очистит систему, и завершит работу c перезагрузкой системы

Start::
HKLM\...\Policies\system: [legalnoticetext] Hello my dear friend (Do not scan the files with antivirus in any case. In case of data loss, the consequences
GroupPolicy: Ограничение ? <==== ВНИМАНИЕ
Policies: C:\ProgramData\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
Task: {B65F5CC4-8735-492E-9767-A9E269B8C13C} - \Microsoft\Windows\Setup\EOSNotify2 -> Нет файла <==== ВНИМАНИЕ
Task: {BC00EE0D-99BE-422C-B3D6-3A94D3045BA3} - \Microsoft\Windows\Setup\EOSNotify -> Нет файла <==== ВНИМАНИЕ
Task: {D23D0E8A-4146-4ECE-910A-15CA591AF139} - \user -> Нет файла <==== ВНИМАНИЕ
Task: {BEFF1F82-DDB5-49E9-A5F0-EFF25ABCD86B} - System32\Tasks\Microsoft\Windows\End Of Support\Notify1 => %windir%\system32\sipnotify.exe  -LogonOrUnlock (Нет файла)
Task: {D910CA39-7CA2-4430-A870-FC38A6F5AB9B} - System32\Tasks\Microsoft\Windows\End Of Support\Notify2 => %windir%\system32\sipnotify.exe  -Daily (Нет файла)
2025-04-08 14:16 - 2025-04-08 14:16 - 000003336 _____ C:\Users\tomashevichkd\advanced_ip_scanner_MAC.bin
2025-04-08 14:16 - 2025-04-08 14:16 - 000000015 _____ C:\Users\tomashevichkd\advanced_ip_scanner_Comments.bin
2025-04-08 14:16 - 2025-04-08 14:16 - 000000015 _____ C:\Users\tomashevichkd\advanced_ip_scanner_Aliases.bin
2025-04-08 12:09 - 2025-04-08 12:38 - 000001134 _____ C:\Users\Public\Desktop\Advanced IP
2025-04-08 12:09 - 2025-04-08 12:09 - 000000000 ____D C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Advanced IP Scanner v2
2025-04-08 12:09 - 2025-04-08 12:09 - 000000000 ____D C:\Program Files (x86)\Advanced IP Scanner
2025-04-08 17:44 - 2024-11-15 00:32 - 000000000 __SHD C:\Users\tomashevichkd\AppData\Local\D4A4227A-D012-4CEA-21D3-0BAD0BF6CDED
Reboot::
End::

После перезагрузки:

Добавьте файл Fixlog.txt из папки, откуда запускали FRST, в ваше сообщение

Папку C:\FRST\Quarantine  заархивируйте с паролем virus, архив загрузите на облачный диск и дайте ссылку на скачивание в вашем сообщении.

Ссылка на комментарий
Поделиться на другие сайты

Высылаю. фикслог во вложении,архив с Вашим паролем по ссылке.
удалено

Fixlog.txt

 

Строгое предупреждение от модератора Mark D. Pearlstone

Вас просили дать ссылку в ЛС.

Ссылка на комментарий
Поделиться на другие сайты

С расшифровкой файлов по данному типу шифровальщика не сможем помочь без приватного ключа.

 

теперь, когда ваши данные были зашифрованы, примите серьезные меры безопасности:


1. создание бэкапов данных на отдельном устройстве, которое не должно быть постоянно доступным;
2. установка актуальных обновлений для операционной системы;
3. установка надежной актуальной антивирусной защиты с регулярным обновлением антивирусных баз;
4. установка надежных паролей для аккаунтов из группы RDP;
5. настройка нестандартного порта (вместо стандартного 3389) для сервиса RDP;
6. настройки безопасности, которые защищают пароль к аккаунту от удаленного брутфорсинга
7. если есть такая возможность, настройте двухфакторную аутентификацию для доступа к рабочему столу
8. доступ к рабочему столу из внешней сети (если необходим для работы), либо через VPN подключение, либо только с доверенных IP (белый лист);

  • Спасибо (+1) 1
Ссылка на комментарий
Поделиться на другие сайты

9 часов назад, safety сказал:

С расшифровкой файлов по данному типу шифровальщика не сможем помочь без приватного ключа.

 

теперь, когда ваши данные были зашифрованы, примите серьезные меры безопасности:


1. создание бэкапов данных на отдельном устройстве, которое не должно быть постоянно доступным;
2. установка актуальных обновлений для операционной системы;
3. установка надежной актуальной антивирусной защиты с регулярным обновлением антивирусных баз;
4. установка надежных паролей для аккаунтов из группы RDP;
5. настройка нестандартного порта (вместо стандартного 3389) для сервиса RDP;
6. настройки безопасности, которые защищают пароль к аккаунту от удаленного брутфорсинга
7. если есть такая возможность, настройте двухфакторную аутентификацию для доступа к рабочему столу
8. доступ к рабочему столу из внешней сети (если необходим для работы), либо через VPN подключение, либо только с доверенных IP (белый лист);

Приватный ключ естественно где-то в недрах компа остаться не мог?

Ссылка на комментарий
Поделиться на другие сайты

Нет, его вообще не может быть на ПК на стадии шифрования, так как приватные ключи создаются на устройстве злоумышленников, а к вам они приходят с публичными ключами. Для шифрования их достаточно.

  • Спасибо (+1) 1
Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
  • Похожий контент

    • Kirill-Ekb
      Автор Kirill-Ekb
      Приветствую
       
      По RDP в локальной сети распространился и зашифровал файлы ELENOR-corp на нескольких компьютерах.
      Во вложении файлы диагностики Farbar Recovery Scan Tool и архив с требованием и двумя небольшими зашифрованными файлами - всё с одного компьютера.
      Также есть файл вируса - готов предоставить по необходимости
      Основная цель: расшифровать файлы
      Addition.txt FRST.txt Требование и пример файлов.7z
    • darksimpson
      Автор darksimpson
      Добрый день.

      Помогите пожалуйста с определением зловреда и, возможно, с расшифровкой.

      Прикрепляю архив с логами FRST, двумя зашифрованными файлами и запиской.

      Спасибо!
      p4.zip
    • Игорь_Белов
      Автор Игорь_Белов
      Доброго времени суток. 
      Прошу помощи, словил вирус шифровальщик, недавно созданный сервер для теста 1с, поймал вирус, файлы баз данных зашифровались. 
      Прошу помочь в определение вируса, по возможности расшифровать. И как его побороть.
       
      scan.zip
    • Albina
      Автор Albina
      Добрый день. Словили шифровальщик. Помогите восстановить файлы. Бэкапов не делали((
      Анализ системы при помощи Farbar сделали. Архив с файлами прилагаем.
      С надеждой, Альбина
      Shortcut_23-04-2025 17.30.07.txt Logs.zip
    • workforfuns
      Автор workforfuns
      Здравствуйте, появился ли дешифратор?
      Addition.txt FRST.txt ЭЛЕНОР КОРП (1).7z
×
×
  • Создать...