Перейти к содержанию

Рекомендуемые сообщения

Опубликовано

Добрый день. Поймали вирус-шифровальщик, поразил весь файловый серв. Все началось после того как подключились через Anydesk. На двух пользовательских компьютерах замещены вирусы после проверки KES. Лог файл приложил

FRST.rar KVRT2020_Data.rar Обнаружено KES.rar Файлы шифрованные.rar

Опубликовано (изменено)

KES был установлен на пользовательских ПК на момент шифрования?

 

Судя по обнаружениям в KES. это PROTON. Возможно, вариант Shinra.

Цитата

Вчера, 15.04.2025 16:36:51    C:\Users\UserRDP35\Desktop\hi\Win32-Release\Stub.exe    Обнаружено    Обнаружен вредоносный объект    HEUR:Trojan-Ransom.Win32.Generic    Экспертный анализ    Файл    C:\Users\UserRDP35\Desktop\hi\Win32-Release    Stub.exe    Обнаружено    Троянское приложение    Высокая    Частично    SRV\Администратор    Инициатор
Вчера, 15.04.2025 16:36:54    C:\Users\UserRDP35\Desktop\hi\x64-Release\Stub.exe    Обнаружено    Обнаружен вредоносный объект    HEUR:Trojan-Ransom.Win32.Generic    Экспертный анализ    Файл    C:\Users\UserRDP35\Desktop\hi\x64-Release    Stub.exe    Обнаружено    Троянское приложение    Высокая    Частично    SRV\Администратор    Инициатор

Если эти файлы попали в карантин, восстановите данные файлы из карантина, заархивируйте с паролем virus, загрузите на облачный диск, добавьте ссылку на скачивание в ЛС или в ваше сообщение.

(затем данные файлы можно удалить совсем)

 

По логу FRST:

политики ограничения запуска приложений сами назначали?

Цитата

HKU\S-1-5-21-1799016581-3950930353-2357770932-1055\...\Policies\Explorer\DisallowRun: [1] powershell.exe
HKU\S-1-5-21-1799016581-3950930353-2357770932-1055\...\Policies\Explorer\DisallowRun: [2] powershell_ise.exe
HKU\S-1-5-21-1799016581-3950930353-2357770932-1055\...\Policies\Explorer\DisallowRun: [3] ServerManager.exe
HKU\S-1-5-21-1799016581-3950930353-2357770932-1055\...\Policies\Explorer\DisallowRun: [4] eventvwr.msc
HKU\S-1-5-21-1799016581-3950930353-2357770932-1055\...\Policies\Explorer\DisallowRun: [5] eventvwr.exe
HKU\S-1-5-21-1799016581-3950930353-2357770932-1055\...\Policies\Explorer\DisallowRun: [6] mstsc.exe

 

Изменено пользователем safety
Опубликовано (изменено)

KES был установлен на пользовательских ПК на момент шифрования?

Ответ: Был установлен, не было лицензии, был истекшим

 

По логу FRST:

политики ограничения запуска приложений сами назначали?

Ответ: Нет, не я сам,возможно предыдущий админ.

Изменено пользователем Равиль.М
Опубликовано

А сканирование чем выполняли? истекшим продуктом, или после шифрования продлили лицензию?


Эти файлы можете восстановить из карантина?

C:\Users\UserRDP35\Desktop\hi\Win32-Release\Stub.exe

C:\Users\UserRDP35\Desktop\hi\x64-Release\Stub.exe

Можно всю папку hi заархивировать с паролем virus.

Опубликовано
6 минут назад, safety сказал:

А сканирование чем выполняли? истекшим продуктом, или после шифрования продлили лицензию?


Эти файлы можете восстановить из карантина?

C:\Users\UserRDP35\Desktop\hi\Win32-Release\Stub.exe

C:\Users\UserRDP35\Desktop\hi\x64-Release\Stub.exe

Можно всю папку hi заархивировать с паролем virus.

После шифрования продлили лицензию и сканировали.

В карантине они есть, при восстановлении сам вирус stub.exe Антивирус сразу блочит - не дает скопировать, отключать Антивирус и перекинуть не хватает смелости.

Опубликовано (изменено)

Временно отключите защиту, или добавьте папку hi (C:\Users\UserRDP35\Desktop\hi) временно в исключение антивируса.  После архивирования с паролем можно файлы удалить, исключение так же удалить.

Файлы сами по себе не запускаются после восстановления из карантина. Или хотя бы напишите хэши указанных файлов. В карантине KES должны быть указаны хэши удаленных файлов.

Изменено пользователем safety
Опубликовано (изменено)

Судя по логам FRST, можно сделать вывод, что запуск шифровальщика был не на файловом сервере, а на тех двум устройствах, связанных с данными пользователями:

C:\Users\UserRDP37

C:\Users\UserRDP35

где было обнаружение тел шифровальщика (Stub.exe)

Изменено пользователем safety

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
  • Похожий контент

    • Владислав Эпштейн
      Автор Владислав Эпштейн
      Доброго дня, обнаружен троян шифровальщик, расширения файлов - xxpfz2h
      Текст вымогателей найден отдельно, сам шифровальщик был удалён KVRT 
      Имеются только названия угроз: Trojan-Ransom.Win32.Mimic.av     -    HEUR:Backdoor.MSIL.Crysan.gen
      Просканировать систему не представляется возможным через программу которая приложена в правилах.
      Сканирование через KVRT осуществлял из под безопасного режима без сетевых драйверов и заражённый диск подключался через отдельный HDD хаб.
      Образцы зашифрованных файлов имеются, как и текстовый документ вымогателей
      Посоветуйте пожалуйста о дальнейших действиях
    • VNDR
      Автор VNDR
      Ребята, здравствуйте. Нужна помощь, бухгалтер скачала файл, после этого весь сервер зашифровался. Как расшифровать? На пк база 1с.
      Файлы прикладываю.
      Просим помощи!
      HowToRestoreFiles.txt Новая папка (4).rar
    • Warrr
      Автор Warrr
      Прошу помощи с расшифровкой вируса Mimic. В поддержку уже обращался, сказали, не помогут. Есть много пар зашифрованных/оригинальных файлов. Может можно что-то придумать…
       
      спасибо 
    • Helsing13
      Автор Helsing13
      Добрый день! В результате атаки была зашифрована система. Все файлы стали с расширением lpdVIpAg7.
      После перезагрузки система работает но не все программы запускаются.
      Во вложении: письмо требование, пример зашифрованных файлов, отчеты о работе FRST, и несколько подозрительных исполняемых файлов.
       
      Пароль на оба архива: 1234
       
      virus.zip lpdVIpAg7.README.txt Addition.txt FRST.txt files.zip
    • Tappa
      Автор Tappa
      Помогите расшифровать ключ 

×
×
  • Создать...